Retningslinjer for databehandleravtaler

Like dokumenter
Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Endelig kontrollrapport

Informasjon interesseorganisasjoner

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Personvern - sjekkliste for databehandleravtale

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Databehandleravtale for NLF-medlemmer

Databehandleravtaler

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Endelig kontrollrapport

Databehandleravtale. Charlotte Lindberg Difi

Bilag 14 Databehandleravtale

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Policy for personvern

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Endelig kontrollrapport

Databehandleravtale etter personopplysningsloven

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

DATABEHANDLERAVTALE vedrørende nettjenesten

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Kommunens Internkontroll

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Endelig kontrollrapport

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Endelig kontrollrapport

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

POWEL DATABEHANDLERAVTALE

Databehandleravtaler. Tommy Tranvik Unit

Nye personvernregler

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Databehandleravtale. Denne avtalen er inngått mellom

Endelig kontrollrapport

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Innføring av og bruk av databehandleravtale for tiltaksarrangører som leverer arbeidsrettede tiltak til NAV.

Registrerte og personopplysninger som behandles

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Databehandleravtale etter personopplysningsloven

Lagring av forskningsdata i Tjeneste for Sensitive Data

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Endelig kontrollrapport

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Endelig Kontrollrapport

Kan du legge personopplysninger i skyen?

Sikkerhet og personvern i skole og klasserom

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Deres referanse Vår referanse Dato 15/ /JSK

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Endelig kontrollrapport

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Endelig kontrollrapport

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

Kunden er behandlingsansvarlig Unifaun er databehandler

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Personopplysningsvern med ProFundo som databehandler

Personvern og informasjonssikkerhet

Transkript:

Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER DET VIKTIG Å FÅ AVKLART BEHANDLINGSANSVAR?... 3 2.3 NÅR FORELIGGER DET EN DATABEHANDLERRELASJON?... 3 3. KRAV TIL DATABEHANDLERAVTALE... 4 3.1 GENERELT... 4 3.2 FØR AVTALEINNGÅELSE... 5 3.3 ETTER AVTALE INNGÅELSE OPPFØLGING OG KONTROLL... 5 4. BRUK AV DATABEHANDLER I UTLANDET... 6 4.1 DATABEHANDLERE INNENFOR EU/EØS... 6 4.2 DATABEHANDLER I ANDRE LAND SOM ER GODKJENT AV EU-KOMMISJONEN... 7 4.3 DATABEHANDLER I TREDJELAND... 7 Fokusområde Personvern Side 1

1. HENSIKT I endel tilfeller velger NAV å sette bort til andre å behandle personopplysninger på vegne av seg. Den som utfører behandlingen av personopplysningene betegnes da som databehandler. NAV vil være behandlingsansvarlig for oppdraget eller bestillingen. Behandling av personopplysninger av en databehandler krever etter personopplysningsloven at det må inngås en skriftlig avtale, dvs. en databehandleravtale. Hensikten med denne retningslinjen er å gi veiledning for når NAV som behandlingsansvarlig må inngå databehandleravtaler, innholdet i avtalene og hvordan følge opp avtalene. 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER 2.1 Sentrale begreper For å forstå hva en databehandleravtale er og hva den skal regulere, så er det viktig å kjenne til noen sentrale begreper som følger av personopplysningsloven: Behandlingsansvarlig NAV er etter personopplysningsloven «behandlingsansvarlig» for all behandling av personopplysninger som skjer innenfor etatens lovpålagte virkeområde som forvaltningsvirksomhet og også som arbeidsgiver for egne ansatte. Det er NAV som har bestemmelsesretten over opplysningene, som bestemmer hva som er formålet med bruk av opplysningene og hvilke hjelpemidler som skal brukes for å oppnå formålet. NAV er ansvarlig for etterlevelse av lovpålagte krav til taushetsplikt, at behandling av personopplysninger er lovlig, at de behandles på en sikker og forsvarlig måte og at den enkeltes personvernrettigheter ivaretas. Med «behandling av personopplysninger» menes alle former for håndtering av personopplysninger uansett om det foregår manuelt eller elektronisk. Det omfatter alt fra innsamling, registrering, systematisering, kopiering, lagring, bruk, sammenstilling, søk, sletting, utlevering av opplysninger mm. Databehandler Databehandler kan være en person, privat eller offentlig virksomhet utenfor NAVs organisasjon. Selv om NAV setter bort deler av behandling av personopplysninger til andre («outsourcing»), så vil NAV fortsatt være behandlingsansvarlig for all behandling av personopplysninger som NAV råder over i forbindelse med sin lovbestemte virksomhet. Leverandøren vil være en «databehandler» for NAV. Databehandler er etter personopplysningslovens definisjon den som behandler opplysninger på vegne av den behandlingsansvarlige. Databehandleravtaler Databehandlers rett til å behandle personopplysninger skal reguleres i en skriftlig databehandleravtale. Avtalen skal regulere ansvarsforholdet mellom behandlingsansvarlig og databehandler, om hvordan opplysningene skal behandles og sikres. Fokusområde Personvern Side 2

Databehandler kan kun bruke opplysningene til det formål og med det nivå på informasjonssikkerhet som avtalt i avtalen. Med «informasjonssikkerhet» mener vi krav til en rekke fysiske, systemtekniske og organisatoriske sikkerhetstiltak, som skal sikre forsvarlig behandling av personopplysningene (med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av opplysningene). 2.2 Hvorfor er det viktig å få avklart behandlingsansvar? Når NAV behandler personopplysninger, så er det viktig å få avklart hva som er NAVs ansvar. Begrunnelsen for det er at: det er behandlingsansvarlig som er ansvarlig for etterlevelse av personopplysningslovens krav til ivaretakelse av personvern og informasjonssikkerhet det er viktig for etatens brukere å vite hvem som er ansvarlig for behandling av personopplysninger om seg selv det er overfor behandlingsansvarlig at bruker kan utøve sine personvernrettigheter etter personopplysningsloven, som rett til innsyn, informasjon og retten til å få uriktige personopplysninger endret eller slettet Selv om NAV setter oppgaveløsningen bort til en databehandler, så er det NAV som behandlingsansvarlig som fortsatt er ansvarlig for at personopplysningene behandles i samsvar med gjeldende regelverk og behandlingsgrunnlag. Personopplysningsloven gir en databehandler lite selvstendig ansvar utover en plikt til å sørge for tilfredsstillende informasjonssikkerhet og plikt til å ha en databehandleravtale som rettslig grunnlag for sin behandling. Databehandlers ansvar og plikter skal reguleres i databehandleravtalen. Databehandler kan ikke behandle personopplysningene på andre måter enn det som følger av avtalen og kan heller ikke bruke opplysningene til egne formål. Databehandler kan heller ikke uten videre påbegynne sin behandling av personopplysninger på vegne av NAV, uten at skriftlig avtale foreligger. 2.3 Når foreligger det en databehandlerrelasjon? Dersom behandling av personopplysninger skjer i samarbeid med flere virksomheter, så er det viktig å få avklart behandlingsansvar og om noen av disse er databehandlere. Bruk av databehandler er først og fremst aktuelt der det foreligger et oppdragsforhold eller bestilling av tjenester, som innebærer behandling av personopplysninger. Skal leverandøren ikke ha tilgang til og eller bruke personopplysninger, så er det ingen databehandlerrelasjon. Typiske eksempler på databehandlere er bruk av eksterne ikt-leverandører til utvikling og drift av etatens ikt-systemer, leverandører av skytjenester, analyseselskaper som gjennomfører brukerundersøkelser, utredninger og evalueringer for etaten, translatører til oversettelse av saksdokumenter, bruk av vaktselskaper som skal lagre video- og kameraopptak av etatens lokaler hvor ansatte og publikum oppholder seg. Dette er virksomheter som har spisskompetanse, kapasitet og ressurser på sitt område og som det ofte vil være mer praktisk og økonomisk utfører oppgavene enn behandlingsansvarlig. Omfang på oppgavene eller tjenestene kan variere fra stort omfang og til enkeltstående oppdrag. Fokusområde Personvern Side 3

