Personvern og informasjonssikkerhet. Dersom de tillitsvalgte er behandlingsansvarlige etter GDPR art. 4 nr. 7 er de også ansvarlig for at opplysningene behandles i samsvar med personvernlovgivningen. Dersom de tillitsvalgte behandler personopplysninger på vegne av arbeidsgiver må det inngås databehandleravtaler. Dersom bedriften gir de tillitsvalgte tilgang til bedriftens datasystem i arbeidet som tillitsvalgt, må det sørges for et system som gir tilstrekkelig sikkerhet mot innsyn i de tillitsvalgtes data. Partene skal drøfte tiltak som ivaretar dette. Denne bestemmelsen innebærer ingen begrensninger i arbeidsgivers rett til vedlikehold og drift av datasystemet.
Personvern og informasjonssikkerhet. Leverandøren er dataansvarlig for mottatte opplysninger, og har ansvaret for at det er iverksatt tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet ved behandling av helse- og personopplysninger som gjøres tilgjengelig av Kunden. Tiltakene skal dokumenteres og Kunden kan på ethvert tidspunkt kreve å få utlevert dokumentasjonen som viser at tilstrekkelige og relevante tiltak er iverksatt. Ved tvil om Leverandøren har et tilfredsstillende informasjonssikkerhetsnivå kan Xxxxxx stanse utlevering av ytterligere opplysninger og kreve tidligere utleverte opplysninger slettet dersom forholdet ikke korrigeres. Videre kan Xxxxxx nekte å gjøre tilgjengelig helse- og personopplysninger overfor leverandøren dersom sistnevnte ikke har iverksatt tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet ved behandling av personopplysninger som gjøres tilgjengelig av Kunden. Ikke- tilstrekkelig nivå på sikkerhetstiltak vil anses som vesentlig mislighold. Leverandøren plikter på egen regning å sørge for å rette opp i manglende tiltak slik at tilgjengeliggjøring av helse- og personopplysninger kan gjenopptas. Dersom leverandøren gjør endringer i sikkerhetstiltak som kan føre til en svekkelse av informasjonssikkerheten ved behandling av helse- og personopplysninger skal leverandøren informere Kunde om dette. Leverandøren skal sikre at personer som er autorisert til å behandle helse- og personopplysninger som Kunden har tilgjengeliggjort er underlagt taushetsplikt ved at de signerer taushetserklæring. Taushetsplikten skal bestå også etter at et ansettelsesforhold eller oppdrag er avsluttet. Helse- og personopplysninger som gjøres tilgjengelig for Leverandøren skal kun benyttes til å oppfylle Avtalens formål. Behandling av helse- og personopplysninger som Kunden har gjort tilgjengelig for leverandøren for andre formål eller i større grad eller på annen måte enn det som følger av denne Avtalen er ikke tillatt med mindre dette er avtalt med Kunden. Helse- og personopplysninger som Leverandøren mottar for å gjennomføre oppdraget skal ikke overføres (dette inkluderer fjerntilgang) ut av EØS-området med mindre det er særskilt avtalt med Kunden. Dersom det avdekkes at Leverandøren på en ulovlig måte behandler personopplysninger som Kunden har gjort tilgjengelig i forbindelse med avtalen, skal den ulovlige behandlingen umidd...
Personvern og informasjonssikkerhet. Konsumenten skal påse at personopplysningene ikke blir lagret lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, og for å etablere rutiner for regelmessig gjennomgang og sletting av personopplysninger som ikke lenger skal oppbevares, jf. personopplysningsloven § 28 og personvernforordningens artikkel 17. Konsumenten skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet, jf. personopplysningsloven § 13 og personvernforordningens artikkel 32. Konsumenten skal dessuten etablere, dokumentere og holde vedlike planlagte og systematiske internkontrolltiltak i henhold til personopplysningsloven § 14.
Personvern og informasjonssikkerhet. Konsumenten skal behandle personopplysninger i henhold til personopplysningsloven og personvernforordningen. Herunder skal konsumenten sørge for at personopplysninger behandles i tråd med de grunnleggende prinsipper for personvern etter personvernforordningen artikkel 5. Konsumenten skal påse at personopplysningene ikke blir lagret lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen, og for å etablere rutiner for regelmessig gjennomgang og sletting av personopplysninger som ikke lenger skal oppbevares, jf. personvernforordningens artikkel 17. Konsumenten skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Konsumenten skal dessuten etablere, dokumentere og holde vedlike planlagte og systematiske internkontrolltiltak for sikre at personopplysninger behandles lovlig, sikkert og forsvarlig.
Personvern og informasjonssikkerhet. Kunden har etterspurt en løsning som ikke installeres i Kundens eget driftsmiljø, og data lagres utenfor Kundens eksisterende driftsmiljø/infrastruktur. Det er et viktig prinsipp for denne type leveranse at Kunden eier dataene. Leverandøren bes akseptere dette og gi en oversikt over de regulerende lover og regler som berører Kundens sikkerhet for datalagring og datasletting i løsningen. Leverandøren skal også forplikte seg på å bidra til gjennomføring av en ROS-analyse av løsningen i samarbeid med kunden ved behov. Behandling av personopplysninger skal skje i henhold til Personopplysningsloven og EU’s personvernforordning gjeldende fra mai 2018. Det skal inngås en databehandleravtale mellom Kunde og Leverandør basert på Innlandet fylkeskommune sin standard databehandleravtale.
Personvern og informasjonssikkerhet. Selskapet vil, som en del av Tjenesten, behandle personopplysninger på vegne av Kunden. Partene har derfor inngått en særskilt Databehandleravtale («DPA»), inntatt som vedlegg 1 til denne Avtalen. For å ivareta krav til informasjonssikkerhet, skal Selskapet iverksette forholdsmessige tiltak, herunder tiltak for å sikre konfidensialitet, hindre at data kommer på avveie, hindre utilsiktet endring og sletting av data, og hindre angrep av virus og annen skadevoldende programvare. Partenes erstatningsansvar som følge av brudd på Personvernforordningen eller andre bestemmelser som implementerer Personvernforordningen, skal følge forordningens artikkel 82. Ansvarsbegrensningen i Avtalens punkt 8 kommer til anvendelse ved erstatningskrav etter forordningens artikkel 82. Partene er selv ansvarlige for å dekke administrative bøter som vedkommende part ilegges etter forordningens artikkel 83.
Personvern og informasjonssikkerhet. Leverandøren er dataansvarlig for mottatte opplysninger, og har ansvaret for at det er iverksatt tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet ved behandling av helse- og personopplysninger som gjøres tilgjengelig av Kunden. Tiltakene skal dokumenteres og Kunden kan på ethvert tidspunkt kreve å få utlevert dokumentasjonen som viser at tilstrekkelige og relevante tiltak er iverksatt. Ved tvil om Leverandøren har et tilfredsstillende informasjonssikkerhetsnivå kan Xxxxxx stanse utlevering av ytterligere opplysninger og kreve tidligere utleverte opplysninger slettet dersom forholdet ikke korrigeres. Videre kan Xxxxxx nekte å gjøre tilgjengelig helse- og personopplysninger overfor leverandøren dersom sistnevnte ikke har iverksatt tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet ved behandling av personopplysninger som gjøres tilgjengelig av Kunden. Ikke- tilstrekkelig nivå på sikkerhetstiltak vil anses som vesentlig mislighold. Leverandøren plikter på egen regning å sørge for å rette opp i manglende tiltak slik at tilgjengeliggjøring av helse- og personopplysninger kan gjenopptas.
Personvern og informasjonssikkerhet. I den utstrekning leveransen omfatter IKT-løsninger eller ytelser som innebærer at data vedrørende den enkelte pasient eller ansatte (helseopplysninger og/eller andre personopplysninger) blir overført til leverandøren for lagring, tilgjengeliggjøring eller annen behandling, opptrer leverandøren som databehandler for det enkelte helseforetak. Det enkelte helseforetak er databehandlingsansvarlig. På forespørsel skal Kunden få informasjon om hvor leverandøren lagrer personopplysninger og hvem som behandler disse. Det enkelte helseforetak skal gjennomføre en selvstendig risikoanalyse før databehandleravtale kan inngås. Slik behandling av helseopplysninger og/eller andre personopplysninger kan ikke finne sted før det er inngått databehandleravtale mellom leverandøren og det enkelte helseforetak. Dette gjelder også om dataene er avidentifisert eller pseudonymisert. Innholdet i databehandleravtalen og risikovurdering kan variere og gi rom for ulike vurderinger og resultat i det enkelte helseforetak. Det enkelte helseforetak kan dermed velge å ikke gjøre avrop på varen/tjenesten/løsningen/funksjonalitet som omfatter behandling av helseopplysninger og/eller andre personopplysninger.
Personvern og informasjonssikkerhet. Sikkerhetsprinsipper og –krav for ny GIS-løsning er en sammenstilling av nødvendige prinsipper og krav for å oppnå tilfredsstillende informasjonssikkerhet i infrastruktur og applikasjon. Alle krav i dette kapittelet er forankret i Norm for informasjonssikkerhet og personvern i helse og omsorgstjenesten.
Personvern og informasjonssikkerhet. Aktivitet Beskrivelse Utført (dato / signatur)