AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON
AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON
i henhold til kraftberedskapsforskriften
mellom
[Virksomhetens navn]
Xxx.xx.: 000 000 000
Informasjonseier
og
[Virksomhetens navn]
Xxx.xx.: 000 000 000
Informasjonsbehandler
Dato: 20xx-xx-xx
1. Om avtalen
- Lov om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi
m.m. av 29. juni 1990 nr. 50 (energiloven – enl) § 9-3
2. Definisjoner
Kraftsensitiv informasjon er spesifikke og inngående opplysninger om anlegg, funksjoner, systemer og annet i kraftforsyningen som kan brukes til å påføre skade eller forstyrre levering av kraft, dersom opplysningene blir kjent for uvedkommende.
Behandling av kraftsensitiv informasjon omfatter fremstilling, innsamling, registering, sammenstilling, prosessering, anvendelse, lagring, forvaltning, utveksling, deling, avhending, håndtering og beskyttelse av opplysninger. Noen av de opplistede aktivitetene er overlappende.
Informasjonseier er en virksomhet med funksjon innen kraftforsyningen som rettmessig utøver ansvar for kraftsensitiv informasjon, og fastsetter rammer og instruks for håndtering, beskyttelse og behandling av denne.
Informasjonsbehandler er en virksomhet som innenfor det fastsatte formålet i denne avtalen behandler kraftsensitiv informasjon på vegne av informasjonseier som del av en tjeneste- eller vareleveranse, eller ut fra tjenstlige behov.
3. Formål
Avtalen skal sikre at håndtering og beskyttelse av kraftsensitiv informasjon hos informasjonsbehandler overholder krav til taushetsplikt og sikkerhetsmessige krav.
4. Rammer og omfang
Denne avtalen gjelder all håndtering og beskyttelse av kraftsensitiv informasjon som informasjonsbehandler utfører i forbindelse med [skriv navn på tjeneste/oppdrag/behov].
Tjenestene/behovet omfatter/består i:
• [tjeneste #1]
Den kraftsensitive informasjonen som inngår i tjenesten/oppdraget består av:
• [opplisting]
Den kraftsensitive informasjonen skal benyttes til de formålene som er beskrevet eller følger av denne avtalen, og senere skriftlige avtaler mellom partene. Behandling av
den kraftsensitive informasjonen for andre formål, eller videreformidling, kan kun skje når nærmere skriftlig samtykke fra informasjonseier foreligger.
5. Plikter og rettigheter for informasjonseier
− etterleve de forpliktelser som følger av energiloven, kraftberedskapsforskriften og andre lovlige vedtak i medhold av disse
− skriftlig meddele endringer i krav og bestemmelser til informasjonsbehandler
− overlevere eller dele kraftsensitiv informasjon i henhold til denne avtalen ved tjenestens/oppdragets start
− ved forespørsel om videre overlevering eller deling, gi skriftlig samtykke eller avslag med begrunnelse ut fra tjenstlige behov
− ha anledning til å gjennomføre tilsyn hos informasjonsbehandler og be om dokumentasjon vedrørende etterlevelse av denne avtalen
6. Plikter og rettigheter for informasjonsbehandler
− behandle kraftsensitiv informasjon innenfor de rammer som denne avtalen oppstiller, og unngå at informasjonseier gjennom handling eller unnlatelse, settes i en situasjon hvor bestemmelser i gjeldende lov- og regelverk brytes
− gjennomføre alle nødvendige tekniske og organisatoriske tiltak slik at behandling av kraftsensitiv informasjon til enhver tid er fulgt opp med tilfredsstillende informasjonssikkerhet
− fastsette eller oppdatere intern sikkerhetsinstruks for håndtering og beskyttelse av kraftsensitiv informasjon som forhindrer tap eller spredning av kraftsensitiv informasjon, offentliggjøring, ikke-autorisert tilgang eller anvendelse utenfor det fastsatte formålet
− etablere system og rutiner for behandling av kraftsensitiv informasjon i tråd med den interne sikkerhetsinstruksen og denne avtalens krav til informasjonssikkerhet
− etablere eller oppdatere et internkontrollsystem som kan håndtere sikkerhetsbrudd eller andre avvik knyttet til behandling av kraftsensitiv informasjon
− overholde taushetsplikten ved å påse at medarbeidere som gis tilgang til kraftsensitiv informasjon undertegner en personlig taushetserklæring, og gjøres kjent med den interne sikkerhetsinstruksen og denne avtalens krav til informasjonssikkerhet
− lagre, forvalte og behandle den kraftsensitive informasjonen på eget datautstyr, og forhindre at kraftsensitiv informasjon lagres og behandles på private lagrings- medier og maskiner
− være varsom med lagring av kraftsensitiv informasjon på mobile enheter (mobiltelefon, kamera, nettbrett og bærbare datamaskiner), kryptere data dersom mulig og foreta sletting etter bruk
− sørge for at elektroniske dokumenter blir lagret på filserver med tilgangskontroll, eller være kryptert og beskyttet av passord, og iverksette logging dersom praktisk mulig
− sørge for at ekstern oppkobling til nettverk eller andre løsninger for lagring av kraftsensitiv informasjon skjer via sikker VPN-tilgang
− kryptere kraftsensitiv informasjon ved elektronisk deling eller forsendelse, og bruke anerkjente krypteringsalgoritmer med tilstrekkelig nøkkellengde og passordstyrke
− sørge for at alle fysiske eller elektroniske dokumenter som inneholder kraftsensitiv informasjon, merkes så langt som praktisk mulig, med et tydelig visuelt tegn, som del av fil- eller objektnavn, eller begge deler
− sørge for at fysiske dokumenter som inneholder kraftsensitiv informasjon er nedlåst i skap eller innlåst i rom når de ikke er i bruk
− benytte skjermlås når arbeidsstasjon forlates
− innhente skriftlig samtykke fra informasjonseier før eventuell videre overlevering eller deling av kraftsensitiv informasjon foretas, og sikre at tredjepart påtar seg tilsvarende forpliktelser som informasjonsbehandler har under denne avtalen
− sørge for varig sletting av all kraftsensitiv informasjon, inkludert sikkerhetskopier, med en anerkjent metode, ved avsluttet oppdrag eller oppsigelse av denne avtalen
− varsle informasjonseier om mulige eller faktiske sikkerhetsbrudd, avvik, eller andre hendelser eller omstendigheter som kan true informasjonssikkerheten
− informere informasjonseier om navneendringer, endringer i selskapets ledelse, flytting, restrukturering og oppkjøp, gjeldsforhandlinger og konkurs, eller andre endringer som har betydning for oppfyllelse av denne avtalen
− legge til rette for effektiv gjennomføring av tilsyn og dokumentutlevering når informasjonseier ønsker å kontrollere informasjonsbehandlers etterlevelse av denne avtalen
7. Taushetsplikt
Informasjonsbehandler skal påse at alle medarbeidere og tredjeparter som behandler kraftsensitiv informasjon under denne avtalen er kjent med taushetsplikten og dens innhold. Kraftsensitiv informasjon skal ikke under noen omstendighet offentliggjøres. Taushetsplikten gjelder også etter opphør av denne avtalen jf. enl § 9-3.
8. Tilsyn og kontroll
Informasjonseier kan til enhver tid kreve tilsyn og kontroll med system, rutiner og dokumentasjon som gjelder for forvaltning og behandling av kraftsensitiv informasjon under denne avtalen. Informasjonsbehandler skal uten ugrunnet opphold korrigere eventuelle avvik.
Informasjonsbehandler skal på forespørsel også legge frem generell dokumentasjon knyttet til avvikshåndtering som følge av andre informasjonseieres tilsyn og kontroll.
Tilsyn og kontroll skal varsles i rimelig tid, slik at informasjonsbehandler kan innpasse aktiviteten i arbeidsplanen.
9. Varighet, oppsigelse og opphør
Denne avtalen gjelder fra den er signert av begge partene. Avtalen gjelder til den sies opp, eller gjeldende tilknyttede avtaler mellom partene, som nevnt under punkt 3 opphører. Begge parter kan gjensidig si opp denne avtalen med 30 kalenderdagers skriftlig varsel.
Ved oppsigelse eller opphør av denne avtalen skal partene avtale sletting og/eller tilbakelevering av elektroniske og fysiske dokumenter, og informasjonsbehandler skal gi en endelig skriftlig bekreftelse.
Ved brudd på denne avtalen kan informasjonseier kreve endringer i rutinene hos informasjonsbehandler, eller pålegge informasjonsbehandler å stoppe videre håndtering av kraftsensitiv informasjon med øyeblikkelig virkning.
Endringer og/eller tillegg til denne avtalen skal være skriftlige og undertegnet av begge parter.
10. Meddelser
Informasjonseier | Informasjonsbehandler |
[Virksomhetens navn] [Adresse] | [Virksomhetens navn] [Adresse] |
Navn: Rolle: E-post: Mobilnr.: | Navn: Rolle: E-post: Mobilnr.: |
11. Undertegning
Denne avtalen foreligger i to originaler, hvorav partene beholder et eksemplar hver.
Sted og dato: [sted], 20xx-xx-xx
Informasjonseier | Informasjonsbehandler |
Navn: | Navn: |