Kriterier for plassering av behandlingsansvar fremgår av personopplysningslovens definisjon i 2 første ledd nr. 4 og lovens forarbeider. Sammenfattet er de viktigste kriteriene: o Hvem bestemmer formålet? o Hvem bestemmer hjelpemidlene? o Hvem har nærhet/daglig befatning med personopplysningene? o Hvem bestiller og finansierer oppdraget? o Hva er rettslig grunnlag (behandlingsgrunnlag)? Det avgjørende er først og fremst hvem som har både det juridiske og faktiske «eierskapet» til opplysningene (dvs. hvem er det som bestemmer formålet og hvilke hjelpemidler som skal brukes?). Hvis det er oppgaver som NAV er blitt pålagt gjennom lov og som faller inn under NAVs definerte ansvarsområde, så vil NAV være behandlingsansvarlig. En databehandler kjennetegnes ved å behandle personopplysninger på vegne av (etter bestilling, oppdrag) fra behandlingsansvarlig. Databehandler operasjonaliserer oppdraget innenfor de rammer som behandlingsansvarlig har myndighet til og har angitt i avtalen. Ofte er det da også databehandler som har den daglige befatningen med opplysningene så lenge oppdraget varer, ellers er det behandlingsansvarlig. En databehandleravtale vil gi leverandøren et rettslig grunnlag for å behandle personopplysningene. 3. KRAV TIL DATABEHANDLERAVTALE 3.1 Generelt Selv om et oppdrag eller en tjeneste settes ut til eksterne, så er det fortsatt NAV som skal ha bestemmelsesretten over personopplysningene og som gjennom databehandleravtalen skal sette krav til hvordan opplysningene skal behandles og sikres. Avtalen skal utformes i henhold til NAVs mal for databehandleravtale der alle innholdselementer er beskrevet, se operativ retningslinje «Databehandleravtale MAL v1.1». Malen er veiledende og må tilpasses det konkrete oppdraget eller tjenesten og aktuelle krav. For bruk av tiltaksarrangører ved arbeidsmarkedstiltak vil det bli utarbeidet egen mal for databehandleravtaler. Gjelder det behandling av sensitive personopplysninger (som for eksempel opplysninger om en persons helseforhold, diagnoseopplysninger, etnisitet, religiøs oppfatning, straffbare handlinger, medlemskap i fagforening m. m, jf. personopplysningsloven 2 nr. 8), så vil det kreve en mer detaljert avtaleregulering enn behandling av mer ordinære personopplysninger. Avtalen kan være en frittstående avtale eller integrert som en del til annet avtaleverk som NAV har med leverandøren. Fokusområde Personvern Side 4

Avtalepart på vegne av NAV kan være utøvende behandlingsansvarlig som representerer behandlingsansvarlig. For eksempel den enkelte fagdirektør i direktoratet eller linjeleder som er gitt myndighet etter fullmakt. Avtalen skal journalføres og arkiveres i Administrativt arkiv. 3.2 Før avtaleinngåelse Det skal i anskaffelsesprosesser tydeliggjøres behandlingsansvar, leverandørens ansvar og krav til etterlevelse av personopplysningsloven med forskrift. Det skal stilles følgende krav: 1. Krav til at leverandøren ivaretar de krav som følger av personopplysningsloven med forskrift (personopplysningsforskriften). 2. Krav til at leverandøren pålegges taushetsplikt og må undertegne taushetserklæring for medarbeidere som skal behandle informasjon på vegne av NAV. 3. Krav til at leverandøren har et internkontrollsystem for informasjonssikkerhet som sikrer: a. at leverandøren plikter å gjøre tiltak for å sikre konfidensialitet integritet og tilgjengelighet til informasjonen som behandles på vegne av NAV b. at leverandøren tilfredsstiller NAVs sikkerhetskrav for personvern og informasjonssikkerhet c. at NAV kan ha innsyn i dokumentasjon på hvordan internkontrollsystemet for informasjonssikkerhet er bygget opp og dokumentasjon på gjennomføring av iverksatte tiltak 4. Krav til at det må inngås en skriftlig databehandleravtale med NAV som blir en del av det øvrige avtaleverket med leverandøren. 5. Krav til at databehandler må oversende dokumentasjon om sine sikkerhetsmål, sikkerhetsstrategi og ansvar for informasjonssikkerheten ved avtaleinngåelse. 6. Krav til rapportering. NAV skal forsikre seg om at databehandleren har tilstrekkelig sikkerhetsnivå. Etter at leverandør er valgt og godkjent, skal det utformes en skriftlig databehandleravtale. Databehandler skal sende oversende dokumentasjon til NAV om sine mål og strategier for informasjonssikkerhet. Det skal skje ved første gangs avtaleinngåelse og senere når avtalen blir revidert. En databehandleravtale skal foreligge i undertegnet stand før oppdraget kan påbegynnes. 3.3 Etter avtale inngåelse oppfølging og kontroll NAVs rett til å be om innsyn, krav til rapportering og gjennomføre revisjoner og kontroller skal være regulert i avtalen. NAV skal på et hvert tidspunkt kunne be om innsyn i databehandlers prosedyrer og praksis for informasjonssikkerhet for å sikre at den er tilfredsstillende etter de krav som er stilt. NAV har rett til som behandlingsansvarlig å kunne kontrollere (revisjon) at avtalekravene etterleves og Fokusområde Personvern Side 5

kan kreve tilgang til og innsyn i leverandørens løsninger for hvordan personopplysningene behandles og sikres. Revisjon kan omfatte gjennomgang av rutiner, stikkprøvekontroller, stedlig kontroll osv. Leverandøren skal kunne dokumentere sikkerhetsdokumentasjon hvis NAV etterspør, og skal umiddelbart rapportere sikkerhetsbrudd og avvik til NAV. NAV skal ha rutiner for å følge opp og kontrollere at en leverandør følger de krav som er stilt. Sikkerhetsseksjonen i Arbeids- og velferdsdirektoratet kan på vegne av utøvende behandlingsansvarlig gjennomføre kontrollbesøk eller be om innsyn hos tiltaksarrangør. Det kan også innhentes revisjonsrapport fra en uavhengig tredjepart. 4. BRUK AV DATABEHANDLER I UTLANDET Hvis det er aktuelt å benytte en databehandler eller en underleverandør for databehandler som er etablert i utlandet, så må det reguleres i databehandleravtalen. EUs standardkontrakt kan brukes som standardmal for inngåelse av databehandleravtaler med utenlandske leverandører. Ved signering av kontrakten forplikter leverandøren seg til å behandle opplysningene i samsvar med de krav som gjelder innenfor EU/EØS området. Disse malene er på dansk og engelsk og er tilgjengelig på Datatilsynets internettsider (se http://www.datatilsynet.no/global/04 skjema maler/kontraktsvilkaar overforing ENG.pdf). 4.1 Databehandlere innenfor EU/EØS Stater som har gjennomført direktiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet) oppfyller kravet til forsvarlig behandling. For disse gjelder de samme vurderinger som skal gjøres hvis databehandler var etablert i Norge. Det er en grunnleggende forutsetning at personopplysningslovens krav til behandling av personopplysninger skal oppfylles. Det skal gjøres en risikovurdering og ut fra den settes sikkerhetskrav til leverandør. Det skal i denne forbindelse foretas en vurdering om hvorvidt det er forhold som tilsier at personopplysningen ikke skulle kunne overføres innen EU/EØS, f.eks. bør det vurderes om informasjon om brukere med adressesperre kode 6/ kode 7 kan overføres. Bruk av databehandler i utlandet kan medføre at etatens melding til Datatilsynet for det aktuelle behandlingsområdet, må endres. Se operativ retningslinje for «Melde- og konsesjonsplikt for etatens behandling av personopplysninger v.1.2». Fokusområde Personvern Side 6

4.2 Databehandler i andre land som er godkjent av EU-Kommisjonen EU-kommisjonen har med hjemmel i personverndirektivet godkjent ved beslutning en rekke andre stater utenfor EU/EØS for å ha tilfredsstillende beskyttelsesnivå (hvem disse er, se kommisjonens hjemmeside: ec.europa.eu). Det er ikke tilstrekkelig at landene er godkjent av kommisjonen. Det må gjøres de samme risikovurderinger og settes de samme krav til personvern og informasjonssikkerhet som om leverandøren var plassert i Norge eller innenfor EU/EØS. Som følge av EU-domstolens avgjørelse av 06.10.2015 er rammeverket for Safe-Harbor (godkjent av EU i 2000) kjent ugyldig. Det innebærer at amerikanske selskaper som var sertifisert etter Safe Harbor prinsippene ikke lenger kan benytte dette som grunnlag, og må behandles etter de kriterier som beskrevet nedenfor i punkt 4.3. 4.3 Databehandler i tredjeland For leverandører i land som ikke har gjennomført direktiv 95/46/EF og som heller ikke er godkjent som beskrevet i punkt 4.2, må det vurderes om landet ivaretar de kravene som stilles til forsvarlig behandling. I vurderingen av hva som er forsvarlig behandling bør det legges vekt på: opplysningens art og omfang formålet til den planlagte behandlingen og varighet av behandlingen hva finnes av rettsregler på området, regler for god forvaltningsskikk, bransjenormer og sikkerhetstiltak som kan ivareta personvernet garantier for ivaretakelse av brukernes rettigheter Krav til bruk av EUs standardkontrakt og varslingsplikt til Datatilsynet Det er et vilkår at EUs standardkontrakt for overføring til databehandler skal brukes, se punkt 4 innledning. NAV, som behandlingsansvarlig, har en varslingsplikt til Datatilsynet. Plikten innebærer at NAV må sende en kopi av den signerte overføringsavtalen til Datatilsynet. Så snart avtalen er undertegnet og sendt inn, kan behandlingen av personopplysninger påbegynnes. I eventuell melding til Datatilsynet må det opplyses om at det overføres personopplysninger til databehandlere i stater utenfor EU/EØS. Se operativ retningslinje for «Melde- og konsesjonsplikt for etatens behandling av personopplysninger v.1.2». Fokusområde Personvern Side 7

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding