AVTALE OM KJØP AV
Konkurransegrunnlag del II Avtalevilkår og Bilag
v.1.2
AVTALE OM KJØP AV
ARBEIDSMARKEDSTILTAK – OPPLÆRING
Vekterkurs
Saksnr. 21/15489
AVTALE OM KJØP AV ARBEIDSMARKEDSTILTAK OPPLÆRING
mellom
NAV [Navn] | og | [Leverandør] |
(heretter kalt Kunden) | (heretter kalt Leverandøren) |
Leverandørens organisasjonsnummer:
Avtalen er signert med elektronisk signatur.
Henvendelser vedrørende avtalen skal være skriftlige og adresseres slik:
Til Kunden: | Til Leverandøren: |
[Navn og adresse] | [Navn og adresse] |
INNHOLD
1 Forbehold om bevilgninger 5
2 Leverandørens ansvar og bruk av underleverandører 5
3 Spesielle bestemmelser knyttet til lønns- og arbeidsvilkår 5
4 Reklame 6
5 Kundens ansvar 6
6 Samarbeid 6
7 Taushetsplikt og personvern 6
8 Forholdet til deltakerne 7
9 Gjennomføring av Tjenesten 7
9.1 Krav til gjennomføring 7
9.2 Bemanning 7
9.3 Avbestilling 7
10 Pris og betalingsbestemmelser 8
10.1 Pris 8
10.2 Betaling 8
11 Mislighold og sanksjoner 8
11.1 Hva som anses som mislighold 8
11.2 Reklamasjon 8
11.3 Sanksjoner ved mislighold fra Leverandøren 8
11.4 Sanksjoner ved mislighold fra Kunden 9
12 Suspensjon av partenes rettigheter og plikter 9
13 Endringer 10
14 Forsikring 10
15 Overdragelse av rettigheter og plikter 10
16 Rettsvalg og tvister 10
Bilag 1 – Kravspesifikasjon 11
1. Generelle krav til Leverandøren ved gjennomføring av tjenesten 11
2. Kravspesifikasjon for tjenesten 12
Bilag 2 – Løsningsbeskrivelse 15
Bilag 3 – Priser og betalingsbetingelser 16
1 Priser 16
2 Avvik fra kontraktsvilkårene 16
3 Betaling og fakturering 16
4 Innføring av elektronisk faktura 16
5 Bruk av system for elektronisk bestilling og ordrehåndtering samt verktøy for kontraktsadministrasjon 16
Bilag 4 – Databehandleravtale 17
Bilag 5 – Endringer 31
Avtalens omfang og varighet
Avtalen gjelder kjøp av arbeidsmarkedstiltaket Opplæring (heretter kalt Tjenesten) og er spesifisert i Bilag 1 Kravspesifikasjon.
Avtalen skal omfatte gjennomføring av 2 kurs med inntil 25 deltakere. Avtalen skal ha en varighet på 12 måneder fra dato for signering.
Avtalen består av den generelle avtaleteksten og følgende bilag: Bilag 1 Kundens kravspesifikasjon
Bilag 2 Leverandørens løsningsbeskrivelse
Bilag 3 Priser og betalingsvilkår Bilag 4 Databehandleravtale
Bilag 5 Endringskatalog
Ved motstrid mellom bilagene og den generelle avtaleteksten, går den generelle avtaleteksten foran. Ved motstrid mellom Bilag 1 og Bilag 2, går Bilag 1 foran, med mindre det fremgår klart og utvetydig hvilket punkt eller hvilke punkter som er endret, erstattet eller gjort tillegg til.
1 Forbehold om bevilgninger
Avtalen er inngått med forbehold om at Stortinget, så lenge Avtalen løper, bevilger de nødvendige midler til gjennomføring av Avtalen og de enkelte avropene. Manglende bevilgning gir ikke Leverandøren rett til å kreve erstatning for det tap han måtte lide som følge av at Kunden ikke kan oppfylle sine forpliktelser etter Avtalen på dette grunnlag, med mindre Kunden har opptrådt forsettlig eller grovt uaktsomt.
2 Leverandørens ansvar og bruk av underleverandører
Leverandøren skal gjennomføre Tjenesten slik den er spesifisert i Avtalen med bilag innenfor avtalte tids- og ressursrammer, og slik at forutsatt resultat faktisk fremkommer.
Leverandøren har anledning til å benytte seg av underleverandører. Ved bruk av underleverandører er Leverandøren ansvarlig for ytelsene fra underleverandørene som om han skulle ha levert de selv.
3 Spesielle bestemmelser knyttet til lønns- og arbeidsvilkår
Ansatte hos Leverandøren og eventuelle underleverandører som direkte medvirker til å oppfylle Avtalen skal ha lønns- og arbeidsvilkår i samsvar med denne bestemmelse.
På områder dekket av forskrift om allmenngjort tariffavtale kreves at lønns- og arbeidsvilkår er i samsvar med gjeldende forskrifter.
På områder som ikke er dekket av forskrift om allmenngjort tariffavtale, kreves at lønns- og arbeidsvilkår er i henhold til gjeldende landsomfattende tariffavtale for den aktuelle bransje. Med lønns- og arbeidsvilkår menes i denne sammenheng bestemmelser om minste arbeidstid,
lønn, herunder overtidstillegg, skift- og turnustillegg og ulempetillegg, og dekning av utgifter til reise, kost og losji, i den grad slike bestemmelser følger av tariffavtalen.
Leverandøren og eventuelle underleverandører skal på forespørsel kunne dokumentere at disse kravene til lønns- og arbeidsvilkår er oppfylt.
Dersom Leverandøren eller eventuelle underleverandører ikke etterlever ovennevnte krav til lønns- og arbeidsvilkår, kan Kunden avbestille Tjenesten (punkt 9.3) og kreve erstatning (punkt 11.3.4).
4 Reklame
Leverandøren forplikter seg til ikke å bruke denne Avtalen i sin markedsføring eller på annen måte reklamere offentlig eller gi offentlig informasjon om Avtalen, uten skriftlig forhåndsgodkjenning fra Kunden. Leverandøren forplikter seg også til å innta tilsvarende bestemmelse overfor sine eventuelle underleverandører.
5 Kundens ansvar
Kunden skal opplyse Leverandøren om viktige forhold som vil ha innvirkning på gjennomføringen av avtalen. Kunden skal bestille tjenesten innenfor rammene av denne avtalen og sørge for rettidig betaling.
6 Samarbeid
Partene skal samarbeide på en konstruktiv måte, for å realisere avtalens formål og gjennomføring i størst mulig grad.
I en eventuell problemsituasjon skal begge parter være løsningsfokuserte. Dette innebærer at første prioritet vil være å finne løsningen på det foreliggende problemet, uavhengig av om juridiske og merkantile forhold er avklart.
7 Taushetsplikt og personvern
Leverandøren har taushetsplikt i medhold av arbeids- og velferdsforvaltningsloven § 7. Taushetsplikten består også etter opphøret av denne avtalen.
Leverandøren er ansvarlig for at eventuell behandling av personopplysninger skjer i henhold til kravene i gjeldende lover og regler om personvern.
Dersom gjennomføring av Avtalen innebærer at Leverandøren behandler personopplysninger på vegne av Kunden, så er Leverandøren databehandler på vegne av Kunden. I slike tilfeller skal det inngås databehandleravtale mellom Leverandøren og Kunden, jf. Bilag 4.
8 Forholdet til deltakerne
Personer som uten å være arbeidstaker deltar i arbeidsmarkedstiltak, anses likevel som arbeidstakere etter arbeidsmiljøloven, med unntak av lovens kapittel 14, 15, 16, 17 og 19-2, jf.
§ 1-6 første og tredje ledd.
I forbindelse med deltakelse på AMO-kurs er deltakerne dekket i henhold til gjeldende forsikringsavtale på området, jf. forskrift om arbeidsmarkedstiltak § 1-9. Ved en eventuell praksisperiode er Leverandør ansvarlig for at personer som er utplassert i bedriften er omfattet av bedriftens yrkesskadeforsikring (lov om yrkesskadeforsikring).
9 Gjennomføring av Tjenesten
9.1 Krav til gjennomføring
Tjenesten skal gjennomføres i henhold til kravene i Bilag 1 Kravspesifikasjon og i samsvar med Bilag 2 Løsningsbeskrivelse.
Leverandøren skal snarest varsle Kunden om forhold som har eller kan få betydning for gjennomføringen av Tjenesten.
9.2 Bemanning
Leverandøren har ansvar for at Tjenesten utføres av de instruktørene som partene har avtalt. Bemanning skal fremgå av Bilag 2.
Dersom instruktører slutter i sin stilling hos Leverandøren, sykemeldes, tar omsorgspermisjon eller er fraværende av lignende årsaker, plikter Leverandøren å erstatte instruktørene med alternative instruktører med tilsvarende faglig kompetansebakgrunn. Eventuelle kostnader ved slikt bytte, f.eks. til opplæring, skal dekkes av Leverandøren.
Skifte av instruktører initiert av Leverandøren skal først skje etter skriftlig godkjenning fra Kunden. Kunden kan ikke nekte å godkjenne skifte av instruktør uten saklig grunn. Kunden har tilsvarende rett til å godkjenne eller forkaste nye instruktører som Leverandøren stiller til rådighet.
9.3 Avbestilling
Før Tjenesten er gjennomført kan Kunden skriftlig avbestille hele eller deler av Tjenesten med umiddelbar virkning.
Ved avbestilling før Tjenesten er fullført, skal Kunden betale det beløp Leverandøren har til gode for allerede utført arbeid.
Ved avbestilling før Tjenesten er påbegynt kan Leverandøren kreve dekket direkte, dokumenterte utgifter som Leverandøren har hatt for arbeid med planlegging av Tjenesten frem til avbestillingen er mottatt.
Ved brudd på kravene i punkt 3 kan Kunden avbestille tjenesten med umiddelbar virkning. Kompensasjon i henhold til andre avsnitt andre setning gjelder ikke ved avbestilling i slike tilfeller.
Kunden får alle rettigheter til alt materiell som Leverandøren har utarbeidet frem til avbestillingen ble mottatt.
10 Pris og betalingsbestemmelser
10.1 Pris
Pris og betalingsbestemmelser for Tjenesten er oppgitt i Bilag 3.
Prisene er inkludert alle direkte og indirekte utgifter og avgifter som kan tenkes påløpt i forbindelse med gjennomføring av Tjenesten.
Dersom det etter avtaleinngåelse blir vedtatt endringer i offentlige skatter eller avgifter, skal de avtalte priser endres i samsvar med dette. Endringene gjelder både økning og reduksjon. Kunden skal få skriftlig varsel senest en måned før prisene endres.
10.2 Betaling
Fakturering skal skje månedlig påfølgende måned etter at tjenesten er levert og godkjent av Kunden. Xxxxxxxx skal skje i henhold til faktura med forfall 30 dager etter fakturadato.
Eventuelle fakturagebyr osv. vil ikke bli dekket.
Underbilag til faktura utarbeidet av NAV skal legges ved fakturaen.
Det foreligger ikke rett til betaling etter Avtalen dersom faktura fremmes senere enn tre måneder etter at tjenesten er levert
11 Mislighold og sanksjoner
11.1 Hva som anses som mislighold
Det foreligger mislighold dersom parten ikke oppfyller sitt ansvar og sine forpliktelser etter Avtalen.
Parten er ikke ansvarlig i den grad det kan dokumenteres at avvik fra ovennevnte skyldes force majeure, jf. punkt 12, eller forhold den annen part er ansvarlig for.
11.2 Reklamasjon
Partene skal reklamere skriftlig og uten ugrunnet opphold.
11.3 Sanksjoner ved mislighold fra Leverandøren
11.3.1 Avhjelp
Arbeidet med å avhjelpe mislighold skal påbegynnes og gjennomføres uten ugrunnet opphold etter at Leverandøren har fått melding om misligholdet.
11.3.2 Tilbakehold av egen ytelse og prisavslag
Dersom det ikke har lykkes Leverandøren å avhjelpe misligholdet innen fristen, kan Xxxxxx holde tilbake egen ytelse eller kreve forholdsmessig prisavslag.
11.3.3 Heving
Kunden kan heve Avtalen dersom Leverandøren vesentlig misligholder sine forpliktelser etter avtalen.
11.3.4 Erstatning
Kunden kan kreve erstattet ethvert direkte, påregnelig og adekvat tap som med rimelighet kan tilbakeføres til misligholdet. Dette gjelder ikke dersom Leverandøren kan godtgjøre at misligholdet eller årsaken til misligholdet ikke kan tilskrives skyld hos Leverandøren eller noen han er ansvarlig for.
Erstatning for indirekte tap kan bare kreves dersom det er utvist grov uaktsomhet eller forsett.
