Databehandleravtaler m.m. etter GDPR

Like dokumenter
Arkivsystemer med skyløsninger

Databehandleravtale. Charlotte Lindberg Difi

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Personvern - sjekkliste for databehandleravtale

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Databehandleravtale for NLF-medlemmer

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Styret Helse Sør-Øst RHF 14. desember 2017

Public 360 Online Datasikkerhet

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Sikkerhet og personvern i skole og klasserom

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Databehandleravtale etter personopplysningsloven m.m

MEDISINERINGSSTØTTE. Litt om avtalene. Medisineringsstøtte Larvik Mars 2019

Bilag 14 Databehandleravtale

Presentasjon avtale om løpende tjenestekjøp (SSA-L) Charlotte Lindberg, seniorrådgiver Difi

Nye personvernregler

Informasjon interesseorganisasjoner

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Kan du legge personopplysninger i skyen?

Nye personvernregler

Skytjenester i skolen

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Personvernombud i Norge og databeskyttelsesansvarlig i EU-Kommisjonens forslag til forordning om databeskyttelse

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Noen aktuelle tema for personvernombud i finans

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

Skytjenester bruk dem gjerne, men bruk dem riktig

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

GDPR Hva, hvordan og når

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Personvernerklæring for Flyt Høgskolen i Molde

Hvordan oppfyller du personvernforordningens (GDPR) krav til dokumentasjon? Frokostseminar - Sesam.no 30. august 2017 senioradvokat Jens C.

GDPR Prosjektgjennomføring Sjekkliste

Tjenester i skyen hva må vi tenke på?

Tredjepartsvilkår. Charlotte Lindberg Difi

Retningslinjer for databehandleravtaler

CRM-løsninger i skyen - hva har du lov til å lagre?

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

Personvern i praksis, GDPR personvernforordningen erfaringer

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Ny personopplysningslov og personvernforordning mai 2018 Personalledersamling 7. og 8. november

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Diabetesforbundet. Personvernerklæring

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Bilag 1 Omforent spesifikasjon av SaaS-tjenestene med forutsetninger og vilkår

EUs nye forordning for personvern

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Kunden er behandlingsansvarlig Unifaun er databehandler

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

GDPR-status fra en kommune

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Arkiv skal ikkje førast ut or landet

Endringer av leveransen etter avtaleinngåelse

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

POWEL DATABEHANDLERAVTALE

Personvern i skyen Medlemsmøte i Cloud Security Alliance

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Hva gjør så KiNS og KS med GDPR?

Registrerte og personopplysninger som behandles

Offshoring, skytjenester og Binding Corporate Rules - foredrag for Dataforeningen, 1. desember Bjørn Erik Thon Jørgen Skorstad

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

Prosedyre for personvern

Transkript:

Databehandleravtaler m.m. etter GDPR Pågående arbeid med å lage gode maler et samarbeid med KS Kjersti Jensen Jurist Oslo kommune Byrådsavdelingen for finas

Det var en gang Hvordan har møtet med leverandørene vært? Hva sier leverandørene? «Det er ingen andre enn dere som stiller slike krav» «Vi oppfyller kravene i EU Model Clause» «By the way vi har dynamiske avtaler med rang før EU Model Clause» «Det er HELT uaktuelt å tilpasse avtalene våre til denne leveransen» Vi var kanskje ikke helt «på stell» selv heller? «Jada, leverandøren har underskrevet datatilsynets mal for Databehandleravtaler» «Vi må jo stole på at leverandørene tar personvern alvorlig» «Vi bruker SSA, og der er jo personvern regulert!»

Fra juristens hverdag Et visst behov for å være «superselger» «Dette kan vi helt unødvendig med en jurist» «Så lenge risikovurderingen ikke viser at det er fare for «liv og helse» så behøver vi ikke å tenke personvern» «Informasjon om hvem som har tilgangsrettigheter til et system, behøver ikke noen beskyttelse» Så hva gjorde vi? Jurist allierte seg med sikkerhetsansvarlig Avtale 1 40% av hva som burde vært med Avtale 2 50% av hva som burde vært med osv Så kom det endelige utkastet til GDPR og en ny sjef som skjønte sikkerhet og penger Vips «Dette er viktig vi må forsøke å være i alle fall 95%»

Hovedutfordringene våre: Nytt regelverk - GDPR Bruk av skytjenester Lange kjeder av underleverandører Mangelfulle oversikter over hva som behandles Innenfor og utenfor EU/EØS Bruk av EU Model Clause Likebehandling av alle leverandører Og helt ærlig, så møtte vi også noen slike

Lokalisering av data / tilgang til data Personopplysninger, kan ikke data lagres utenfor EØS uten bruk av særlige avtaleinstrumenter etc. = JURISTMAT Aksessering av personopplysninger, kan ikke foretas fra steder utenfor EØS uten bruk av særlige avtaleinstrumenter etc. = JURISTMAT Omfatter også vedlikeholdstjenester og support NB! Dette gjelder hele leverandørkjeden!! Særlig relevant ved bruk av skytjenester!!

Hva gjorde vi? Anskaffelsesjurist møter personvernjurist møter sikkerhetssjef Vi startet med: Datatilsynets mal Oppdaterte mot nye krav i GDPR Tok inn sikkerhetskrav fra bilag 1 i SSA Tok inn krav i Databehandleravtalen i bilag 1 personvern Og så var det dette med utenfor EU/EØS: Kan vi nøye oss med bare å bruke EU Model Clause for hele leverandørkjeden? Nei sa art. 29 gruppen EU Model Clause kan ikke brukes innenfor EU/EØS

Litt mer om EU Model Clause EUs Model Clause konseptet består i realiteten av 6 deler: Selve beslutningen fra EU inneholder 5 deler, hvorav 3 er standardiserte. Videre forutsettes det at EU Model Clause suppleres av «Kundens instruks til Databehandler/Dataimportør». Totalt skal vi derfor forholde oss til 6 dokumenter: 1. Tolkningsmomenter - Nr. 1-26 (preambelen) 2. Selve avgjørelsen fra EU Artikkel 1-8 Selve avtaleteksten til EU Model Clause - som igjen består av: 3. Standard avtaletekst 4. Bilag 1 Kundens beskrivelse av sin virksomhet, den behandling som skal gjøres m.m. 5. Bilag 2 Leverandørens beskrivelser sin virksomhet, sikkerhetstiltak m.m. 6. «Kundens instruks til Databehandler/Dataimportør»

Hvordan kunne vi sikre likebehandling - innenfor og utenfor EU/EØS? For EØS baserte leverandører benyttet vi: Gode beskrivelser og krav i bilag 1 til SSA Vår «nyutviklede» Databehandleravtale For leverandører utenfor EØS benyttet vi: Standarddokumentene i EU Model Clause Bilag 1 til EU Model Clause = beskrivelser og krav fra bilag 1 til SSA Bilag 2 til EU Model Clause = Leverandørens svar (normalt tilsvarende svarene i bilag 2 til SSA) «Kundens instruks til Databehandler/Dataimportør» = som vi gjorde identiske med kravene i databehandleravtalen Dvs. databehandleravtalen ble «skrevet om» til en «behandlingsansvarliges instruks»

Hvordan kunne vi ta dette videre? Kunne vi gjøre det enklere for dem som ikke steller med GDPR til daglig for GDPR er komplisert!!! Kunne vi forbedre det offentliges forhandlingsposisjon? Like krav vil kunne gjøre kravene vanskeligere å avise Kunne vi gjøre det enklere for leverandørene? Like krav vil kunne gjøre det lettere å standardisere leveransen? Kunne vi kort og godt forsøke å få til en standard? Hvem kan vi få med oss? Vips vi fant vi en driftig dame i KS

Hva forsøker vi å standardisere? Databehandleravtale (innen EØS) Vedlegg til EU Model Clause med instruks (utenfor EØS) SSA bilag 1 Informasjonssikkerhet Personvern Trolig behov for maler tilpasset den enkelte type SSA

Kontaktinformasjon Kjersti Jensen kjersti.jensen@byr.oslo.kommune.no Tlf. 90 59 23 99

Vi kommer tilbake med mer!!!

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding