Common use of Informasjonssikkerhet Clause in Contracts

Informasjonssikkerhet. Databehandler skal gjennom egnede organisatoriske og tekniske tiltak sørge for forsvarlig informasjonssikkerhet i sine systemer for Behandling av Personopplysninger og annen informasjon knyttet til oppdraget for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Databehandler skal ha dokumenterte autorisasjonsordninger for ansatte som skal få tilgang til å behandle Personopplysninger. Databehandler må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler skal ha et styringssystem. Systemet skal omfatte, men skal ikke avgrenses til, rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarlig. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler skal bistå Behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: • Varsling av avvik, jf. punkt 5 • Bistå Behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. • Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet. Databehandler skal oppfylle øvrige krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslov og GDPR art 32 og 33.

Informasjonssikkerhet. Databehandler skal gjennom egnede organisatoriske og tekniske tiltak sørge for forsvarlig informasjonssikkerhet i sine systemer for Behandling av Personopplysninger og annen informasjon knyttet til oppdraget for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Databehandler skal ha dokumenterte en dokumentert autorisasjonsordninger for ansatte som skal få tilgang til å behandle Personopplysninger. Databehandler må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler skal ha et styringssystem. Systemet skal omfatte, men skal ikke avgrenses til, rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarlig. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler skal bistå Behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: • Varsling av avvik, jf. punkt 5 • Bistå Behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. • Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet. Databehandler skal oppfylle øvrige krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslov og GDPR art 32 og 33.

Informasjonssikkerhet. Databehandler skal gjennom egnede organisatoriske og tekniske tiltak sørge for forsvarlig informasjonssikkerhet i sine systemer for Behandling av Personopplysninger og annen informasjon knyttet til oppdraget for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Databehandler skal ha dokumenterte autorisasjonsordninger for ansatte som skal få tilgang til å behandle Personopplysninger. Databehandler må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler skal ha et styringssystem. Systemet skal omfatte, men skal ikke avgrenses til, rutiner for: •  Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. •  Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. •  Ledelsens gjennomgang av sikkerhetsarbeidet. •  Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarlig. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler skal bistå Behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: •  Varsling av avvik, jf. punkt 5 •  Bistå Behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. •  Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet. Databehandler skal oppfylle øvrige krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslov og GDPR art 32 og 33.

Informasjonssikkerhet. Databehandler Leverandøren skal gjennom egnede organisatoriske beskrive hvordan Leverandøren foretar tilstrekkelig og tekniske tiltak sørge nødvendig sikring av Kundens data her Avtalens punkt 6.2 Personopplysninger [Eventuell tekst] Dersom Leverandøren ved utførelsen av tjenesten skal behandle personopplysninger, skal Leverandøren beskrive hvordan tilfredsstillende behandling i tråd med personopplysningsregelverket skal oppnås og gjennomføres her. Dersom personopplysninger i forbindelse med utførelsen av oppdraget skal overføres til land utenfor EØS-området, skal Leverandøren vise til aktuelt overføringsgrunnlag (hjemmel som tillater overføring til utlandet) og til dokumentasjon som påviser at vilkårene for forsvarlig informasjonssikkerhet å benytte overføringsgrunnlaget er oppfylt. Aktuelle overføringsgrunnlag kan være EUs standardkontrakter/EUs modellavtaler, Privacy Shield-avtalen (overføringer til USA) eller bindende konsernregler. Dersom Kunden ikke har utarbeidet et utkast til databehandleravtale, skal Leverandøren legge ved et utkast som vedlegg til bilag 2. Databehandleravtale må være inngått før behandlingen av personopplysninger påbegynnes. Databehandleravtalen må være skriftlig, herunder i elektronisk utgave. Etter den nye personopplysningsloven av 2018, stilles det en rekke nye krav til innholdet i databehandleravtalen. Avtalen skal fastsette hensikten med og varigheten av behandlingen, behandlingens formål og art, typen personopplysninger og kategorier av registrerte samt den behandlingsansvarliges rettigheter og plikter. I tillegg skal databehandleravtalen omfatte forholdene i bokstavene a til h i personvernforordningens artikkel 28 nr. 3. Avtalens punkt 7.1 Partenes rettigheter Dersom Kunden i bilag 1 har åpnet for at de opphavs-, disposisjons- eller eiendomsrettighetene partene hadde før avtalen skal kunne endres, skal Leverandøren beskrive hvordan disse rettighetene endres her. Avtalens punkt 8 Rekonstruksjon av data Dersom Kunden i bilag 1 har spesifisert at Leverandøren tar ansvar for kostnader utover det som følger av avtalens punkt 8, skal Leverandøren angi sine systemer for Behandling av Personopplysninger og annen informasjon forpliktelser knyttet til oppdraget for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Databehandler skal ha dokumenterte autorisasjonsordninger for ansatte som skal få tilgang til å behandle Personopplysninger. Databehandler må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler skal ha et styringssystem. Systemet skal omfatte, men skal ikke avgrenses til, rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarlig. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler skal bistå Behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: • Varsling av avvik, jf. punkt 5 • Bistå Behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. • Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet. Databehandler skal oppfylle øvrige krav til sikkerhetstiltak som stilles etter gjeldende personopplysningslov og GDPR art 32 og 33her.

Informasjonssikkerhet. Databehandler Databehandleren skal gjennom egnede organisatoriske og tekniske tiltak sørge for forsvarlig informasjonssikkerhet i sine systemer for Behandling av Personopplysninger og annen informasjon knyttet oppfylle de krav til oppdraget for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov forstilles etter gjeldende personopplysningslov og GDPR art 32. Databehandler skal ha dokumenterte en dokumentert autorisasjonsordninger for ansatte hos Databehandleren som skal få tilgang til å behandle Personopplysningerpersonopplysninger. Databehandler For å oppfylle disse kravene, har databehandleren en plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for den behandlings-ansvarlige. Databehandleren må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysningerpersonopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler Databehandleren skal ha et styringssystem. Systemet skal omfatte, omfatte – men skal ikke avgrenses til, til - rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding Databehandleren skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarligetablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler Databehandleren skal også bistå Behandlingsansvarlig behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: • Varsling av avvik, jf. punkt 5 • Informasjon om nye momenter som har betydning for å vurdere personvernrisikoen for tjenesten. • Bistå Behandlingsansvarlig behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. • Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet. Databehandler Avviksmelding skal oppfylle øvrige krav skje ved at databehandleren uten unødvendig opphold melder avviket til sikkerhetstiltak som stilles den behandlingsansvarlige. Den behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet. Se for øvrig bilag 2 for en veiledning i internkontroll og informasjonssikkerhet (utarbeidet etter gjeldende personopplysningslov og GDPR art 32 og 33gammel lovgivning men i hovedsak også relevant etter GDPR).

Informasjonssikkerhet. Databehandler Databehandleren skal gjennom egnede organisatoriske og tekniske tiltak sørge for forsvarlig informasjonssikkerhet i sine systemer for Behandling av Personopplysninger og annen informasjon knyttet oppfylle de krav til oppdraget for Ruter. Behandlingsansvarlig kan kreve å få fremlagt gjennomførte risikovurderinger. Databehandler skal etablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov forstilles etter gjeldende personopplysningslov og GDPR art 32. Databehandler skal ha dokumenterte en dokumentert autorisasjonsordninger for ansatte hos Databehandleren som skal få tilgang til å behandle Personopplysningerpersonopplysninger. Databehandler For å oppfylle disse kravene, har databehandleren en plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for den behandlings- ansvarlige. Databehandleren må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til Personopplysningerpersonopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. For å oppfylle disse kravene, har Databehandler plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig. Databehandler Databehandleren skal ha et styringssystem. Systemet skal omfatte, omfatte – men skal ikke avgrenses til, til - rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd. • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner. • Ledelsens gjennomgang av sikkerhetsarbeidet. • Gjennomføring av årlige revisjoner av virksomheten. Avviksmelding Databehandleren skal skje ved at Databehandler uten unødvendig opphold melder avviket til Behandlingsansvarligetablere og holde en oversikt over sikkerhetstiltak som risikovurderinger har avdekket behov for. Den Behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet, dersom dette er påkrevet. Databehandler Databehandleren skal også bistå Behandlingsansvarlig behandlingsansvarlig slik at han kan ivareta sitt eget ansvar etter lov og forskrift bla ved: • Varsling av avvik, jf. punkt 5 • Informasjon om nye momenter som har betydning for å vurdere personvernrisikoen for tjenesten. • Bistå Behandlingsansvarlig behandlingsansvarlig med blant tekniske data og fakta om tjenesten ved utarbeidelse av nødvendig konsekvensanalyse og risikovurdering. • Informasjonsutveksling med Behandlingsansvarlig om nye lover og regler, praksis og annet som kan ha betydning for å oppfylle krav til god informasjonssikkerhet. Databehandler Avviksmelding skal oppfylle øvrige krav skje ved at databehandleren uten unødvendig opphold melder avviket til sikkerhetstiltak som stilles den behandlingsansvarlige. Den behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet. Se for øvrig bilag 2 for en veiledning i internkontroll og informasjonssikkerhet (utarbeidet etter gjeldende personopplysningslov og GDPR art 32 og 33.gammel lovgivning men i hovedsak også relevant etter GDPR)