Common use of Sikkerhet Clause in Contracts

Sikkerhet. Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter. For å oppfylle disse kravene, har databehandleren en plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal på forespørsel gjøres tilgjengelig for den behandlingsansvarlige. Databehandleren skal også bistå, slik at den behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandleren melder avviket til den behandlingsansvarlige. Den behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet. Databehandleren må sørge for å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. Databehandleren skal videre ha et styringssystem for sikkerhet iht. personopplysningsforskriften. Systemet skal omfatte – men ikke avgrenses til rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd; • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner; • Ledelsens gjennomgang av sikkerhetsarbeidet, samt • Gjennomføring av årlige revisjoner av virksomheten; Databehandleren skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov for.

Sikkerhet. Databehandleren Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven er nødvendige i henhold til GDPR art. 32 og personopplysningsforskriftenfor å oppfylle behandlingsansvarliges sikkerhetskrav. Databehandler skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifterintegritet og tilgjengelighet ved behandlingen av personopplysninger på vegne av behandlingsansvarlig. For Her må konkrete sikkerhetstiltak som databehandler skal ha på plass beskrives. Alternativt kan det henvises til <virksomhet>s sikkerhetspolicy eller andre dokumenter som eventuelt vedlegges denne avtalen. Databehandler skal oversende de rutiner eller andre tiltak som er på plass for å oppfylle disse kravene, har databehandleren en plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen Databehandler skal på forespørsel blant annet sørge for at personopplysningene ikke gjøres tilgjengelig tilgjengelige for den behandlingsansvarligeuvedkommende gjennom fysiske og tekniske tiltak. Databehandleren Databehandler skal også bistå, slik at den behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandleren melder avviket til den behandlingsansvarlige. Den behandlingsansvarlige har ansvaret for at avviksmelding sendes Datatilsynet. Databehandleren må sørge for å ha forsvarlig sikring tilgangsstyring internt. Tilgang skal være basert på den enkelte ansattes behov, sett hen til vedkommende arbeidsoppgaver. Personopplysningene skal beskyttes mot uautorisert endring og sletting. Bruk av servere, databaser informasjonssystemer skal loggføres. Logger skal lagres i tre måneder. Sikkerhetstiltakene må tilfredsstille allment aksepterte bransjestandarder såfremt slike er egnede. Personopplysninger som omfattes av GDPR art. 9s angivelse av «særlige kategorier personopplysninger» må underlegges særlig beskyttelse og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang til personopplysningerikke formidles via ukryptert e-post. Det samme gjelder utskrifter personnummer og utfylte skjemaeropplysninger knyttet til straffbare forhold. Databehandleren Personopplysningene skal videre ha et styringssystem ikke lagres lengre enn nødvendig for sikkerhet ihtå oppfylle formålet. personopplysningsforskriftenDatabehandler skal jevnlig kontrollere at den behandlingsansvarliges instruksjoner om sletting etterleves og at ikke kopier av opplysninger blir lagret i databehandlers systemer. Systemet Databehandler skal omfatte – men *stryk det som ikke avgrenses til rutiner for: • Avviksbehandling passer årlig/hvert andre år foreta risikovurdering som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd; • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner; • Ledelsens gjennomgang av sikkerhetsarbeidet, samt • Gjennomføring av årlige revisjoner av virksomheten; Databehandleren skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov foroversendes behandlingsansvarlig.

Sikkerhet. Databehandleren Databehandler skal oppfylle de krav ha en tilfredsstillende teknisk og fysisk sikring på den løsningen som benyttes. Databehandler skal ha klare rutiner for logging av feil og avvik som er av betydning og som er omfattet av denne avtalen. Dersom det avdekkes slike feil eller avvik, skal Databehandler så snart som mulig varsle Behandlingsansvarlig om dette. Behandlingsansvarlig kan revidere Databehandlers personopplysningssikkerhet ved bruk av en tredjepart godkjent av Databehandler. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøver, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Slike revisjoner kan kun gjøres etter skriftlig forhåndsvarsel fra Behandlingsansvarlig. De som utfører revisjon må forholde seg til sikkerhetstiltak som stilles etter personopplysningsloven Databehandlers rimelige instrukser ved adgang til Databehandlers lokaler, og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifterfor øvrig akseptere Databehandlers saklige behov for konfidensialitet. For å oppfylle disse kravene, har databehandleren en plikt til å dokumentere sine sikkerhetsrutiner. Dokumentasjonen skal på forespørsel gjøres tilgjengelig for den behandlingsansvarlige. Databehandleren skal også bistå, slik at den behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. Avviksmelding etter personopplysningsforskriftens § 2-6 Revisjoner skal skje ved på en effektiv måte og skal i minst mulig utstrekning forstyrre Databehandlers arbeid. Databehandler skal etablere tiltak og rutiner for å avdekke avvik fra personvernsikkerhet og andre sikkerhetsbrudd, samt ha rutiner og iverksette tiltak for å følge opp og rette avvik. Databehandler plikter å bistå Behandlingsansvarlig med oppfølgingen av avvik, samt fremskaffe den nødvendige informasjon om avviket som følger av Regelverket. Eventuelle avvik skal skriftlig meldes til Behandlingsansvarlig uten ugrunnet opphold og senest innen 48 timer etter at databehandleren melder avviket Databehandler fikk mistanke om avviket, selv om Databehandler ikke har all påkrevet informasjon tilgjengelig. Melding til den behandlingsansvarligeBehandlingsansvarlig om eventuelle avvik skal ikke utsettes i påvente av undersøkelser rundt årsak, omfang og konsekvens. Den behandlingsansvarlige Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet. Databehandleren må sørge for Datatilsynet uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha forsvarlig sikring av servere, databaser og annet tilsvarende utstyr slik at ingen uvedkommende kan få tilgang fått kjennskap til personopplysninger. Det samme gjelder utskrifter og utfylte skjemaer. Databehandleren skal videre ha et styringssystem for sikkerhet iht. personopplysningsforskriften. Systemet skal omfatte – men ikke avgrenses til rutiner for: • Avviksbehandling som omfatter varsling ved feil bruk av informasjonssystemet, herunder sikkerhetsbrudd; • Sikkerhetsrevisjon, herunder jevnlig oversendelse av rapporter fra sikkerhetsrevisjoner; • Ledelsens gjennomgang av sikkerhetsarbeidet, samt • Gjennomføring av årlige revisjoner av virksomheten; Databehandleren skal etablere og holde ved like slike sikkerhetstiltak som risikovurderinger har avdekket behov foravviket.