Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Like dokumenter
Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtaler

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Bilag 14 Databehandleravtale

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale etter personopplysningsloven

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale etter personopplysningsloven

Databehandleravtale for NLF-medlemmer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtale digitale arkiv og uttrekk for deponering

Databehandleravtale etter personopplysningsloven

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Databehandleravtale etter personopplysningsloven

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Databehandleravtale etter personopplysningsloven

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale Kontorvarehuset Møre og Romsdal AS

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

Registrerte og personopplysninger som behandles

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehafiileravtale ' ---

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Databehandleravtale etter personopplysningsloven m.m

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

DATABEHANDLERAVTALE. 1. Bakgrunn

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

BILAG 1 DATABEHANDLERAVTALE

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Bilag 1 Omforent spesifikasjon av SaaS-tjenestene med forutsetninger og vilkår

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

POWEL DATABEHANDLERAVTALE

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

DatabehandIeravtaIe MK i

Lagring av forskningsdata i Tjeneste for Sensitive Data

(1) [firma], et firma som er underlagt lovgivningen i [land], med organisasjonsnummer («Kunden» eller «Behandlingsansvarlig») og

Lagring av forskningsdata i Tjeneste for

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

DATABEHANDLERAVTALE vedrørende nettjenesten

Databehandleravtalen skal sikre at personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Databehandleravtale. Skatteetaten. [leverandør] 1 av 8

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtaler. Tommy Tranvik Unit

Forvaltningssystem for skatteinnkreving (Sofie) Kontrollstøttesystem(Koss) Løsning for dokumenthåndtering (F-Dok) Avtale mellom

BILAG 1 PRINSIPPSKISSE FOR TJENESTEN. Bilag til Tilslutningsavtale for Mediasite

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Databehandleravtale. mellom. Kunden (behandlingsansvarlig) Devinco AS (databehandler)

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

DATABEHANDLERAVTALE MELLOM., org.nr. «Behandlingsansvarlig» Info Vest Forlag, org.nr «Databehandler»

Databehandler. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Personvern - sjekkliste for databehandleravtale

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

GDPR - Personvern

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Databehandleravtalen skal sikre at personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Endelig kontrollrapport

Prosedyre for personvern

Databehandleravtale. mellom. Navn på skoleeier: Org. nr.: (behandlingsansvarlig)

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Policy for personvern

Retningslinjer for databehandleravtaler

3 Omfattede typer av personopplysninger og kategorier av registrerte

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

Transkript:

YFF - databehandleravtale Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte 29.04.2015: Sak til behandling: Delegering av fullmakt til styret v/ styreleder for på vegne av medlemmene som Behandlingsansvarlige, å inngå databehandleravtale med Yrkesskadeforsikringsforeningen v/ daglig leder som databehandler. Bakgrunn Yrkesskadeforsikringsforeningen (YFF) har inngått en avtale med sine medlemmer (forsikringsselskaper) kalt kasteballavtalen. Avtalen regulerer det forhold som oppstår når konstateringstidspunktet ved yrkesskade/yrkessykdom kan omfattes av ett av to eller flere selskapers ansvarstid uten at dette har vært mulig å avklare. Avtalen har som målsetning å forhindre at skadelidt arbeidstaker rammes av slik uenighet mellom selskapene. YFF skal i disse tilfeller forestå saksbehandlingen på vegne av sine medlemsselskaper. Som følge av dette behandler YFF sensitive personopplysninger elektronisk på vegne av sine medlemmer, forsikringsselskapene. Personopplysningsloven kommer således til anvendelse, og i henhold til personopplysningsloven er YFF å regne som databehandler for forsikringsselskapene. Det følger av personopplysningsloven 15 at en databehandler ikke kan behandle personopplysninger på annen måte enn det som er skriftlig avtalt med Behandlingsansvarlig. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. Etter personopplysningsloven 48 e) er det straffbart å behandle personopplysninger i strid med 15. I tillegg har Datatilsynet adgang til å ilegge overtredelsesgebyr. I forbindelse med en gjennomgang av internkontrollen i YFF har det fremkommet at YFF ikke har inngått nødvendige databehandleravtaler. Administrasjonen i YFF er derfor av den oppfatning at det må inngås databehandleravtaler med medlemsselskapene. I utgangspunktet skal det inngås databehandleravtale med hver enkelt Behandlingsansvarlig (hvert medlemsselskap). YFF har imidlertid pr. i dag over 20 medlemmer og administreringen av et så stort antall databehandleravtaler vil kunne bli vanskelig praktisk sett. Det vises i den anledning til at hver enkelt Behandlingsansvarlig skal påse at informasjonssystemet hos databehandleren (YFF) er i henhold til lov og forskrift. I tillegg kommer den omstendighet at alle de som er Behandlingsansvarlige er medlem av YFF. Det anses derfor som en mer hensiktsmessig fremgangsmåte at medlemsselskapene samlet gir fullmakt til styreleder i YFF til å inngå nødvendige databehandleravtaler på vegne av medlemsselskapene. Databehandleravtaler inneholder vanligvis bestemmelser om at databehandler skal følge de rutiner og instrukser for behandlingen som Behandlingsansvarlige til enhver tid har bestemt skal gjelde. Det vil praktisk sett være svært vanskelig å sammenfatte over 20 forskjellige rutiner og instrukser for at YFF skal følge disse. På bakgrunn av usikkerhet knyttet til adgangen til å delegere fullmakt til styret for å inngå databehandleravtale på vegne av medlemmene, ble det sendt en forespørsel på generelt

grunnlag om dette til Datatilsynet. Svaret fra Datatilsynet var at selv om det er prinsipielle betenkeligheter knyttet til dette, må en slik fremgangsmåte antagelig la seg forsvare som akseptabel. Det presiseres at det i henhold til personopplysningsloven ikke er anledning til å delegere selve behandlingsansvaret eller instruksjonsmyndigheten. En delegering av fullmakt til styret for, på vegne av medlemmene som behandlingsansvarlige, å inngå databehandleravtale med YFF som databehandler vil således kun innebære en administrativ støtte. En slik delegering må antas å skape en binding mellom behandlingsansvarlige og fullmektigen (databehandleren), slik at fullmektigen skal ivareta behandlingsansvarliges interesser i avtaleinngåelsen. Videre fremheves det at det vil være full anledning for hver enkelt behandlingsansvarlig (hvert enkelt medlem av YFF) å inngå separat databehandleravtale med YFF dersom dette skulle være ønskelig. På denne bakgrunn fremmes følgende forslag: For å oppfylle krav etter personopplysningsloven ved saksbehandling av forsikringssaker under kasteballavtalen, vedtas følgende: Årsmøtet i YFF gir fullmakt til styret i YFF ved styreleder for, på vegne av medlemmene som behandlingsansvarlige, å inngå og administrere databehandleravtale med YFFs administrasjon ved YFFs daglige leder, som databehandler. Nedenfor følger utkast til databehandleravtale:

Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Medlemsselskapene i Yrkesskadeforsikringsforeningen (YFF)* Behandlingsansvarlig og Yrkesskadeforsikringsforeningen databehandler *For en fullstendig oversikt over selskaper som er part i denne avtalen, se vedlegg 1.

1. Innledning til avtalen Lovbestemt yrkesskadeforsikring ble innført 01.01.1990. I medhold av 7 i lov om yrkesskadeforsikring med forskrift, er de forsikringsselskaper som tilbyr yrkesskadeforsikring solidarisk ansvarlige når arbeidsgiver har unnlatt å tegne den lovpålagte yrkesskadeforsikringen for sine arbeidstakere. Yrkesskadeforsikringsforeningen (YFF) ble stiftet den 26.03.1990 for bl.a. å forestå den praktiske gjennomføringen av ovennevnte bestemmelser. Alle forsikringsselskaper som tilbyr yrkesskadeforsikring i Norge plikter i henhold til 4 i lov om yrkesskadeforsikring å være medlem av YFF. Det gjelder også forsikringsselskaper som har hovedkontor i en annen stat innenfor det europeiske økonomiske samarbeidsområdet, uavhengig av om det skjer ved etablering av filial eller etter bestemmelsene om grenseoverskridende virksomhet. YFF har inngått en avtale med sine medlemmer (forsikringsselskaper) kalt kasteballavtalen. Avtalen regulerer det forhold som oppstår når konstateringstidspunktet ved yrkesskade/yrkessykdom kan omfattes av ett av to eller flere selskapers ansvarstid uten at dette har vært mulig å avklare. Avtalen har som målsetning å forhindre at skadelidt arbeidstaker rammes av slik uenighet mellom selskapene. YFF skal i disse tilfeller forestå saksbehandlingen på vegne av sine medlemsselskaper. De ovennevnte opplysninger er å anse som personopplysninger, jf. personopplysningsloven 2 (1). YFF forestår saksbehandlingen på vegne av sine medlemmer og anses derfor som databehandlere for medlemmene, jf. personopplysningsloven 2 (5). Etter personopplysningsloven 15 kan ikke en databehandler behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den Behandlingsansvarlige. 2. Myndighet til å inngå databehandleravtale YFF har i 2015 i overkant av 20 medlemmer. Det anses uhensiktsmessig å inngå en databehandleravtale med hvert enkelt selskap. I tillegg til at det vil være svært vanskelig å administrere så mange ulike avtaler. Det vises spesielt til at behandlingsansvarlig i henhold til standard databehandleravtaler skal avtale med databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes av avtalen, og at databehandler skal følge den behandlingsansvarliges rutiner for informasjonssikkerhet og internkontroll. Ettersom alle selskapene som er behandlingsansvarlige også er medlem av YFF vurderes det som hensiktsmessig å la årsmøtet i YFF, som høyeste organ, fungere som en samlet representant for alle behandlingsansvarlige. For, å på best mulig måte ivareta informasjonssikkerheten og hensynet til personvern i forbindelse med oppfyllelsen av kasteballavtalen, har medlemmene i YFF derfor gitt fullmakt til styret i YFF ved styreleder til å, på vegne av forsikringsselskapene som behandlingsansvarlig, å inngå og administrere denne databehandleravtalen med YFF. Det presiseres at det i henhold til personopplysningsloven ikke er anledning til å delegere selve behandlingsansvaret eller instruksjonsmyndigheten. En delegering av fullmakt til styret for, på vegne av medlemmene som behandlingsansvarlige, å inngå databehandleravtale med YFF som

databehandler, vil således kun innebære at styret i YFF står for en administrativ støtte med det formål å ivareta behandlingsansvarliges interesser i avtaleinngåelsen. Dersom medlemmer av YFF ønsker å inngå separat databehandleravtale med YFF er det full anledning til dette, og en slik avtale vil ha forrang fremfor denne avtalen. 3. Avtalens hensikt Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse. Databehandleravtalen skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger for å forhindre at personvernet blir krenket gjennom denne behandlingen. 4. Rammene for databehandlers håndtering av personopplysninger: Databehandler skal kun forestå saksbehandling som følger av kasteballavtalen. Databehandler skal ikke behandle personopplysningene på annen måte enn det som går frem av denne avtalen eller som ligger utenfor det behandlingens formål krever. 5. Hvilke opplysninger skal behandles? Nedenfor er det opplistet eksempler på hvilke personopplysninger som skal behandles: Personalia (navn, fødselsnummer, adresse) Arbeidsforhold Forsikringsforhold Skadeopplysninger Helseopplysninger (sensitive) Økonomiske opplysninger om oppgjøret 6. Behandlingsansvarliges instruksjonsmyndighet Databehandler skal til enhver tid behandle personopplysninger i samsvar med den instruksjon som er gitt av behandlingsansvarlig. Behandlingsansvarlig kan når som helst endre kravene til hvordan personopplysningene skal behandles etter denne databehandleravtalen.

7. Databehandlers plikter Databehandler skal følge de rutiner og instrukser for behandlingen som følger av personopplysningsloven og forskriften, samt de rutiner og instrukser som behandlingsansvarlig, gjennom årsmøtet i YFF til enhver tid har bestemt skal gjelde. Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette. Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Databehandler plikter å ta imot henvendelser fra den registrerte og behandle disse etter personopplysningslovens regler. Dersom behandlingsansvarlige mottar henvendelser om innsyn, retting eller sletting av personopplysninger, jf. personopplysningsloven 18, 27 og 28, skal henvendelsen videreformidles til databehandler som er ansvarlig for å oppfylle den registrertes forespørsel. Databehandler skal sørge for at personopplysningslovens regler om informasjonsplikt til den registrerte er ivaretatt. 8. Databehandlers bruk av underleverandører Databehandler kan ikke benytte noen underleverandører i sin behandling av personopplysninger for behandlingsansvarlig, uten at dette på forhånd er skiftlig avtalt med behandlingsansvarlig ved styret i YFF. Med underleverandør menes person (fysisk eller juridisk) som ikke er ansatt hos databehandler og omfattet av denne avtalens bestemmelser. Dersom databehandler etter avtale med behandlingsansvarlig gjør bruk av underleverandør, skal underleverandøren være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse. YFFs medarbeidere er formelt ansatt i Finans Norges Servicekontor, og Finans Norge benyttes som forretningsfører for YFF. YFF benytter seg således av Finans Norges lokaler, IT-systemer og sikkerhetstiltak. Finans Norge er kjent med YFFs avtalemessige og lovmessige forpliktelser og oppfyller vilkårene etter disse. YFF har satt bort saksbehandlingen av kasteballsakene til Advokat Børre Lid. Dette godkjennes av Behandlingsansvarlig. Advokat Børre Lid er kjent med YFFs avtalemessige og lovmessige forpliktelser og oppfyller vilkårene etter disse.

