Common use of Databehandlers plikter Clause in Contracts

Databehandlers plikter. Databehandler skal påse at alle personopplysninger blir behandlet i overensstemmelse med inngått avtale med den behandlingsansvarlige, jf personopplysningsloven § 15. Personopplysningene skal ikke benyttes på annen måte eller til annet formål enn hva som er avtalt med den behandlingsansvarlige. Behandlingen skal skje i samsvar med reglene i den til enhver tid gjeldende personopplysningslov og forskrift og på den måten som den behandlings - ansvarlige til enhver tid fastsetter, se Vedlegg 9 Reglement for behandling av person og virksomhetskritiske opplysninger i Ruter. Databehandleren skal ivareta alle sine plikter og gjennomføre sikringstiltak for å trygge informasjonssikkerheten slik dette er beskrevet i personopplysningsloven, jf personopplysningsloven § 15 og § 13 med tilhørende forskrifter. Databehandleren må derfor bl.a. selv sørge for å ha forsvarlig sikring av servere, database og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til person- eller virksomhetskritiske opplysninger. Databehandleren skal videre ha et styringssystem for sikkerhet iht personopplysningsforskriften, som omfatter – men ikke avgrenses til nedenstående rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet herunder sikkerhetsbrudd. • Sikkerhetsrevisjon som omfatter jevnlig oversendelse av de deler av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Databehandleren skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for.

Databehandlers plikter. Databehandler bekrefter at det vil gjennomføres tekniske og organisatoriske tiltak som sikrer at all behandling under denne Avtalen oppfyller kravene i personvernlovgivningen og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32. Databehandleren skal bare behandle personopplysningene basert på dokumenterte instrukser fra den behandlingsansvarlige. Databehandleren skal til enhver tid kunne dokumentere slike instrukser. Databehandleren skal ikke behandle personopplysninger som det er tilgang til på annen måte enn det som er nødvendig for å utføre de oppdrag som Databehandleren har for den Behandlingsansvarlige. Databehandler skal påse at alle personopplysninger blir behandlet bistå i overensstemmelse å svare på anmodninger fra registrerte hensyntatt behandlingens art, og i den grad det er mulig, bistå ved hjelp av egnede tekniske og organisatoriske tiltak. Dette gjelder både anmodninger fra de registrerte om å utøve sine rettigheter samt bistå den behandlingsansvarlige med inngått avtale med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet. Tilsvarende gjelder ved vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt den informasjonen som er tilgjengelig for databehandler. Databehandler skal føre protokoll (logg) over behandlingsaktiviteter denne utfører på vegne av den behandlingsansvarlige, jf personopplysningsloven § 15. Personopplysningene som skal ikke benyttes på annen måte eller til annet formål enn hva inneholde minimum den informasjon som er avtalt med pålagt etter personvernforordningen artikkel 30. Den behandlingsansvarlige kan til enhver tid kreve oversendt kopi av slik protokoll. Databehandleren skal gjøre tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i punkt 3 er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av den behandlingsansvarlige. Behandlingen skal skje i samsvar med reglene i den Dette omfatter også å gi tilgang til enhver tid gjeldende personopplysningslov sikkerhetsdokumentasjon. Den behandlingsansvarlige har selv det direkte ansvaret overfor aktuelle tilsynsmyndigheter. Databehandler har taushetsplikt om dokumentasjon og forskrift og på den måten personopplysninger som den behandlings - ansvarlige vedkommende får tilgang til enhver tid fastsetter, se Vedlegg 9 Reglement for behandling av person og virksomhetskritiske opplysninger i Ruteriht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Databehandleren skal ivareta alle sine plikter og gjennomføre sikringstiltak ikke utlevere opplysninger eller informasjon som behandles for å trygge informasjonssikkerheten slik dette den behandlingsansvarlige til tredjepart uten eksplisitt pålegg fra den behandlingsansvarlige. Er Databehandleren av den oppfatning at en instruks fra den Behandlingsansvarlige er beskrevet i personopplysningslovenstrid med personvernlovgivningen eller annen lovgivning, jf personopplysningsloven § 15 og § 13 med tilhørende forskrifter. skal Databehandleren må derfor bl.a. selv sørge for å ha forsvarlig sikring av servere, database og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til person- eller virksomhetskritiske opplysninger. Databehandleren skal videre ha et styringssystem for sikkerhet iht personopplysningsforskriften, som omfatter – men ikke avgrenses til nedenstående rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet herunder sikkerhetsbrudd. • Sikkerhetsrevisjon som omfatter jevnlig oversendelse av de deler av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Databehandleren skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov forumiddelbart underrette den Behandlingsansvarlige om dennes oppfatning.

Databehandlers plikter. Databehandler skal påse følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at alle behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette. Databehandler har taushetsplikt om dokumentasjon og personopplysninger blir behandlet som vedkommende får tilgang til iht. denne avtalen. Databehandler har ansvar for at personell (hos databehandler eller underleverandør som denne benytter) med tilgang til opplysningene, alltid skal ha underskrevet taushetserklæring før tilgang gis. Taushetsplikten gjelder også etter avtalens opphør. Det skal fremgå klart dersom Databehandleren kan overlate personopplysninger til andre for oppbevaring, bearbeiding eller annen bruk. Databehandler skal behandle personopplysninger i overensstemmelse forbindelse med inngått avtale med den levering av helse- og omsorgstjenester til behandlingsansvarlige. Dette omfatter personopplysninger om brukere av helse- og omsorgstjenester. Databehandler skal foreta innsamling, registrering, sammenstilling, lagring, behandling, utlevering eller kombinasjoner av disse som er nødvendig for å oppfylle pliktene i krisesenterloven. Databehandler har ansvar for tilfredsstillende informasjonssikkerhet mht. konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger, jf. personopplysningsloven § 13. Datahandler skal dokumentere informasjonssystemet og sikkerhetstiltakene. Databehandler skal sikre overholdelse av pliktene i personopplysningsforskriftens kap. 2 (informasjonssikkerhet) og kap. 3 (internkontroll). Databehandler skal håndtere krav om innsyn (jf. personopplysningsloven § 18) og krav om retting (jf personopplysningsloven § 1527) fra registrert bruker av helse- og omsorgstjenester. Personopplysningene Databehandler skal ikke benyttes på annen måte eller til annet formål enn hva som er avtalt med den behandlingsansvarlige. Behandlingen skal skje sikre overholdelse av § 28 i samsvar med reglene i den til enhver tid gjeldende personopplysningslov og forskrift og på den måten som den behandlings - ansvarlige til enhver tid fastsetter, se Vedlegg 9 Reglement for behandling av person og virksomhetskritiske opplysninger i Ruter. Databehandleren skal ivareta alle sine plikter og gjennomføre sikringstiltak for personopplysningsloven (forbud mot å trygge informasjonssikkerheten slik dette er beskrevet i personopplysningsloven, jf personopplysningsloven § 15 og § 13 med tilhørende forskrifter. Databehandleren må derfor bl.a. selv sørge for å ha forsvarlig sikring av servere, database og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til person- eller virksomhetskritiske lagre unødvendige opplysninger. Databehandleren skal videre ha et styringssystem for sikkerhet iht personopplysningsforskriften, som omfatter – men ikke avgrenses til nedenstående rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet herunder sikkerhetsbrudd. • Sikkerhetsrevisjon som omfatter jevnlig oversendelse av de deler av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Databehandleren skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for).

Databehandlers plikter. Databehandler skal påse følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at alle behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette. Databehandler har taushetsplikt om dokumentasjon og personopplysninger blir behandlet som vedkommende får tilgang til iht. denne avtalen. Databehandler har ansvar for at personell (hos databehandler eller underleverandør som denne benytter) med tilgang til opplysningene, alltid skal ha underskrevet taushetserklæring før tilgang gis. Taushetsplikten gjelder også etter avtalens opphør. Det skal fremgå klart dersom Databehandleren kan overlate personopplysninger til andre for oppbevaring, bearbeiding eller annen bruk. Databehandler skal behandle personopplysninger i overensstemmelse forbindelse med inngått avtale med den levering av helse- og omsorgstjenester til behandlingsansvarlige. Dette omfatter personopplysninger om brukere av helse- og omsorgstjenester. Databehandler skal foreta innsamling, registrering, sammenstilling, lagring, behandling, utlevering eller kombinasjoner av disse som er nødvendig for å oppfylle pliktene i krisesenterloven. Databehandler har ansvar for tilfredsstillende informasjonssikkerhet mht konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger, jf personopplysningsloven § 1513. Personopplysningene Datahandler skal ikke benyttes på annen måte eller til annet formål enn hva som er avtalt med den behandlingsansvarligedokumentere informasjonssystemet og sikkerhetstiltakene. Behandlingen Databehandler skal skje sikre overholdelse av pliktene i samsvar med reglene i den til enhver tid gjeldende personopplysningslov personopplysningsforskriftens kap 2 (informasjonssikkerhet) og forskrift og på den måten som den behandlings - ansvarlige til enhver tid fastsetter, se Vedlegg 9 Reglement for behandling av person og virksomhetskritiske opplysninger i Ruterkap 3 (internkontroll). Databehandleren Databehandler skal ivareta alle sine plikter og gjennomføre sikringstiltak for å trygge informasjonssikkerheten slik dette er beskrevet i personopplysningsloven, håndtere krav om innsyn (jf personopplysningsloven § 15 18) og krav om retting (jf personopplysningsloven § 13 med tilhørende forskrifter27) fra registrert bruker av helse- og omsorgstjenester. Databehandleren må derfor bl.a. selv sørge for Databehandler skal sikre overholdelse av § 28 i personopplysningsloven (forbud mot å ha forsvarlig sikring av servere, database og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til person- eller virksomhetskritiske lagre unødvendige opplysninger. Databehandleren skal videre ha et styringssystem for sikkerhet iht personopplysningsforskriften, som omfatter – men ikke avgrenses til nedenstående rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet herunder sikkerhetsbrudd. • Sikkerhetsrevisjon som omfatter jevnlig oversendelse av de deler av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Databehandleren skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for).