VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Like dokumenter
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Databehandleravtaler

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Bilag 14 Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Policy for personvern

Databehandleravtale for. Konkurranse om rutenettet i Trondheim, Klæbu, Malvik og Melhus. Vedlegg 10 Databehandleravtale Versjon 2.

Databehandleravtale digitale arkiv og uttrekk for deponering

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.

Nye personvernregler

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Personopplysninger og opplæring i kriminalomsorgen

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. Mellom

Databehandleravtale etter personopplysningsloven

Personvern - sjekkliste for databehandleravtale

Personvern og informasjonssikkerhet

Databehandleravtale etter personopplysningsloven

BEHANDLING AV PERSONOPPLYSNINGER

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Databehandleravtale etter personopplysningsloven

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. behandlingsansvarlig

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriften kapittel 2. mellom

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Registrerte og personopplysninger som behandles

Databehandleravtale for NLF-medlemmer

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale etter personopplysningsloven

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Databehafiileravtale ' ---

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Retningslinjer for databehandleravtaler

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtalen skal sikre at personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Endelig kontrollrapport

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtale etter personopplysningsloven m.m

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

POWEL DATABEHANDLERAVTALE

Databehandleravtale. Denne avtalen er inngått mellom

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Endelig kontrollrapport

Prosedyre for personvern

VIRKE. 12. mars 2015

PERSONVERNERKLÆRING. Innledning

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Personvernerklæring for medlemmer

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Transkript:

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler skal yte tjenester overfor Crawford & Company (Norway) AS (Behandlingsansvarlig) og de ulike forsikringsgivere som er med i Crawfords Innkjøpssamarbeid (Behandlingsansvarlig) ( Hovedavtalen ). Hovedavtalen innebærer blant annet at Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig. Avtalen regulerer rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (POL) og forskrift av 15. desember 2000 nr. 1265 (POF). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen regulerer Databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse. 2. Definisjoner av noen sentrale begreper Personopplysninger betyr opplysninger og vurderinger som kan knyttes til en enkeltperson. Sensitive personopplysninger betyr opplysninger om a. rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b. at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c. helseforhold, d. seksuelle forhold, og/eller e. medlemskap i fagforeninger. Når det ikke særskilt presiseres og denne Avtale henviser til personopplysninger, menes også sensitive personopplysninger. Behandling betyr enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring, utlevering eller en kombinasjon av slike bruksmåter. Registrert betyr den person som opplysninger og vurderinger kan knyttes til. Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige. Side 1 av 5

3. Behandling av personopplysninger Formål og tillatt behandling Databehandler kan kun behandle personopplysninger slik det fremkommer i denne avtalen. Databehandler skal foreta taksering i enkeltsaker og foreta rådgivning generelt i henhold til Hovedavtalen. Databehandler kan kun behandle personopplysninger ved taksering av enkeltsaker. Med behandling av enkeltsaker menes: a. faktainnsamling for å avgjøre om det foreligger et krav som er dekningsmessig under forsikringsavtalen, b. faktainnsamling og utføring av undersøkelser for å avklare erstatningsomfanget eller erstatningsutmålingen under en forsikringsavtale, c. sikre verdier tilhørende forsikringstaker/sikrede eller Behandlingsansvarlig d. faktainnsamling for å sikre regressadgang for Behandlingsansvarlig, og/eller e. utgreing og vurderinger i forhold til om det foreligger et krav som er dekningsmessig, erstatningsomfang eller erstatningsutmåling, sikring av verdier og sikring av regressadgang. Databehandler kan behandle følgende personopplysninger knyttet til enkeltsaker; a. Navn, adresse på forsikringstaker, skadelidte, sikrede, vitner b. Beskrivelse av skadetilfellet; årsak, skadet objekt m.v. c. Skadenummer d. Registreringsnummer kjøretøy, båt Databehandler kan behandle personopplysninger på følgende måte; a. Registrere opplysningene i takseringssystemet, som Databehandler har lisens til å bruke eller i regnskapssystem. Disse systemene skal opplyses ved tilknytning og ved senere fornyelse av Hovedavtalen. b. Opprette og oppbevare fysiske saksmapper. Databehandler skal destruere opplysninger og mapper når det ikke lenger er nødvendig å oppbevare disse og senest når det ikke lenger foreligger krav om at disse oppbevares i henhold til regnskapslovgivning eller andre aktuelle lovregler. Personopplysninger må oppbevares uten mulighet for innsyn fra uvedkommende. Fysiske dokumenter med personopplysninger skal når de ikke er under tilsyn fra den som må ha tilgang under utføring av arbeid være innelåst uten mulighet for innsyn fra uvedkommende. c. Opprette og oppbevare elektroniske saksmapper. Databehandler skal destruere opplysninger og mapper når det ikke lenger er nødvendig å oppbevare disse og senest når det ikke lenger foreligger krav om at disse oppbevares i henhold til regnskapslovgivning eller andre aktuelle lovregler. Databehandler skal sørge for at det foreligger nødvendig sikkerhet for å verne uvedkommende fra å få innsyn i personopplysninger, herunder tilfredsstillende brannmur. d. Korrespondanse med sikrede/skadelidte/forsikringstaker/vitner og Behandlingsansvarlig pr. telefon og email. Databehandler skal ikke sende sensitive personopplysninger, samt Side 2 av 5

bankkontonr. og fødsel- og personnummer, pr email med mindre det benyttes kryptering godkjent av Behandlingsansvarlig. e. Sammenstille i rapporter der dette følger av Hovedavtalen og etter instruksjon fra Behandlingsansvarlig. Databehandler kan bare håndtere personopplysninger innenfor følgende ramme: a. Databehandler kan samle inn, registrere, sammenstille og lagre informasjon eller en kombinasjon av disse. b. Databehandler kan bare innhente de opplysninger som er nødvendig og relevant for behandlingen av enkeltsaker. Intern kontroll for informasjonssikkerhet og rutiner for behandling av personopplysninger, herunder sensitive opplysninger; Databehandlers skal ha et system for Internkontroll for informasjonssikkerhet. Systemet og rutinene skal gjelde innsamling, bruk, innsyn, retting, sletting, utlevering, oppbevaring, arkivering og makulering. Disse dokumentene og rutinene skal ivareta den registrertes rettigheter. Det vises videre til denne Avtalens punkt om sikkerhet, sikkerhetsrevisjoner og intern kontrollrutiner. 4. Hvem som skal ha tilgang til personopplysninger hos Databehandler Oppdrag tildeles av Behandlingsansvarlig på ad hoc basis. Det er kun takstmann/ansatte ved takstfirma, dennes eventuelle regnskapsfører som skal ha tilgang til personopplysninger og bare så langt det er nødvendig for utføring av arbeid. Databehandler må sørge for at uvedkommende ikke får tilgang til personopplysninger, i fysiske dokumenter så vel som i elektroniske filer, dokumenter m.v. 5. Utlevering av personopplysninger til tredjepart og Databehandlers bruk av underleverandør Databehandler kan bare utlevere personopplysninger til: a. Behandlingsansvarlig, b. Den registrerte selv eller dennes stedfortreder slik som advokat, verge og lignende, c. Når det offentlige med hjemmel i lov ber om dette; slik som NAV, toll- og skattemyndigheter, politi, namsmann osv., d. Slike opplysninger bes fremlagt av retten i en sak for domstolen eller det foreligger dom for at slik informasjon skal utleveres, og/eller e. Underleverandører der dette er avtalt med Behandlingsansvarlig. Databehandler kan utlevere personopplysninger underleverandører så langt det er nødvendig for at underleverandør skal kunne utføre sitt oppdrag (der det kreves fullmakt fra den registrerte skal dette innhentes). Databehandler kan kun utlevere personopplysninger til underleverandører når disse er meldt inn til Crawford & Company ved inngåelse av avtale eller fornyelse via email og web-verktøy. Dersom Databehandler bytter eller får nye underleverandører meldes disse til Crawford & Company. Dersom Databehandler bruker underleverandør plikter Databehandler å sørge for at det foreligger avtale om Databehandling med denne/disse. Side 3 av 5

Takstmann/takstfirma skriver inn underleverandører, eks takseringssystem, IKT tjenester, regnskapsfører inn i web-verktøyet. 6. Behandlingsansvarliges eierskap til og instruksjonsmyndighet over personopplysninger Behandlingsansvarlige er eier av Personopplysningene. Behandlingsansvarlig har full rådighet over Personopplysningene med de begrensninger som følger av avtale mellom partene og innenfor gjeldende rettsregler. Databehandler står til enhver tid under instruksjon fra Behandlingsansvarlig etter POL. I denne egenskap kan Behandlingsansvarlig når som helst endre kravene til hvilke opplysninger som skal behandles, hvordan opplysningene skal behandles og hvilke rammer som gjelder for behandlingen etter denne Databehandleravtalen. 7. Sikkerhet, sikkerhetsrevisjoner og intern kontroll rutiner Databehandler er kjent med de bestemmelser og krav til sikkerhetstiltak som stilles etter POL 15 og 13 med tilhørende forskrifter. Databehandler har et system for Internkontroll for informasjonssikkerhet. Avvikshåndtering er en del av Databehandlers intern kontroll system. Håndtering av avvik etter POF 2-6, herunder uautorisert utlevering av personopplysninger, skal skje ved at Databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet der dette er påkrevd. Databehandler skal påse at det gjennomføres jevnlig sikkerhetsrevisjoner for systemer og lignende. Dette utgjør en del av Databehandlers system for Internkontroll for Informasjonssikkerhet og fremkommer av oversikten over internkontrollsystemet. Kontrollen skal omfatte gjennomgang av rutiner, stikkprøvekontroller, stedlig kontroll og andre egnede kontrolltiltak. Databehandler er ansvarlig for fysiske sikringstiltak for å forhindre uvedkommende sin tilgang til personopplysninger som Databehandler behandler. Databehandler er ansvarlig for tilgangskontroll og kontrollmekanismer til systemer hvor Databehandler behandler personopplysninger. 8. Behandlingsansvarliges plikter Behandlingsansvarlig er å regne som behandlingsansvarlig for Personopplysningene i henhold til POL. Behandlingsansvarlig plikter å ivareta reglene i Personopplysningsloven blant annet gjennom å sørge for eventuell konsesjon. I medhold av POF 2-15 plikter Behandlingsansvarlig å ha kunnskap om sikkerhetsstrategien hos Databehandler, og skal jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. 9. Databehandlerens plikter Databehandleren kan ikke behandle personopplysninger på annen måte enn det som går frem av Hovedavtalen med vedlegg, inkludert denne Avtale. Databehandleren skal gjennom planlagte og systematisk tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, Side 4 av 5

integritet og tilgjengelighet for Personopplysningene. Databehandleren plikter å holde seg informert om eventuelle endringer i lovgivningen som får betydning for Avtalen. Databehandler plikter å gi Behandlingsansvarlig nødvendig tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette. Databehandleren plikter på 30 dagers skriftlig varsel å gi Behandlingsansvarlig adgang til lokaler og dokumenter som er nødvendig for at Behandlingsansvarlig skal kunne foreta nødvendig sikkerhetsrevisjon i henhold til POL og POF 2-15. Databehandler plikter å gi behandlingsansvarlig og offentlig myndighet nødvendig adgang til lokaler og dokumenter i forbindelse med tilsyn fra offentlig myndighet. Databehandler er på vegne av Behandlingsansvarlige underlagt taushetsplikt. Taushetsplikten gjelder alle forhold Databehandler blir kjent med om noen registrertes private eller forretningsmessige forhold. Taushetsplikten gjelder også etter at oppdraget er avsluttet. 10. Den registrertes rettigheter Databehandler skal behandle henvendelser fra de registrerte om innsyn (POL 18), retting og sletting (POL 27 og 28) vedrørende opplysninger som er registrert hos Databehandler. Databehandler skal svare den registrerte så snart som mulig og senest innen 30 dager. Databehandler plikter å underrette Crawford & Company (Behandlingsansvarlig) straks Databehandler mottar henvendelsen. Mottar Behandlingsansvarlig en henvendelse fra den registrerte om for eksempel innsyn (POL 18), eller retting og sletting (POL 27 og 28) velger Behandlingsansvarlig om de vil at Databehandler skal håndtere henvendelsen eller ikke på vegne av dem. 11. Ved opphør Ved opphør kan Behandlingsansvarlig med 30 dagers varsel kreve å få utlevert alle Personopplysninger Databehandler har mottatt på vegne av den Behandlingsansvarlige og som omfattes av denne avtalen. Med samme varsel kan Behandlingsansvarlig kreve at Databehandleren sletter alle Personopplysninger Databehandler har mottatt på vegne av den Behandlingsansvarlige og som omfattes av denne avtalen. Når data er overlevert skal Databehandler slette eller forsvarlig destruere alle dokumenter og data, herunder sikkerhetskopier. Databehandler skal ikke slette dokumenter og data som Databehandler kan lagre i henhold til lov og/eller for å fastsette, gjøre gjeldende eller forsvare et rettskrav. 12. Avtalens varighet Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av behandlingsansvarlig. Hovedavtalens regler om oppsigelse og opphør gjelder tilsvarende. Avtalen anses inngått når takstmann/takstfirma har akseptert denne i web-verktøyet. Side 5 av 5

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding