Sikkerhetsrevisjoner. Behandlingsansvarlige skal kunne gjennomføre sikkerhetsrevisjoner av Databehandler. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Databehandler plikter å bistå Behandlingsansvarlig med slike revisjoner og gjøre nødvendig dokumentasjon tilgjengelig for å påvise at forpliktelsene etter GDPR er ivaretatt.
Sikkerhetsrevisjoner. Den behandlingsansvarlige skal jevnlig gjennomføre sikkerhetsrevisjoner av databehandleren.
Sikkerhetsrevisjoner. Databehandler skal gjennomføre sikkerhetsrevisjoner jevnlig for systemer og behandling av personopplysninger som omfattes av denne avtalen. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak.
Sikkerhetsrevisjoner. Sikkerhetsrevisjoner av systemer og Databehandlers plikter etter Avtalen skal gjennomføres av Databehandler på skriftlig forespørsel fra Behandlingsansvarlig. Ordinære sikkerhetsrevisjoner etter Avtalen kan kun gjennomføres én gang per kalenderår. Behandlingsansvarlige kan utføre ytterligere sikkerhetsrevisjoner ved hendelser, eller mistanke om hendelser som innebærer sikkerhetsbrudd. Databehandleren plikter å gjøre tilgjengelig all informasjon som er nødvendig for å påvise at bestemmelsene i Avtalen er overholdt. Databehandler skal tillate Behandlingsansvarlig og Behandlingsansvarliges interne og eksterne revisorer å observere Databehandlerens gjennomføring av Avtalen. Dette gjelder også alle øvrige forhold som Behandlingsansvarlig og/eller Behandlingsansvarliges revisorer antar kan ha betydning for gjennomføringen av Databehandlerens forpliktelser, eller som er nødvendig for å kontrollere at arbeidsrutiner og prosedyrer blir utført som spesifisert og i henhold til Avtalens krav. Databehandler har rett til å be om at det benyttes en annen revisor dersom det kan dokumenteres at det er nødvendig av konkurransemessige hensyn. Tilsvarende rett til kontroll og innsyn gjelder for Datatilsynet eller annet relevant tilsynsorgan med hjemmel til innsyn i Behandlingsansvarliges virksomhet. Innsyns- og kontrollretten omfatter mulighet for stedlig tilsyn. Databehandler er også forpliktet til å svare på direkte spørsmål og å utlevere dokumentasjon. Partene bærer egne kostnader knyttet til gjennomføring av revisjon, med mindre det ved revisjonen avdekkes feil og mangler ved Databehandlers tjenester. I så fall skal alle kostnader dekkes av Databehandler. Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Ved brudd på Avtalen eller personopplysningsloven kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
Sikkerhetsrevisjoner. Databehandler gjennomfører jevnlig sikkerhetsrevisjoner for systemer og lignende som omfattes av denne avtalen. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Behandlingsansvarlige kan kreve å få gjennomført en gjennomgang og revisjon av tjenesten, systemer og dokumentasjon for å sikre at den er lovmessig, og databehandler skal muliggjøre og bidra til slike revisjoner. Hver av partene dekker sine kostnader ved revisjoner. Bruker behandlingsansvarlig ekstern revisor, skal behandlingsansvarlig dekke kostnadene til denne.
Sikkerhetsrevisjoner. Databehandler plikter å gjennomføre årlige sikkerhetsrevisjoner av informasjonssystemet de benytter i ledd av arbeidet de utfører på vegne av Behandlingsansvarlig og som er relevant for denne avtalen. Resultatet av denne sikkerhetsrevisjonen skal gjøres tilgjengelig for Behandlingsansvarlig på forespørsel. Behandlingsansvarlig har anledning til å gjennomføre sikkerhetsrevisjon av Databehandlers rutiner for informasjonssikkerhet og internkontroll. Revisjonen kan omfatte stedlig inspeksjon eller gjennomføres ved at Databehandler oversender sine risikovurderinger, samtykkeskjema, oppdaterte rutiner for informasjonssikkerhet og internkontroll, sletterutiner, samt resultatet av den sikkerhetsrevisjonen som Databehandler har gjort av informasjonssystemet. Behandlingsansvarlig har videre adgang til å foreta stikkprøvekontroller av Databehandlers informasjonssikkerhet og internkontroll. Dersom Behandlingsansvarlig ønsker å foreta stedlig inspeksjon eller stikkprøvekontroll skal Databehandler varsles skriftlig og innen rimelig tid forut for stedlig inspeksjon.
Sikkerhetsrevisjoner. Databehandler skal legge til rette for at sikkerhetsrevisjoner kan gjennomføres ved å gjøre tilgjengelig for Behandlingsansvarlig informasjon som med rimelighet er nødvendig for å dokumentere etterlevelse av disse databehandlervilkår. Behandlingsansvarlig kan benytte ekstern revisor for gjennomføring av sikkerhetsrevisjon. Kostandene knyttet til revisjon dekkes av Behandlingsansvarlig.
Sikkerhetsrevisjoner. Det skal gjennomføres årlig sikkerhetsrevisjoner av Altinn-løsningen. <Tjenesteeier> kan be om utlevering av de sikkerhetsrevisjoner som viser hvordan Altinn håndterer <Tjenesteeier>s data, etter de retningslinjer som foreligger hos Altinn sentralforvaltning. Tjenesteeier kan i tillegg be om at det foretas sikkerhetsrevisjon. I så fall har tjenesteeier plikt til å dekke alle utgifter forbundet med utøvelsen av en slik revisjon. ASF kan bare inngå avtaler med skyleverandører som har tilstrekkelig sikkerhet til å ivareta ASF sitt samlede databehandleransvar overfor Tjenesteeierne. For skybaserte tjenester i Altinn, utøves sikkerhetsrevisjoner og sertifisering av skyleverandørene av kvalifiserte og uavhengige tredjeparter. ASF og Tjenesteeier har kontinuerlig tilgang til sikkerhetsrapporter og annen sikkerhetsrelatert dokumentasjon om skyleverandør og de skybaserte tjenestene.
Sikkerhetsrevisjoner. Den Behandlingsansvarlig har rett til å gjennomføre jevnlige sikkerhetsrevisjoner av de systemer mv. som omfattes av denne avtalen. Dette skal skje etter avtale med Databehandleren. Databehandler skal gi nødvendig bistand i forbindelse med gjennomføringen.
Sikkerhetsrevisjoner. Databehandler skal jevnlig, minimum årlig, gjennomføre sikkerhetsrevisjoner som en bit av behandlingen. Kostnadene bæres av databehandler. Rapporter skal være tilgjengelig for behandlingsansvarlig. I tillegg kan behandlingsansvarlig kreve gjennomføring av utvidede sikkerhetsrevisjoner, gjennomføre stedlig kontroll, gjennomføre stikkprøvekontroll av backup og sikkerhetsrutiner. Ved benyttelse av tredjeparter til kontroll og sikkerhetsrevisjon skal partene i fellesskap bli enige om tredjepart og denne skal underlegges fortrolighetsavtaler. Alle kostnader forbundet med Behandlingsansvarliges revisjon eller kontroll bæres av behandlingsansvarlig. Databehandler skal varsles i rimelig tid om kontrolltiltak.