Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold til avtale av xx (AVTALEN) mellom xx og behandler xx personopplysninger hvor Norsk Tipping er behandlingsansvarlig. Dette bilaget gjelder behandling av alle personopplysninger som DATABEHANDLER behandler på vegne av BEHANDLINGSANSVARLIG som et ledd i gjennomføring av AVTALEN. Databehandleravtalen skal sikre at personopplysninger ikke brukes urettmessig eller kommer uberettigede i hende. 2. Formål Databehandleravtalen har til formål å klargjøre DATABEHANDLER og BEHANDLINGSANSVARLIGES ansvar i henhold til Lov om behandling av Side 1 av 5
personopplysninger (POL) og Forskrift om behandling av personopplysninger (POF) for gjennomføring av AVTALEN, slik at krav til konfidensialitet, integritet, tilgjengelighet og kvalitet ivaretas. I forhold til den aktuelle avtale er det snakk om følgende personopplysninger: (Kryss av for hvilke personopplysninger som skal behandles) Personnummer Fødselsdato Navn Adresse Spillerkortnummer E-postadresse Telefonnummer Annet, spesifiser: (f.eks. vinnerinformasjon) (Hvis sensitive opplysninger, jfr. POL 2 (8), skal personvernombudet/ juridisk avtale kontaktes. Eksempler på sensitive opplysninger kan være spillavhengighet og mistanke om straffbare forhold.) Hva skal opplysningene brukes til (hvilke behandlinger)?.. Rammene for håndtering: Opplysningene skal bare brukes i nødvendig utstrekning i overenstemmelse med oppdraget og kun i de prosesser nevnt ovenfor. 3. BEHANDLINGSANSVARLIGES plikter BEHANDLINGSANSVARLIG skal påse at personopplysningene kan behandles, bl.a. gjennom å sikre at nødvendig hjemmel for behandling foreligger. 4. DATABEHANDLERS plikter DATABEHANDLER kan kun behandle BEHANDLINGSANSVARLIGES personopplysninger for å gjennomføre oppgaver som er beskrevet i AVTALEN. BEHANDLINGSANSVARLIG skal, med mindre annet følger av avtale eller lovbestemmelser, ha rett til tilgang til/ innsyn i de personopplysninger som behandles og systemene som DATABEHANDLER benytter til dette formål. DATABEHANDLER skal følge rutiner/ instrukser som BEHANDLINGSANSVARLIG til enhver tid har bestemt skal gjelde. DATABEHANDLER plikter å behandle personopplysninger fra BEHANDLINGS- ANSVARLIG slik at krav til informasjonssikkerhet er ivaretatt etter POL, særlig 13-15og POF.. DATABEHANDLER har det praktiske ansvaret for at tilfredsstillende informasjonssikkerhet og internkontroll er etablert gjennom planlagte og systematiske tiltak, jf. POL 13 og 14 med tilhørende forskrifter. DATABEHANDLER plikter å ha systemdokumentasjon og rutinebeskrivelser som er relevante i forbindelse med behandling av personopplysninger etter AVTALEN. Med dokumentasjon menes rutiner for autorisasjon og bruk, ulike tekniske og organisatoriske sikkerhetstiltak etc. DATABEHANDLER er ansvarlig for at dokumentasjonen er tilgjengelig for BEHANDLINGSANSVARLIG, og at dokumentasjonen oppdateres ved endringer. Denne dokumentasjonen skal kunne Side 2 av 5
legges frem for BEHANDLINGSANSVARLIG på forespørsel. Innsyn i dokumentasjonen skal reguleres strengt (gis til et begrenset antall autoriserte personer) slik at dette ikke svekker sikkerhetsnivået. Hvis det forekommer avvik fra etablert informasjonssikkerhetsnivå skal DATABEHANDLER som en del av avviksrutinen umiddelbart sende avviksrapporter til BEHANDLINGSANSVARLIG for avvik som har betydning innenfor avtaleområdet. Dersom det avdekkes fare for at personopplysninger kan komme på avveie, skal det treffes strakstiltak for å forhindre dette, samt varsles i henhold til forrige punktum. DATABEHANDLER skal snarest mulig etter at avvik er oppdaget sende rapport til BEHANDLINGSANSVARLIG der årsaken til avviket fremgår og hvilke korrigerende tiltak som er iverksatt, samt hvilke forebyggende tiltak som skal iverksettes for å hindre at det skjer igjen. DATABEHANDLER plikter å gjennomføre årlige sikkerhetsrevisjoner knyttet til behandlingen av personopplysninger etter denne avtale, jf. POF 2-5. Resultatet av denne skal forelegges BEHANDLINGSANSVARLIG. Dersom BEHANDLINGSANSVARLIGE finner at DATABEHANDLERS informasjonssikkerhet eller internkontroll når det gjelder behandling av personopplysninger ikke er tilfredsstillende, plikter DATABEHANDLER å justere sikkerhetsnivået etter instruks fra BEHANDLINGSANSVARLIG. DATABEHANDLER skal minimum årlig oversende rapport til BEHANDLINGSANSVARLIG der følgende fremgår: Registrerte avvik Sikkerhetsrevisjonsfunn En bekreftelse på at behandling fortsatt er begrenset av formålet angitt i denne databehandleravtalen. 5. Bruk av underleverandører Ved bruk av underleverandører til vedlikehold og oppdatering av registre, databaser med mer, plikter DATABEHANDLER å sørge for at disse leverandørene etterlever de samme krav til informasjonssikkerhet som hviler på DATABEHANDLER, slik at sikkerhetsnivået, som er beskrevet ovenfor, ikke blir svekket. Om personopplysningene skal overføres i eksterne nettverk, skal disse krypteres med tilstrekkelig eller avtalt sikkerhetsnivå. Samtlige som på vegne av DATABEHANDLER utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal skriftlig tiltre DATABEHANDLERs avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse. Bruk av underleverandører skal avtales skriftlig med BEHANDLINGSANSVARLIG før behandlingen starter. Ved bruk av underleverandør i utlandet, må personopplysningsloven 29 og 30 med tilhørende forskrifter følges. Side 3 av 5
6. Revisjon BEHANDLINGSANSVARLIG har rett til å foreta jevnlig sikkerhetsrevisjon av DATABEHANDLERS systemer som benyttes til behandling av personopplysninger. BEHANDLINGSANSVARLIG har rett til å la en tredjepart foreta denne sikkerhetsrevisjonen på sine vegne. Kostnadene for dette skal dekkes av BEHANDLINGSANSVARLIG. 7. Taushetsplikt Alle personopplysninger, jfr. POL 2 og dokumentasjon av behandling av disse, er å anse som konfidensiell informasjon. I henhold til AVTALEN plikter DATABEHANDLER å hindre at uautoriserte får kjennskap til konfidensiell informasjon fra BEHANDLINGSANSVARLIG. DATABEHANDLER er bundet av den samme taushetsplikten uten tidsbegrensning også etter at avtaleforholdet er avsluttet for de personopplysningene som er behandlet. DATABEHANDLER plikter å sørge for at alle som på dennes vegne behandler personopplysninger ihht. AVTALEN signerer taushetserklæring ut fra de krav som stilles i aktuelt lovverk og denne databehandleravtalen. Signerte taushetserklæringer skal oversendes i original til BEHANDLINGSANSVARLIG. 8. Varighet Databehandleravtalen gjelder så lenge DATABEHANDLER behandler personopplysninger på vegne av BEHANDLINGSANSVARLIG. Ved brudd på databehandleravtalen eller personopplysningsloven med forskrifter, kan BEHANDLINGSANSVARLIG pålegge DATABEHANDLER å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning. Brudd på denne databehandleravtalen er å anse som vesentlig mislighold av AVTALEN. 9. Opphør av avtaleforholdet Ved opphør av avtaleforholdet plikter DATABEHANDLER senest innen 3 mnd. å tilbakelevere dokumenter og alle elektroniske data på det medium (server, disk, tape, CD, mv.) som DATABEHANDLER måtte besitte i egenskap av å være databehandler. Alternativt kan dokumenter og elektroniske data etter avtale med BEHANDLINGSANSVARLIG makuleres/ destrueres på en tilfredsstillende måte. DATABEHANDLER har ikke noen rett til å beholde kopi av materialet i noen form for medium. BEHANDLINGSANSVARLIG skal senest innen ovenfor nevnte frist motta en skriftlig bekreftelse fra DATABEHANDLER på at alt materiale er makulert/ destruert eller overlevert til BEHANDLINGSANSVARLIG, og at DATABEHANDLER ikke selv har beholdt noen kopi, avskrift eller annen gjengivelse av noen del av materialet på noe medium. Side 4 av 5
10. Meddelelser Meddelelser etter databehandleravtalen skal sendes skriftlig til direktør for behovsenhet Postboks 4414 Bedriftssenteret 2325 Hamar INTER-120-11 Bilag 6 - Databehandleravtale 11. Lovvalg og verneting Avtalen er underlagt norsk rett og partene vedtar Hedmarken tingrett som verneting. Dette gjelder også etter at avtalen er opphørt. Denne avtale i 2 to eksemplarer, hvorav partene får hvert sitt. Sted/ dato (BEHANDLINGSANSVARLIG) xxxxxxx (DATABEHANDLER) Side 5 av 5