11.4 Sanksjoner ved mislighold fra Kunden
11.4.1 Betalingsmislighold
Xxxxxx Xxxxxx ikke betaler til avtalt tid, har Leverandøren krav på rente i henhold til lov om renter ved forsinket betaling av 19. des. 1976 nr. 100 av det beløpet som er forfalt til betaling.
11.4.2 Heving
Leverandøren kan heve avtalen dersom Xxxxxx vesentlig misligholder sine forpliktelser etter Avtalen.
11.4.3 Erstatning
Leverandøren kan kreve erstattet ethvert direkte og påregnelig tap som med rimelighet kan tilbakeføres til misligholdet. Dette gjelder ikke dersom Xxxxxx kan godtgjøre at misligholdet eller årsaken til misligholdet ikke kan tilskrives skyld hos Xxxxxx eller noen han er ansvarlig for.
Erstatning for indirekte tap kan bare kreves dersom det er utvist grov uaktsomhet eller forsett.
12 Suspensjon av partenes rettigheter og plikter
Skulle det inntreffe en ekstraordinær situasjon som ligger utenfor partenes kontroll og som umuliggjør oppfyllelse av plikter etter denne Avtalen, og som etter vanlige kontraktsrettslige regler må regnes som force majeure, skal motparten varsles om dette uten ugrunnet opphold. Herunder kan leveransehindringer grunnet en eventuell vedvarende koronavirussituasjon fortsatt påberopes som ekstraordinær situasjon, dersom de ligger utenfor avtalepartenes kontroll og gjør det umulig å oppfylle plikter etter Avtalen. Den rammede parts forpliktelser suspenderes så lenge den ekstraordinære situasjonen varer. Den annen parts motytelse suspenderes i samme tidsrom.
13 Endringer
Endringer i Avtalen skal gjøres skriftlig og undertegnes av bemyndigede personer. Alle endringer skal vedlegges Avtalen. Det skal føres en oversikt over endringene som er avtalt i Bilag 5.
14 Forsikring
Kunden, som er en norsk statlig virksomhet, står som selvassurandør.
Leverandøren skal ha vanlige forsikringer for å dekke krav fra Kunden som følge av Leverandørens risiko eller ansvar etter denne avtalen. Se også punkt 8 vedrørende forsikring av tiltaksdeltakerne.
15 Overdragelse av rettigheter og plikter
Kunden kan overdra sine rettigheter og plikter etter denne Avtalen til annen offentlig virksomhet. Den virksomheten som får rettigheter og plikter overdratt er berettiget til tilsvarende vilkår, såfremt Avtalens rettigheter og plikter overdras samlet.
Leverandøren kan bare overdra sine rettigheter og plikter etter Avtalen med skriftlig samtykke fra Kunden. Dette gjelder også hvis Leverandøren slås sammen med et annet selskap, deles i flere selskaper eller hvis overdragelsen skjer til et datterselskap. Hvis Kunden ikke samtykker i overdragelse, kan Xxxxxx si opp Avtalen med minimum 30 dagers skriftlig varsel.
Retten til vederlag etter denne Avtalen kan fritt overdras. Slik overdragelse fritar ikke vedkommende part fra hans forpliktelse og ansvar.
16 Rettsvalg og tvister
Partenes rettigheter og plikter etter denne Avtalen bestemmes i sin helhet av norsk rett.
Dersom det oppstår tvist mellom partene om tolkningen eller rettsvirkningene av Avtalen, skal tvisten først søkes løst ved forhandlinger. Fører slike forhandlinger ikke frem innen to måneder, kan hver av partene forlange tvisten avgjort med endelig virkning ved norske domstoler.
Partene kan alternativt avtale at tvisten blir avgjort med endelig virkning ved voldgift i Norge. Hver av partene oppnevner en voldgiftsmann, og de partsoppnevnte voldgiftsmenn oppnevner voldgiftsrettens tredje medlem, som er voldgiftsrettens formann. For øvrig gjelder bestemmelsene i lov om voldgift av 14. mai 2004 nr. 25 for voldgiftsrettens oppnevnelse og saksbehandling.
Bilag 1 – Kravspesifikasjon
1. Generelle krav til Leverandøren ved gjennomføring av tjenesten
Kravene nedenfor gjelder, med mindre annet ikke uttrykkelig er sagt i punkt 2 eller i Bilag 2.
1. Leverandøren skal gi relevant undervisning i samsvar med godkjent læreplan/kursplan. Leverandøren skal skaffe kvalifisert vikarlærer ved fravær av ordinær lærer ut over 2 timer.
2. Kunden har ansvar for opptak av kursdeltakere. Opptaket kan foretas i samarbeid med Leverandør. Dersom deltakere avbryter kurset eller blir ferdig før avtalt progresjon, skal det så langt som mulig tas inn nye deltakere slik at kurset fylles opp.
3. Leverandør skal føre frammøteskjema. Frammøteskjema skal sendes NAV etter nærmere avtale. Dersom det arrangeres nettbaserte kurs, må Kunden lage hensiktsmessige rapporteringsrutiner i samarbeid med leverandør som dokumenterer deltakelse iht. forutsetningene for kurset.
4. Leverandøren skal straks informere Xxxxxx dersom det oppstår problemer i forbindelse med avviklingen av AMO-kurset.
5. Leverandøren er innforstått med at Kunden vil føre kontroll med AMO-kurset. Dette kan for eksempel være i form av deltakelse ved kursåpning, kursslutt, underveisevaluering og sluttevalueringer.
6. Nødvendig undervisningsmateriell og læremidler skal skaffes til veie av Leverandøren. Leverandørene skal stå for nødvendig kopiering.
7. Leverandør skal sørge for at undervisningen foregår i lokaler som er godt egnet til opplæringsformål. Lokalene skal være tilrettelagt og tilgjengelig for alle Kundens brukere etter prinsippet om universell utforming.
2. Kravspesifikasjon for tjenesten
1. Formål
Formålet med kurset er å bidra til at arbeidssøkere kvalifiseres til ledige stillinger innenfor vekteryrket.
2. Målgruppe
Kurset skal være rettet mot arbeidssøkere som ønsker arbeid innenfor vekteryrket.
3. Opptakskrav
Deltaker må være fylt 19 år ved oppstartsdato.
Det kreves minimum fullført grunnskole. Deltaker må beherske norsk skriftlig og muntlig på et nivå som gjør at de kan følge opplæringen, og arbeide som vekter.
Den som skal ansettes i vaktforetak for å utføre vakttjeneste eller ha oppgaver direkte knyttet til slik vakttjeneste skal ha tilfredsstillende vandel.
I forkant av kurset vil NAV sammen med leverandør gjennomføre et informasjonsmøte om kursinnhold, forventninger og krav til deltakerne, samt gi informasjon om jobbkrav og muligheter.
4. Kurssted
Krav til leveringssted er Bergen Kommune.
Leveringssted skal være sentralt plassert i forhold til kollektive transportmidler.
5. Kursperiode / varighet
Kursperioden skal være 5 uker. Det skal gis undervisning hver virkedag i kursperioden. Undervisningen skal foregå på dagtid.
Det er planlagt å gjennomføres 2 kurs innenfor denne avtalen. Det tas sikte på at det første kurset skal ha oppstart i november/desember 2021, og det neste mars/april 2022.
6. Antall deltakere
Inntil 25 deltakere per kurs.
7. Antall opplæringstimer:
Det skal minimum gis det antall opplæringstimer som er beskrevet i gjeldende læreplan for Nasjonal grunnutdanning for vektere:
Grunnutdanningen for vektere er på 157 timer, herunder teoretisk grunnkurs på 112 timer, hvorav minimum 65 timer skal gjennomføres som klasseromsundervisning. De resterende 47
timer teori kan gjennomføres som e-læring, klasseromsundervisning eller en kombinasjon av disse. Praktisk grunnkurs består av 45 timer. I tillegg kommer 6 timer eksamen.
8. Læreplan / faglig innhold
Det skal minimum gis den opplæringen som er beskrevet i gjeldende læreplan for Nasjonal grunnutdanning for vektere, se nærmere på xxxxx://xxx.xxxxxxxx.xx/xxxxxxxxxxxx/00-xxxxxxxxx- admin/vaktvirksomhet/lareplan---nasjonal-grunnutdanning-for-vektere-versjon-3.pdf.
Xxxxxxxx bes presentere en undervisningsplan med fordeling av undervisningstimer for hele kursperioden.
9. Kompetanse, hva kurset skal kvalifisere til
Etter fullført opplæring skal kursdeltakerne være kvalifisert til å arbeide som vekter.
10. Eksamen / prøver
Det skal avlegges eksamen iht. læreplan for Nasjonal grunnutdanning for vektere.
Det skal utstedes kursbevis til deltaker etter mal for kursbevis for vekterutdanningen. Vekter- ID skal stå på kursbeviset.
Alle kostnader knyttet til gjennomføring av eksamen, samt utstedelse av kursbevis, skal dekkes av leverandør.
11. Organisering og pedagogisk tilrettelegging
Leverandør skal presentere en plan for gjennomføring av den teoretiske og praktiske delen av undervisningen. Planen skal inneholde en oversikt over alle temaer og aktiviteter som inngår i kurset. Videre skal det gis en kort beskrivelse av temaene og aktivitetene, samt en beskrivelse av undervisningsmetoder.
Leverandør må presentere et pedagogisk opplegg som ivaretar deltakernes individuelle behov og forutsetninger for læring.
Leverandør skal i tilbudet angi hvor mange ressurser som vil bli benyttet i kursgjennomføringen, samt hvordan ressursene skal organiseres og benyttes.
12. Kompetanse
Instruktørene i kurset må være godkjente som instruktører i nasjonal grunnutdanning for vektere.
Kursarrangør må oversende en dokumentasjon som viser at den enkelte instruktør oppfyller kravet ovenfor, senest 2 uker før iverksettelse av kontrakt.
13. Opplæringslokaler
Leverandør plikter å stille egnede lokaler til disposisjon. Dette innebærer blant annet at leverandør skal ha tilgang til tilfredsstillende undervisningslokaler og fasiliteter som gir mulighet for praktiske øvelser, herunder i brannvern og førstehjelp.
Lokalene må i størst mulig grad tilfredsstille kravene til universell utforming.
Leverandør bes i tilbudet oppgi adresse på lokaler som kan være aktuelle, samt bekrefte at leverandør vil kunne stille med egnede lokaler ved en eventuell kontraktstildeling.
Leverandøren må beskrive lokalenes tilgjengelighet, tilrettelegging, ventilasjon/lysforhold og sanitære forhold.
Skriftlig bekreftelse for lokaler med adresse skal sendes NAV for godkjenning 2 uker før iverksettelse av kontrakten.
15. Undervisningsmateriell/utstyr
Leverandør har ansvar for alt nødvendig undervisningsmateriell, teknisk utstyr og arbeidsklær, som kreves for å gjennomføre kurset.
Deltakerne skal disponere PC med nødvendig programvare i kursperioden, og leverandør må budsjettere for dette i sitt tilbud. PC leveres tilbake til leverandør etter kursavslutning.
17. Rapportering/evaluering Fremmøte
Leverandør skal sende frammøtelister til NAV.
Leverandøren skal samme dag underrette NAV dersom deltaker uten gyldig grunn ikke møter i tiltaket eller slutter underveis. Hva som er godkjent fravær, skal vurderes på linje med hva som aksepteres som godkjent fravær i en ordinær arbeidssituasjon. Leverandør skal ha rutiner for oppfølging av deltakernes fravær og må redegjøre for hvordan umeldt fravær vil bli håndtert.
Evaluering av tiltaket
Leverandør skal etter kursavslutning sende en kort evalueringsrapport til NAV om erfaringer knyttet til gjennomføring av kurset, og andre forhold leverandør vurderer som relevant for NAV.
Bilag 2 – Løsningsbeskrivelse
Leverandørens beskrivelse av løsningen og/eller bekreftelse på de krav som fremkommer i Bilag 1. Løsningsbeskrivelsen skal følge samme nummerering som Bilag 1 og det skal klart fremgå om og hvordan kravene skal oppfylles.
Bilag 3 – Priser og betalingsbetingelser
1 Pris for kurset
Pris, ekskl. mva.: | NOK |
Pris
Priser skal oppgis eksklusive merverdiavgift. Arbeidsmarkedsopplæring er fritatt for merverdiavgift. Pris skal oppgis inklusive andre skatter/avgifter som kan tenkes påløpt. Fakturagebyr eller andre gebyrer aksepteres ikke. Alle utgifter som leverandøren tar seg betalt for skal oppgis i dette bilaget.
Betalingsfrist
Kunden skal foreta utbetaling senest 30 dager etter at faktura er mottatt.
2 Avvik fra kontraktsvilkårene
Fyll inn eventuelle reservasjoner eller tillegg til kontraktsvilkårene i konkurransegrunnlagets Del II.
Referanse til kontraktsvilkår | Reservasjoner og tillegg | Begrunnelse | Økonomisk verdi (prising) av avviket |
3 Betaling og fakturering
Betaling skjer i henhold til rammeavtalens punkt 10.
4 Innføring av elektronisk faktura
Dersom NAV innfører bruk av elektronisk faktura for området omfattet av denne Avtalen, plikter Leverandøren etter nærmere avtale å kunne tilby dette innen 4 måneder etter at NAV har stilt krav om dette.
5 Bruk av system for elektronisk bestilling og ordrehåndtering samt verktøy for kontraktsadministrasjon
Leverandøren skal kunne ta i bruk NAVs tilgjengelige systemer for elektronisk bestilling/ordrehåndtering.
Leverandøren skal kunne ta i bruk NAVs tilgjengelige systemer for kontraktsadministrasjon og -oppfølging (KAV).
Bilag 4 – Databehandleravtale
AVTALE OM [sett inn navn på oppdrag/tjeneste]
Mal for Databehandleravtale
mellom
Arbeids- og velferdsetaten (NAV)
som Behandlingsansvarlig og
[Virksomhetens navn]
som Databehandler
Sted og dato:
For Behandlingsansvarlig (NAV) For Databehandler
Behandlingsansvarlig (NAV) Virksomheten Avtalen undertegnes i to eksemplarer, ett til hver part.
INNHOLDSFORTEGNELSE:
1 Formålet med denne databehandleravtalen 19
2 Definisjoner 19
3 Omfang av behandlingen 20
4 Generelle plikter 21
5 Bistand til behandlingsansvarlig 21
6 Tekniske og organisatoriske sikkerhetstiltak 22
7 Taushetsplikt 22
8 Bruk av underdatabehandlere 22
9 Overføring av personopplysninger til tredjeland 23
10 Melding om brudd på personopplysningssikkerheten 23
11 Revisjon 24
12 Varighet og opphør 25
13 Lovvalg og verneting 25
14 Kontaktpersoner 25
15 Vedlegg 1 Databehandlingens omfang 26
16 Vedlegg 2 Tekniske og organisatoriske sikkerhetstiltak 28
17 Vedlegg 3 Godkjente underdatabehandlere 30
1 Formålet med denne databehandleravtalen
1. Denne avtalen ("Databehandleravtalen") er en del av Avtale om arbeidsmarkedsopplæring (AMO) Vekterkurs ("Hovedavtalen") datert [dato] mellom NAV Vestland ("Behandlingsansvarlig") og [navn] ("Databehandler"), der begge utgjør en "Part", samlet benevnt som "Partene".
2. Databehandleravtalens hensikt er å regulere rettigheter og plikter i henhold til Europaparlamentets- og rådsforordning (EU) 2016 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving av direktiv 95/46/EF (generell personvernforordning/ General Data Protection Regulation).
3. Databehandleravtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Hovedavtalen.
4. I tilfelle uoverensstemmelse mellom Hovedavtalen og Databehandleravtalen når det gjelder forhold spesifikt knyttet til personvern, skal Databehandleravtalen gis forrang.
5. Databehandleravtalen har tre vedlegg. Vedleggene er en del av Databehandleravtalen.
6. Vedlegg 1 inneholder en beskrivelse av behandlingens omfang, formål og hensikt, type personopplysninger og kategorier av registrerte.
7. Vedlegg 2 inneholder en beskrivelse av tekniske og organisatoriske sikkerhetstiltak.
8. Vedlegg 3 inneholder en oversikt over godkjente underdatabehandlere.
2 Definisjoner
I Databehandleravtalen skal følgende ord og uttrykk ha denne betydning:
1. «Personopplysninger»: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»). En identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en eller flere identifikatorer. Slike identifikatorer kan f.eks. være et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet, se artikkel 4 nr. 1.
2. «Behandling»: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring. Det omfatter også tilgang til å se på personopplysningene, aksessere, samt aksessering fra annen lokasjon (fjernaksess), og eller mulighet til å aksessere personopplysninger, selv om denne muligheten ikke faktisk benyttes, både fra fjern og nær lokasjon. Se artikkel 4 nr. 1.
3. «Brudd på personopplysningssikkerheten»: Brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, se artikkel 4 nr. 12.
4. «Behandlingsansvarlig»: En fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett.
5. «Databehandler»: En fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
6. «Underdatabehandler»: En annen databehandler eller flere (underleverandører) som Databehandler engasjerer for å utføre spesifikke behandlingsaktiviteter på vegne av Behandlingsansvarlig.
7. «Gjeldende personvernregler»: Gjeldende lover og regler om personvern, inkludert ny personopplysningslov og GDPR (fra og med ikrafttredelsestidspunkt).
8. «GDPR»: General Data Protection Regulation. Europaparlamentets- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning).
9. «Standardklausuler»: Standardklausuler («Standard Contractual Clauses / EU Model Clauses») for overføring av personopplysninger til databehandlere etablert i tredjeland, etablert ved EU-kommisjonens vedtak av 5. februar 2010 og/eller som etablert av EU- kommisjonen eller en relevant tilsynsautoritet i henhold til GDPR artikkel 28 (7) eller 28 (8).
10. «Tredjestat»: Et land utenfor EØS som EU-kommisjonen ikke har fastslått at sikrer et tilstrekkelig beskyttelsesnivå.
For øvrig skal ord og uttrykk ha samme mening som de er tillagt i GDPR.
3 Omfang av behandlingen
1. Databehandleravtalen gjelder alle personopplysninger som Databehandler har mottatt, er gitt tilgang til eller har generert i forbindelse med Hovedavtalen.
2. Databehandlingens formål og art, type personopplysninger som behandles, samt kategorier av registrerte fremgår av Vedlegg 1.
3. Databehandler har ikke selvstendig råderett over personopplysningene og kan ikke bruke opplysningene til andre formål enn det som fremgår av Vedlegg 1, og skal ellers behandle personopplysningene i samsvar med Behandlingsansvarliges dokumenterte instrukser.
4 Generelle plikter
1. Databehandler plikter å ha gjennomført egnede tekniske og organisatoriske tiltak som sikrer at behandlingen av personopplysningene er i samsvar med kravene etter gjeldende personvernregler, og at disse tiltakene etterleves i hele avtaleperioden.
2. Databehandler skal omgående varsle Behandlingsansvarlig skriftlig hvis Databehandler har rimelig grunn til å tro at:
(i) en instruks fra Behandlingsansvarlig kan medføre at Databehandler bryter med gjeldende personvernlovgivning, eller
(ii) gjeldende rett i EØS-området krever at Databehandler behandler personopplysninger utover omfanget av Behandlingsansvarliges dokumenterte instrukser.
I tilfelle av (i) eller (ii) skal Partene diskutere hvordan problemet kan løses uten at de registrertes rettigheter blir krenket.
3. Hvis Databehandler er underlagt godkjente atferdsnormer etter GDPR artikkel 40 eller en godkjent sertifiseringsmekanisme etter GDPR artikkel 42, garanterer Databehandler at den vil etterleve slike atferdsnormer eller sertifiseringsmekanismer.
4. Dersom Databehandler er underlagt plikt om protokollføring som fremgår av GDPR artikkel 30 skal Databehandler føre skriftlig protokoll over alle kategorier av behandlingsaktiviteter som utøves på vegne av Behandlingsansvarlig.
5 Bistand til behandlingsansvarlig
1. Databehandler plikter å bistå Behandlingsansvarlig ved ivaretakelse av registrertes rettigheter etter GDPR kapittel III som inkluderer:
a) retten til informasjon ved innsamling av personopplysninger fra den registrerte
b) retten til informasjon hvis opplysningene innhentes fra andre enn registrerte
c) retten til å kreve innsyn i egne personopplysninger
d) retten til å kreve korrigering eller sletting av egne opplysninger
e) retten til å kreve at behandlingen av egne personopplysninger begrenses
f) retten til dataportabilitet
g) retten til innsigelse
h) retten til å motsette seg automatiske avgjørelser inkludert profilering
Databehandler skal umiddelbart videresende til Behandlingsansvarlig forespørsler eller klager som Databehandler eventuelt mottar fra den registrerte.
2. Databehandleren skal så langt det er mulig bistå Behandlingsansvarlig med forpliktelsene etter GDPR artikkel 32 til 36, herunder forpliktelsene til datasikkerhet (se avtalens punkt
6), melding om brudd på personopplysningssikkerhet (se avtalens punkt 10), vurdering av personvernkonsekvenser samt forhåndsdrøftinger med Datatilsynet.
6 Tekniske og organisatoriske sikkerhetstiltak
1. Databehandler skal gjennomføre egnede tekniske, fysiske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger som omfattes av Databehandleravtalen mot utilsiktet eller ulovlig tilintetgjøring, tap, endring og ikke-autorisert utlevering eller tilgang. Databehandleren skal som et minimum gjennomføre de tiltakene som er påkrevd i henhold til GDPR artikkel 32, samt de tiltak som er angitt eller referert til i Vedlegg 2.
2. Databehandler skal ikke utlevere personopplysninger til tredjeparter uten skriftlig forhåndsgodkjenning fra Behandlingsansvarlig. Unntak gjelder for eventuelle godkjente underdatabehandlere (se avtalens punkt 8) når de har behov for opplysningene for å kunne utføre sine oppgaver.
3. Databehandler sikrer, at kun de personer som er autorisert til å behandle personopplysninger, har tilgang til personopplysningene som behandles på vegne av Behandlingsansvarlig.
7 Taushetsplikt
1. Databehandlers ansatte og andre som opptrer på Databehandlers vegne, har taushetsplikt om informasjon og personopplysninger som vedkommende får tilgang til etter Databehandleravtalen. Taushetsplikten omfatter også ansatte hos underdatabehandler som utfører oppdrag for Databehandler for å kunne levere tjenesten.
2. Ansatte og andre hos Databehandler pålegges taushetsplikt etter reglene i arbeids- og velferdsforvaltningsloven § 7, jf. forvaltningsloven §§ 13 til 13 e. Taushetsplikten omfatter også opplysninger om fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bosted og arbeidssted, jf. arbeids- og velferdsforvaltningsloven § 7, første ledd. NAVs taushetsplikterklæring skal undertegnes.
3. Taushetsplikten gjelder også etter Databehandleravtalens opphør. Ansatte og andre som fratrer sin tjeneste hos Databehandler skal pålegges taushet også etter fratredelse om forhold som nevnt ovenfor.
4. Dersom en del av databehandleroppdraget omfatter utlevering av adresseinformasjon til andre, så skal graderte adresser (adressesperre med kode 6 og 7 i folkeregisteret) ikke utleveres.
8 Bruk av underdatabehandlere
1. Databehandler kan kun engasjere underdatabehandlere etter forutgående skriftlig tillatelse fra Behandlingsansvarlig. Godkjente underdatabehandlere er oppført i Vedlegg 3.
2. Databehandler skal kun engasjere underdatabehandlere som gjennomfører egnede tekniske og organisatoriske tiltak som sikrer at databehandlingen oppfyller kravene etter gjeldende personvernregler. Databehandler skal gjennomføre kontroller av
underdatabehandlere for å verifisere deres databeskyttelsesnivå. Databehandler skal kunne fremlegge rapporter fra slik kontroller for Behandlingsansvarlig.
3. Databehandler plikter å forelegge disse avtalene for Behandlingsansvarlig etter forespørsel.
4. Databehandler plikter å inngå skriftlig avtale med hver underdatabehandler som regulerer underdatabehandlers behandling av personopplysninger og pålegges å ivareta alle plikter som Databehandleren selv er underlagt etter denne Databehandleravtalen.
5. Databehandler har fullt ansvar for underdatabehandlers utførelse av sine forpliktelser på samme måte som om Databehandler selv sto for utførelsen.
6. Samtlige som på vegne av Databehandler utfører oppdrag der behandling av de aktuelle personopplysningene inngår, skal være kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfylle disse.
9 Overføring av personopplysninger til tredjeland
1. Databehandler kan kun overføre personopplysninger til et tredjeland eller en internasjonal organisasjon etter dokumenterte instrukser fra Behandlingsansvarlig.
2. Unntak kan skje dersom det kreves i henhold til gjeldende rett i EØS-området. I slike tilfeller skal Databehandler underrette Behandlingsansvarlig om nevnte rettslige krav før overføringen, med mindre denne rett av hensyn til viktige samfunnsinteresser forbyr slik underretning (i så fall skal Databehandleren underrette Behandlingsansvarlig så snart retten tillater dette).
10 Melding om brudd på personopplysningssikkerheten
1. Databehandler skal gi skriftlig melding til Behandlingsansvarlig om eventuelle brudd på Databehandleravtalen eller personopplysningssikkerheten.
2. Melding skal gis uten unødvendig forsinkelse og senest innen [24] timer etter at Databehandler ble oppmerksom på bruddet, slik at Behandlingsansvarlig har mulighet til å melde bruddet til Datatilsynet innenfor tidsfristen på 72 timer.
3. Melding om brudd på personopplysningssikkerheten bør inneholde en beskrivelse av:
a. arten av bruddet, herunder kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,
b. de berørte registrertes identitet,
c. navn og kontaktinformasjon til Personvernombudet eller et annet kontaktpunkt hos Databehandler for ytterligere innhenting av informasjon,
d. de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
e. tiltak som er truffet eller foreslått for å håndtere bruddet, herunder tiltak for å redusere eventuelle skadevirkninger,
f. annen informasjon som kreves for at Behandlingsansvarlig kan overholde gjeldende personvernregler.
Databehandler skal så snart som mulig gjennomføre alle tiltak som beskrevet i punkt e ovenfor. I tillegg skal Databehandler gjennomføre alle de tiltak som med rimelighet kreves for å unngå at det senere oppstår lignende brudd på personopplysningssikkerheten. Databehandler skal, så langt det er mulig, rådføre seg med Behandlingsansvarlig om de tiltak som skal gjennomføres samt overveie innspill fra Behandlingsansvarlig i den forbindelse.
4. Kun Behandlingsansvarlig har rett til å rapportere til Datatilsynet og til de berørte registrerte om brudd på personopplysningssikkerheten. Databehandler skal avstå fra å informere allmennheten eller tredjepart om brudd på personopplysningssikkerheten.
11 Revisjon
1. Databehandler skal dokumentere og gjøre tilgjengelig for Behandlingsansvarlig, informasjon som er nødvendig for å påvise etterlevelse av Databehandleravtalen og gjeldende personvernregler.
2. Databehandler skal muliggjøre og bidra ved revisjoner av Databehandlers behandlingsaktiviteter som utføres av Behandlingsansvarlig eller av annen inspektør med fullmakt fra Behandlingsansvarlig. Databehandler skal også muliggjøre og bidra ved revisjoner fra tilsynsmyndigheter.
3. Databehandleren skal foreta jevnlige revisjoner av sine behandlingsaktiviteter. Dette kan Databehandler gjøre på egen hånd eller via annen inspektør med fullmakt fra Databehandler. Databehandleren skal oversende kopi av revisjonsrapporter fra slike revisjoner til Behandlingsansvarlig. Behandlingsansvarlig skal ha rett til å fremlegge slike revisjonsrapporter til sine eksterne revisorer og tilsynsmyndigheter.
4. Databehandler skal umiddelbart varsle Behandlingsansvarlig hvis den mottar forespørsel fra en myndighet om å utlevere personopplysninger som er behandlet under Databehandleravtalen. Med mindre loven krever det, skal Databehandler ikke etterkomme en slik forespørsel uten skriftlig forhåndsgodkjenning fra Behandlingsansvarlig.
5. Dersom en revisjon avdekker avvik fra forpliktelsene i Databehandleravtalen, skal Databehandler så snart som mulig avhjelpe slike avvik (og, hvis relevant, påse at den relevante underdatabehandler gjør det samme). Behandlingsansvarlig kan kreve at hele eller deler av behandlingsaktivitetene midlertidig opphører til vellykket utbedring er bekreftet. Ved særlig alvorlige brudd kan Behandlingsansvarlig kreve behandlingen stoppet, opplysningene tilbakeføres til Behandlingsansvarlig og terminere Hovedavtalen samt Databehandleravtalen.
6. Hver av partene dekker sine egne kostnader forbundet med en revisjon. Hvis en revisjon avdekker avvik fra forpliktelsene i Databehandleravtalen, skal alle kostnader forbundet med revisjonen dekkes av Databehandler, herunder Behandlingsansvarliges og eksterne revisorers relevante kostnader.
12 Varighet og opphør
1. Databehandleravtalen gjelder fra den er signert med begge Parters underskrift og gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Hovedavtalen.
2. Behandlingsansvarlig kan ved brudd på Databehandleravtalen eller bestemmelsene i gjeldende personvernlovgivning pålegge Databehandler å stoppe den videre behandlingen av personopplysningene med øyeblikkelig virkning.
3. Ved opphør av Databehandleravtalen plikter Databehandler å slette eller tilbakelevere alle personopplysninger som forvaltes på vegne av Behandlingsansvarlig og som omfattes av Databehandleravtalen. Dette gjelder også eventuelle sikkerhetskopier. Behandlingsansvarlig bestemmer hvordan tilbakelevering av personopplysninger skal skje, herunder hvilket format som skal benyttes. Databehandler skal skriftlig bekrefte eller dokumentere at sletting er foretatt innen nærmere avtalt tidspunkt etter Databehandleravtalens opphør. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig.
13 Lovvalg og verneting
Databehandleravtalen er underlagt norsk rett og Partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av Databehandleravtalen.
14 Kontaktpersoner
Alle meddelelser vedrørende Databehandleravtalen rettes skriftlig og adressert til følgende kontaktpersoner:
Hos Behandlingsansvarlig (NAV): | Hos Databehandler: | |
Xxxx Xxxxxxxx e-post | Navn Stilling e-post |
15 Vedlegg 1 Databehandlingens omfang
>Vedlegg 1 skal alltid fylles ut >
Behandlingens formål
Gi en beskrivelse av hva som er formålet med behandlingen av personopplysninger hos Databehandler for å kunne utføre oppdrag eller tjeneste for NAV.
Beskriv formålet med behandlingen, for eksempel:
For eksempel: Arbeids- og velferdsetaten har behandlingsgrunnlag for å behandle personopplysninger knyttet til å vurdere og tildele arbeidsmarkedstiltak etter lov om arbeidsmarkedstjenester (arbeidsmarkedsloven), lov om arbeids- og velferdsforvaltningen (NAV-loven) og forskrift om arbeidsmarkedstiltak (tiltaksforskriften).
Formålet med behandlingen av personopplysninger hos Databehandler/Tiltaksarrangør er å gjennomføre arbeidsmarkedstiltak for å styrke tiltaksdeltakers muligheter til å få eller beholde arbeid, i henhold til bestilling fra NAV.
Behandlingens art og hensikt
Gi en beskrivelse eller sett inn referanse til relevante deler av Hovedavtalen eller vedlegg til Hovedavtalen som beskriver oppdraget eller tjenesten. Hvilke (t) tiltak (jf. tiltaksforskriften) som avtalen omfatter må konkretiseres. Videre må tiltakets formål beskrives. Dette fordi tiltakets spesifikke formål kan være avgjørende for hvilke typer opplysninger som skal behandles. Det kan være forskjell på hvilke typer opplysninger som det er nødvendig å behandle for ulike tiltak.
Beskriv:
Behandling til statistiske formål
Databehandler/tiltaksarrangør kan kun bruke anonyme personopplysninger til statistiske formål. Anonymisering av personopplysninger er en behandling som også må beskrives her.
Beskriv:
For eksempel: Formålet med å behandle personopplysninger er anonymisering for statistiske formål
Kategorier av registrerte
Gi en opplisting av hvilke kategorier av enkeltpersoner som opplysningene er knyttet til.
For eksempel:
Tiltaksdeltakere Ansatte
Type personopplysninger
Gi en opplisting av hvilke personopplysninger som skal behandles av Databehandler. Databehandler kan ikke innhente og behandle opplysninger utover det som er angitt
List opp personopplysninger som skal behandles, for eksempel:
Navn
Adresse Telefonnummer
Fødselsnummer og personnummer E-postadresse
Innsøkingsskjema fra NAV Bestilling fra NAV Arbeidsforhold Sykmeldingsgrad Sykmeldingsdato
Navn på lege (Arbeidsrettet Rehabilitering)
Type sensitive personopplysninger (hvis relevant)
Gi en opplisting av hvilke sensitive personopplysninger som skal behandles av Databehandler. Databehandler kan ikke innhente og behandle opplysninger utover det som er angitt
List opp sensitive personopplysninger, for eksempel:
Helseopplysninger Etnisk opprinnelse
Opplysninger om straffedommer og lovovertredelse
Spesifikke sletteregler
List opp og spesifiser eventuelt hvilke personopplysninger som har spesifikke sletteregler, og som skal slettes av Databehandler underveis i behandlingen av personopplysninger på vegne av Behandlingsansvarlig.
Arbeids- og velferdsdirektoratet presiserer følgende:
12 uker etter at tiltaksrapport for den enkelte deltaker er overlevert NAV skal tiltaksarrangøren slette personopplysninger knyttet til det enkelte oppdraget.
Beskriv sletteregler:
16 Vedlegg 2 Tekniske og organisatoriske sikkerhetstiltak
>Vedlegg 2 skal fylles ut>
I vedlegg 2 bør de viktigste tiltakene for å sikre personopplysningene hos databehandler beskrives, eventuelt at det henvises til dokumenter, anskaffelsesbilag, sikkerhetsbilag eller publikasjoner som forklarer hvordan databehandleren arbeider med informasjonssikkerhet og hvilke sikkerhetstiltak som er etablert for denne tjenesten/leveransen.Det er kun de tiltakene som er aktuelle som skal beskrives. Se omtale av databehandlers plikter til sikkerhetstiltak i avtalens punkt 6.
Databehandler skal som et minimum gjennomføre alle de tiltak som er angitt eller henvist til nedenfor. Databehandler kan ikke uten skriftlig samtykke fra Behandlingsansvarlig gjøre endringer i disse tiltakene som reduserer graden av datasikkerhet. Databehandler skal kontinuerlig arbeide for å forbedre sikkerhetstiltakene og sørge for at de oppdateres i takt med den teknologiske utviklingen.
Pseudonymiseringstiltak
Pseudonymisering vil si behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsinformasjon, forutsatt at slik tilleggsinformasjon oppbevares separat og er gjenstand for tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar person.
Sett inn beskrivelse av eventuelle krav til pseudonymiseringstiltak.
Krypteringstiltak
Kryptering er prosessen med koding av data på en slik måte at bare autoriserte personer har tilgang til opplysningene. Krypteringstitak kan være for eksempel være aktuelt dersom databehandler skal sende eller lagre personopplysningene elektronisk
Sett inn beskrivelse av eventuelle krypteringstiltak, som for eksempel knyttet til bruk av epost
Tiltak for å sikre personopplysningenes fortrolighet (konfidensialitet)
Sett inn beskrivelse. Eksempler kan være tiltak for å kontrollere tilgang til personopplysningene, og for å skille opplysningene fra opplysninger som Databehandler behandler på vegne av andre behandlingsansvarlige. For eksempel tilgangskontroll til datasystem eller arkivsystem der opplysningene blir lagret, og separate miljø for lagring av peronopplysninger fra ulike kunder.
Tiltak for å sikre personopplysningenes integritet
Sett inn beskrivelse. Et eksempel kan være tiltak for å overvåke endringer i opplysningene, for eksempel tilgangsstyring og logging av endringer og hvem som har gjort endringene
Tiltak for å sikre tilgjengeligheten til personopplysningene
Sett inn beskrivelse. Et eksempel kan være backup-tiltak.
Tiltak for å sikre robusthet i behandlingssystemene og -tjenestene
Sett inn beskrivelse. Eksempler kan være tiltak for katastrofegjenoppretting (beredskapstiltak) og redundans (ekstra sikring for eksempel i form av kopiering).
Tiltak for fysisk sikring av lokaler hvor data behandles
Sett inn beskrivelse. F.eks. sikre soner, vakthold, fysisk tilgangsstyring og kameraovervåkning
Andre datasikkerhetstiltak:
Sett inn beskrivelse, eller "ikke relevant".
Tiltak for å sikre anonymisering ved data-uttrekk til statistiske formål
Sett inn beskrivelse av fremgangsmåte ved anonymisering.
17 Vedlegg 3 Godkjente underdatabehandlere
Selskapets navn | Selskapets adresse | Behandlingssted | Beskrivelse av hvilken type behandling |
Bilag 5 – Endringer
Endringer til Avtalen skal være skriftlige og følge malskjema nedenfor. Underskrevet endring legges ved dette bilaget.
Skjema for endringer
Endring [x] til Avtale om arbeidsmarkedstiltak opplæring (AMO) [Kursnavn] mellom NAV [Navn] og [Navn på leverandør] signert [Dato]
Denne endring gjøres i henhold til betingelsene i ovenfor nevnte avtale.
I Avtale om arbeidsmarkedstiltak opplæring (AMO) [Kursnavn] mellom NAV [Navn] (Kunden) og [Navn på leverandør] (Leverandøren), gjøres følgende endringer/tillegg, jf generell avtaletekst punkt 13:
Dette dokument er undertegnet i to eksemplarer hvorav hver part beholder ett.
For Kunden: | For Leverandøren |
Dato/Underskrift: | Dato/Underskrift: |
Navn: | Navn: |
Stilling: | Stilling: |