YFF har videre satt ut lønnskjøringen til et eksternt selskap. Databehandler er ansvarlig overfor behandlingsansvarlig for et hvert lov- og/eller forskriftsbrudd eller brudd på forpliktelsene etter denne avtalen som underleverandør til databehandler gjør seg skyld i, som om handlingen var utført av ham selv. 9. Krav til gjennomføring av sikringstiltak hos databehandler Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens 13 15 med forskrifter. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på Behandlingsansvarliges forespørsel. Databehandler skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandlingen av personopplysninger på vegne av behandlingsansvarlig. Databehandler skal blant annet sørge for at personopplysningene ikke gjøres tilgjengelige for uvedkommende og sørge for tilstrekkelig adgangskontroll til fysiske lokaler og tilgangsstyring til elektronisk lagret informasjon. Databehandler skal ikke sende sensitive personopplysninger på usikret e-post. Databehandler plikter å påse at det ikke behandles andre personopplysninger enn de som er nødvendig for å utføre tjenestene som definert i samarbeidsavtalen. Personopplysningene skal ikke lagres lengre enn nødvendig. All nødvendig informasjon lagres i samsvar med de foreldelsesfrister som gjelder etter forsikringsavtalelovens bestemmelser. Databehandler skal jevnlig gjennomgå dokumentmapper for å luke ut og makulere og/eller slette dokumenter med personopplysninger som ikke er nødvendig å oppbevare i den enkelte sak. Databehandler skal dokumentere rutiner og andre tiltak som er iverksatt for å oppfylle kravene til sletting av elektronisk lagret informasjon. Også denne dokumentasjonen skal være tilgjengelig på Behandlingsansvarliges forespørsel. Databehandler skal foreta risikovurdering som nevnt i personopplysningsforskriften 2-4. Eventuelle avviksmeldinger etter personopplysningsforskriftens 2-6 sendes løpende fra databehandler til behandlingsansvarlig ved styret i YFF. Det er behandlingsansvarlig ved styret i YFF som har ansvar for at avviksmeldingene oversendes Datatilsynet. Databehandler skal dokumentere selskapets rutiner og alle tiltak truffet for å oppfylle kravene angitt ovenfor. Denne dokumentasjonen skal på forespørsel gjøres tilgjengelig for behandlingsansvarlig.

10. Sikkerhetsrevisjoner Databehandler plikter å gjennomføre sikkerhetsrevisjoner av informasjonssystemet de benytter i ledd av arbeidet de utfører på vegne av behandlingsansvarlig og som er relevant for denne avtalen. Slik sikkerhetsrevisjon skal foretas minst en gang pr. år. Resultatet av denne sikkerhetsrevisjonen skal oversendes hver enkelt behandlingsansvarlig (medlemsselskapene). Behandlingsansvarlig skal som et minimum en gang pr år gjennomføre sikkerhetsrevisjon av databehandlers rutiner for informasjonssikkerhet og internkontroll. Revisjonen skal gjennomføres ved at databehandler gjennomgår sine risikovurderinger, samtykkeskjema, oppdaterte rutiner for informasjonssikkerhet og internkontroll, sletterutiner, samt resultatet av den sikkerhetsrevisjonen som databehandler har gjort av informasjonssystemet. Rapporten fra sikkerhetsrevisjonen skal oversendes behandlingsansvarlige når den er utført. Behandlingsansvarlige har også rett til å foreta stedlig inspeksjon som ledd i sikkerhetsrevisjonen, eller å kreve å få utlevert relevante dokumenter. Behandlingsansvarlig har adgang til å foreta stikkprøvekontroller av databehandlers informasjonssikkerhet og internkontroll. Dersom behandlingsansvarlig ønsker å foreta stedlig inspeksjon eller stikkprøvekontroll skal databehandler varsles skriftlig og innen rimelig tid forut for stedlig inspeksjon. Behandlingsansvarlig har eiendomsrett til og innsynrett i alle de dokumenter databehandler besitter og som er relevant for denne avtalen. Databehandler plikter således, etter et rimelig forhåndsvarsel, å stille dokumentasjonen til rådighet for behandlingsansvarlig. 11. Ansvars- og myndighetsforhold, innsyns- og bistandsplikt mv Under utføring av oppdraget for behandlingsansvarlig står databehandler under instruksjon fra behandlingsansvarlig, og plikter å følge de muntlige og skriftlige rutiner og instrukser for behandling som behandlingsansvarlig pålegger. Databehandler plikter å påse at samtlige personer i virksomheten som har tilgang til slike personopplysninger som behandles på vegne av behandlingsansvarlig, er kjent med denne avtalen og underlagt avtalens bestemmelser. Databehandler er kjent med at behandlingsansvarlig i medhold av pol 13 tredje ledd, plikter å påse at databehandler oppfyller kravene i pol 13 første og andre ledd. For å oppfylle disse pliktene er partene enige om at behandlingsansvarlig til enhver tid skal få den nødvendige tilgang til og innsyn i dataene som behandles og systemene som benyttes. I medhold av personopplysningsforskriftens 2-15 plikter behandlingsansvarlig å skaffe seg kunnskap om sikkerhetsstrategien hos databehandler. Behandlingsansvarlig skal forsikre seg

om at strategien er tilstrekkelig og dekkende for de krav som stilles til informasjonssikkerhet etter personvernreglene. Databehandler plikter således å gi behandlingsansvarlig innsyn i sikkerhetsstrategiene og annet nødvendig materiale, samt bistå behandlingsansvarlig slik at de kan påse at bestemmelsene i personopplysningsforskriften oppfylles. 12. Taushetsplikt Databehandler er kjent med at de som oppdragstaker for behandlingsansvarlig er underlagt lovfestet taushetsplikt etter forsikringsvirksomhetsloven av 10.06.2005 nr. 44 1-6. Taushetsplikten gjelder alle forhold databehandler blir kjent med om noen kunders private eller forretningsmessige forhold. Partene er enige om at plikten til å bevare taushet også skal gjelde enhver opplysning om ansatte eller andre oppdragstakere i behandlingsansvarlig. Taushetsplikten gjelder også etter at oppdraget er avsluttet. 13. Varighet, pålegg om stans, oppsigelse mv Denne avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig. Dersom behandlingsansvarlig blir kjent med at databehandler ikke behandler personopplysningene slik denne avtalen beskriver eller utfører behandling av personopplysninger i strid med sine forpliktelser etter personopplysningsloven eller forskriften, kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandling av opplysningene med øyeblikkelig virkning. Ved brudd på denne avtalen eller bestemmelser som følger av personvernreglene kan behandlingsansvarlig si opp denne avtalen med minst 14 dagers varsel. Dersom denne avtalen mellom behandlingsansvarlig og databehandler opphører, eller det kreves av behandlingsansvarlig av andre grunner, plikter databehandler straks å tilbakelevere og/eller slette all informasjon som inneholder personopplysninger som behandles for behandlingsansvarlig. Dette gjelder også for eventuelle sikkerhetskopier. Eventuelle kostnader forbundet med dette skal bæres av databehandler. Databehandler skal skriftlig dokumentere at tilbakelevering eller sletting er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.

14. Meddelelser Alle meddelelser som gis i henhold til denne avtalen skal være skriftlig og adressert slik: DATABEHANDLER Yrkesskadeforsikringsforeningen v/daglig leder BEHANDLINGSANSVARLIG Yrkesskadeforsikringsforeningen v/styreleder Postboks 2551 Solli 0202 Oslo Kontaktperson: Geir Trulserud kontaktperson: 15. Rettsvalg og verneting Denne avtalen er underlagt norsk rett. Som verneting vedtar partene Oslo tingrett. 16. Signatur og ikrafttredelse Denne avtalen er signert i to eksemplarer, ett til hver av partene. --------------------------------------------Oslo Dd.mm.åååå---------------------------------------------- Dato: Yrkesskadeforsikringsforeningen v/ daglig leder Dato: Yrkesskadeforsikringsforeningen v/styreleder Geir Trulserud

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding