Common use of Informasjonssikkerhet Clause in Contracts

Informasjonssikkerhet. Databehandler skal gjennom egnede organisatoriske og tekniske tiltak sørge for forsvarlig informasjonssikkerhet i sine systemer for Behandling av Personopplysninger og annen informasjon knyttet til oppdraget for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Databehandler skal ha dokumenterte autorisasjonsordninger for ansatte som skal få tilgang til å behandle Personopplysninger. Databehandler må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler skal ha et styringssystem. Systemet skal omfatte, men skal ikke avgrenses til, rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarlig. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler skal bistå Behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: • Varsling av avvik, jf. punkt 5 • Bistå Behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. • Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet. Databehandler skal oppfylle øvrige krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslov og GDPR art 32 og 33.

Informasjonssikkerhet. Databehandler skal gjennom egnede organisatoriske og tekniske tiltak sørge for forsvarlig informasjonssikkerhet i sine systemer for Behandling av Personopplysninger og annen informasjon knyttet til oppdraget for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Databehandler skal ha dokumenterte en dokumentert autorisasjonsordninger for ansatte som skal få tilgang til å behandle Personopplysninger. Databehandler må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler skal ha et styringssystem. Systemet skal omfatte, men skal ikke avgrenses til, rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarlig. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler skal bistå Behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: • Varsling av avvik, jf. punkt 5 • Bistå Behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. • Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet. Databehandler skal oppfylle øvrige krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslov og GDPR art 32 og 33.

Informasjonssikkerhet. Databehandler Databehandleren skal gjennom egnede organisatoriske og tekniske tiltak sørge for forsvarlig informasjonssikkerhet i sine systemer for Behandling av Personopplysninger og annen informasjon knyttet oppfylle de krav til oppdraget for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov forstilles etter gjeldende personopplysningslov og GDPR art 32. Databehandler skal ha dokumenterte en dokumentert autorisasjonsordninger for ansatte hos Databehandleren som skal få tilgang til å behandle Personopplysningerpersonopplysninger. Databehandler For å oppfylle disse kravene, har databehandleren en plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for den behandlings- ansvarlige. Databehandleren må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysningerpersonopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler Databehandleren skal ha et styringssystem. Systemet skal omfatte, omfatte – men skal ikke avgrenses til, til - rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding Databehandleren skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarligetablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler Databehandleren skal også bistå Behandlingsansvarlig behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: • Varsling av avvik, jf. punkt 5 • Informasjon om nye momenter som har betydning for å vurdere personvernrisikoen for tjenesten. • Bistå Behandlingsansvarlig behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. • Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet. Databehandler Avviksmelding skal oppfylle øvrige krav skje ved at databehandleren uten unødvendig opphold melder avviket til sikkerhetstiltak som stilles den behandlingsansvarlige. Den behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet. Se for øvrig bilag 2 for en veiledning i internkontroll og informasjonssikkerhet (utarbeidet etter gjeldende personopplysningslov og GDPR art 32 og 33.gammel lovgivning men i hovedsak også relevant etter GDPR)

Informasjonssikkerhet. Databehandler Ved avslutning av det enkelte oppdrag og når oppdrags - eller bistandsavtalen opphører skal gjennom egnede organisatoriske Leverandøren og tekniske tiltak innleid personell overlevere det innsamlede og arkiverte materiale som Kunden ber om. Materialet er Kundens eiendom. Materiale som kunden ikke ønsker å motta, skal makuleres på en betryggende måte av Leverandøren. Ved Leverandørens arbeid i Kundens lokaler eller systemer, så skal konsulenten gjøre seg kjent med og følge retningslinjene som gjelder for Brønnøysundregistrene. Partene skal sørge for forsvarlig informasjonssikkerhet oppbevaring og sikkerhetskopiering av dokumenter og annet materiale. Herunder også e-post og annet elektronisk materiale. Leverandøren har risikoen og ansvaret for alt materiale, uansett form, som måtte bli skadet eller ødelagt mens det befinner seg under Leverandørens kontroll. Leverandøren og konsulenten skal følge Kundens retningslinjer for informasjonshåndtering i forbindelse med levering av sine systemer ytelser under avtalen slik at gradert informasjon, personinformasjon, sensitiv personinformasjon, informasjon unntatt offentlighet sikres og behandles i henhold til gjeldende retningslinjer. Leverandøren og innleid personell skal i forbindelse med levering av sine ytelser under avtalen behandle eventuelle personopplysninger i henhold til personopplysningsloven med forskrifter og veiledninger. Leverandøren og innleid personell skal i forbindelse med levering av sine ytelser under avtalen behandle eventuell informasjon som er "unntatt offentlighet" i henhold til offentleglova. Leverandøren og innleid personell skal i forbindelse med levering av sine tjenester, kun benytte utstyr og løsninger stilt til rådighet av Xxxxxx hvis det blir snakk om å håndtere informasjon som er gradert BEGRENSET. Leverandøren og innleid personell skal i forbindelse med levering av sine ytelser under avtalen behandle systemdokumentasjon som er BEGRENSET i.h.t sikkerhetsloven med forskrifter og veiledninger. Dette gjelder elektroniske dokumenter og dokumenter på papir. Leverandøren skal tegne sikkerhetsavtale med Kunden for Behandling utveksling av Personopplysninger informasjon gradert BEGRENSET. Det forutsettes at tilbudt ressurs kan bli autorisert for BEGRENSET i henhold til sikkerhetsloven. Hvis det blir aktuelt, så skal Leverandøren anskaffe godkjent skap/lokale for å behandle og annen informasjon knyttet til oppdraget lagre dokumenter i papirform gradert "BEGRENSET". Konsulenten må kunne starte arbeidet innenfor perioden 20.9.2024 – 30.9.2024 Bistanden skal løpe fra oppstartdato og i 11 måneder fram i tid, med mulighet for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Databehandler skal ha dokumenterte autorisasjonsordninger for ansatte som skal få tilgang Kunden til å behandle Personopplysningerforlenge avtalen ytterligere med inntil 3 måneder av gangen, i totalt 9 måneder. Databehandler Dvs. at varigheten på avtalen vil kunne bli totalt 20 måneder. Avtalen blir automatisk forlenget med 3 måneder hvis ikke avtalen blir sagt opp senest 1 måned før avtaleperioden utløper. Konsulentens første mulige oppstartsdato: _____________ Bilag 3 Administrative bestemmelser Bemyndigede representanter for partene: For Kunden For Leverandøren Navn: Xxxx Xxxxxxx Navn: Stilling: Underdirektør Stilling: Telefon: 00000000 Telefon: E-post: xxx@xxxxx.xx E-post: Prosedyrer og varslingsfrister for utskifting av bemyndiget representant: Partene plikter så langt det er mulig å varsle utskifting av bemyndigede representanter 2 måneder i forkant av når utskifting må sørge være gjennomført. Avtalen punkt 1.6 Nøkkelpersonell Konsulentens nøkkelpersonell i forbindelse med utførelsen av Bistanden: Navn Kompetanseområde E-post Telefon [Navn på tilbudt konsulent] Kundens nøkkelpersonell i forbindelse med utførelse av Bistanden Navn Kompetanseområde E-post Telefon Xxxx Xxxxxxx Informasjonsteknologi xxx@xxxxx.xx 40612007 Bilag 4 Pris og prisbestemmelser Alle priser som oppgis skal være i norske kroner, og vederlag for Bistanden er avtalt som følger: Navn på konsulenten Timepris for bistand Timepris ved reiser innenfor normal arbeidstid (8-16) Timepris for reiser utenom normal arbeidstid (16-8) Beregnet antall reisetimer t/r Brønnøysund (pr. reise) Oppgitt antall timer i tabellen utgjør maksimalt antall fakturerbare reisetimer. Reisetid under 2 timer (t/r) vil ikke bli kompensert, dvs. i tabellen skal reisetid mindre enn 2 timer t/r angis som "0". Reisetid Reisetid skal faktureres med satsen for "timepris ved reiser" både i og utenfor arbeidstid. Reelt tidsbruk skal legges til grunn, begrenset oppad til antall timer som er oppgitt i tabellen ovenfor. "Timepris for bistand" kan ikke benyttes under reiser, selv om konsulenten bistår med bistand underveis. Reisetid defineres som tiden det tar fra konsulenten forlater eget bosted (evt. leverandørens kontorsted) til hen er framme ved Brønnøysundregistrenes lokaler i Brønnøysund. Tilsvarende fra konsulenten forlater Brønnøysundregistrenes lokaler i Brønnøysund til hen er framme på eget hjemsted (evt. leverandørens kontorsted). Krav til timeføring Innleide konsulenter kan bli pålagt å registrere timer ukentlig i Brønnøysundregistrenes timeføringssystem etter nærmere instruks. Bistand ut over 100 % engasjement (37,5 t/uke) skal varsles skriftlig av partene og godkjennes på forhånd av bemyndiget representant for Kunden. Slik "mertid" faktureres med normal timesats. Bistandsavtaler med engasjement som er lavere enn 100 %, må ha tilsvarende forhåndsgodkjenning for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kunne jobbe utover avtalt engasjement. Ved kritiske hendelser kan få tilgang til Personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler skal ha et styringssystem. Systemet skal omfatte, men skal ikke avgrenses til, rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarlig. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler skal bistå Behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: • Varsling av avvik, jf. punkt 5 • Bistå Behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. • Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning det oppstå behov for å oppfylle krav til god informasjonssikkerhetpålegge konsulentene noe ekstra bistand utover avtalt engasjementet. Databehandler skal oppfylle øvrige krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslov og GDPR art 32 og 33I slike tilfeller kan Konsulenten fakturere et påslag på 25 % på "Timesats for bistand". Eventuelt ønske om avspasering kan avtales med Kunden.

Informasjonssikkerhet. Databehandler Databehandleren skal gjennom egnede organisatoriske og tekniske tiltak sørge for forsvarlig informasjonssikkerhet i sine systemer for Behandling av Personopplysninger og annen informasjon knyttet oppfylle de krav til oppdraget for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov forstilles etter gjeldende personopplysningslov og GDPR art 32. Databehandler skal ha dokumenterte en dokumentert autorisasjonsordninger for ansatte hos Databehandleren som skal få tilgang til å behandle Personopplysningerpersonopplysninger. Databehandler For å oppfylle disse kravene, har databehandleren en plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for den behandlings-ansvarlige. Databehandleren må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysningerpersonopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler Databehandleren skal ha et styringssystem. Systemet skal omfatte, omfatte – men skal ikke avgrenses til, til - rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding Databehandleren skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarligetablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler Databehandleren skal også bistå Behandlingsansvarlig behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: • Varsling av avvik, jf. punkt 5 • Informasjon om nye momenter som har betydning for å vurdere personvernrisikoen for tjenesten. • Bistå Behandlingsansvarlig behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. • Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet. Databehandler Avviksmelding skal oppfylle øvrige krav skje ved at databehandleren uten unødvendig opphold melder avviket til sikkerhetstiltak som stilles den behandlingsansvarlige. Den behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet. Se for øvrig bilag 2 for en veiledning i internkontroll og informasjonssikkerhet (utarbeidet etter gjeldende personopplysningslov og GDPR art 32 og 33gammel lovgivning men i hovedsak også relevant etter GDPR).

Informasjonssikkerhet. Databehandler skal gjennom egnede organisatoriske og tekniske tiltak sørge for forsvarlig informasjonssikkerhet i sine systemer for Behandling av Personopplysninger og annen informasjon knyttet til oppdraget for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Databehandler skal ha dokumenterte autorisasjonsordninger for ansatte som skal få tilgang til å behandle Personopplysninger. Databehandler må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler skal ha et styringssystem. Systemet skal omfatte, men skal ikke avgrenses til, rutiner for: •  Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. •  Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. •  Ledelsens gjennomgang av sikkerhetsarbeidet. •  Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarlig. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler skal bistå Behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: •  Varsling av avvik, jf. punkt 5 •  Bistå Behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. •  Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet. Databehandler skal oppfylle øvrige krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslov og GDPR art 32 og 33.

Informasjonssikkerhet. Databehandler Leverandøren skal gjennom egnede organisatoriske beskrive hvordan Leverandøren foretar tilstrekkelig og tekniske tiltak sørge nødvendig sikring av Kundens data her Avtalens punkt 6.2 Personopplysninger [Eventuell tekst] Dersom Leverandøren ved utførelsen av tjenesten skal behandle personopplysninger, skal Leverandøren beskrive hvordan tilfredsstillende behandling i tråd med personopplysningsregelverket skal oppnås og gjennomføres her. Dersom personopplysninger i forbindelse med utførelsen av oppdraget skal overføres til land utenfor EØS-området, skal Leverandøren vise til aktuelt overføringsgrunnlag (hjemmel som tillater overføring til utlandet) og til dokumentasjon som påviser at vilkårene for forsvarlig informasjonssikkerhet å benytte overføringsgrunnlaget er oppfylt. Aktuelle overføringsgrunnlag kan være EUs standardkontrakter/EUs modellavtaler, Privacy Shield-avtalen (overføringer til USA) eller bindende konsernregler. Dersom Kunden ikke har utarbeidet et utkast til databehandleravtale, skal Leverandøren legge ved et utkast som vedlegg til bilag 2. Databehandleravtale må være inngått før behandlingen av personopplysninger påbegynnes. Databehandleravtalen må være skriftlig, herunder i elektronisk utgave. Etter den nye personopplysningsloven av 2018, stilles det en rekke nye krav til innholdet i databehandleravtalen. Avtalen skal fastsette hensikten med og varigheten av behandlingen, behandlingens formål og art, typen personopplysninger og kategorier av registrerte samt den behandlingsansvarliges rettigheter og plikter. I tillegg skal databehandleravtalen omfatte forholdene i bokstavene a til h i personvernforordningens artikkel 28 nr. 3. Avtalens punkt 7.1 Partenes rettigheter Dersom Kunden i bilag 1 har åpnet for at de opphavs-, disposisjons- eller eiendomsrettighetene partene hadde før avtalen skal kunne endres, skal Leverandøren beskrive hvordan disse rettighetene endres her. Avtalens punkt 8 Rekonstruksjon av data Dersom Kunden i bilag 1 har spesifisert at Leverandøren tar ansvar for kostnader utover det som følger av avtalens punkt 8, skal Leverandøren angi sine systemer for Behandling av Personopplysninger og annen informasjon forpliktelser knyttet til oppdraget for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Databehandler skal ha dokumenterte autorisasjonsordninger for ansatte som skal få tilgang til å behandle Personopplysninger. Databehandler må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler skal ha et styringssystem. Systemet skal omfatte, men skal ikke avgrenses til, rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarlig. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler skal bistå Behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: • Varsling av avvik, jf. punkt 5 • Bistå Behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. • Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet. Databehandler skal oppfylle øvrige krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslov og GDPR art 32 og 33her.

Informasjonssikkerhet. Databehandler Databehandleren skal gjennom egnede organisatoriske og tekniske tiltak sørge for forsvarlig informasjonssikkerhet i sine systemer for Behandling av Personopplysninger og annen informasjon knyttet oppfylle de krav til oppdraget for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov forstilles etter gjeldende personopplysningslov og GDPR art 32. Databehandler skal ha dokumenterte en dokumentert autorisasjonsordninger for ansatte hos Databehandleren som skal få tilgang til å behandle Personopplysningerpersonopplysninger. Databehandler For å oppfylle disse kravene, har databehandleren en plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for den behandlings- ansvarlige. Databehandleren må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysningerpersonopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler Databehandleren skal ha et styringssystem. Systemet skal omfatte, men skal ikke avgrenses til, rutiner for: : 1 Vurderingen skal gjøres i samsvar med retningslinjer fra EDPB.. • Tilgangskontroll • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding • Dokumentasjon av relevante hendelser Databehandleren skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarligetablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler Databehandleren skal også bistå Behandlingsansvarlig behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: • Varsling av avvik, jf. punkt 5 • Informasjon om nye momenter som har betydning for å vurdere personvernrisikoen for tjenesten. • Bistå Behandlingsansvarlig behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. • Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet. Databehandler skal oppfylle øvrige krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslov og GDPR art 32 og 33Den behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet.