Databehandleravtale for Norges idrettshøgskole
Databehandleravtale for Norges idrettshøgskole
Dokumenteier: Administrerende direktør | ||||
Godkjent av: Adm dir | Revidert av: Xxxx Xxxx Xxxxxxxxx | Versjon: II | Arkivsak: | |
Godkjent dato: 2013-02-15 | Revidert dato: 2014-01-08 | Sign: | ||
Databehandleravtale med [Leverandør] Innledning
Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
Denne avtalen regulerer behandlingen av personopplysninger som [Leverandør] gjør på vegne av Norges idrettshøgskole. I henhold til Lov om behandling av personopplysninger (personopplysningsloven med forskrift) er Norges idrettshøgskole (NIH) å anse som databehandlingsansvarlig og [Leverandør] å anse som databehandler.
Den behandlingsansvarlige bestemmer formålet for behandlingen av personopplysningene og hvilke hjelpemidler som skal brukes, mens databehandleren behandler personopplysningene på vegne av den behandlingsansvarlige.
Databehandlingsansvarlig har også ansvar for at dette er ivaretatt hos databehandleren, enten denne er intern eller en ekstern part. Dette reguleres i personopplysningslovens § 15 og i tilhørende forskrift § 2.15.
Databehandleren kan kun behandle personopplysninger tilgjengeligjort av Databehandlingsansvarlig i henhold til denne avtale.
Behandlingens formål skal ikke endres av noen av partene uten at ny avtale undertegnes.
Formål og virkeområde for avtalen
Formålet med avtalen er å sikre at databehandlingen i tilknytning til NIHs bruk av [Leverandør] skjer i tråd med lov og forskrift.
Beskriv formålet med bruken, for eksempel: Norges idrettshøgskole benytter Leverandørens programvare i sin forsknings- og utdanningsvirksomhet. [Leverandørens programvare] benyttes som et verktøy for å gjennomføre ulike spørreundersøkelser.
Beskriv overordnet hvilke data som omfattes av avtalen, for eksempel: Det kan i slike spørreundersøkelser blant annet måtte registreres opplysninger om NIHs studenter, ansatte og forskningsobjekter; herunder navn, tlf. nr. og e-postadresse. Det kan også registreres data og informasjon knyttet til den enkelte deltaker i spørreundersøkelsen, enten i anonymt eller personidentifiserbar form.
Varighet og oppsigelse
Avtalen trer i kraft ved at begge parter undertegner denne. Avtalen kan sies opp av begge parter med 6 måneders varsel.
Når avtalen utløper plikter databehandler uten opphold å slette de personopplysningene som denne har behandlet på vegne av den behandlingsansvarlige. Dette gjelder ikke dersom noe annet er bestemt mellom partene eller databehandleren har plikt til å lagre opplysningene etter norsk lov.
Databehandlerens plikter
Databehandleren kan bare behandle personopplysningene i henhold til de formål som er bestemt av den behandlingsansvarlig og i samsvar med de vilkår som fremgår av denne avtalen.
Databehandleren plikter å gjennomføre planlagte og systematiske tiltak som skal sørge for tilfredsstillende sikring av personopplysningene, jf personopplysningslovens § 13 og personopplysningsforskriftens kapittel 2. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.
Databehandleren plikter å gjøre seg kjent med og etterleve den behandlingsansvarliges internkontrollsystem, jf. personopplysningslovens § 14 og personopplysningsforskriftens kapittel 3.
Etter forespørsel fra den behandlingsansvarlige plikter databehandleren å dokumentere at kravene til informasjonssikkerhet og internkontroll er ivaretatt.
Risikovurderinger skal gjennomføres og fremlegges for den behandlingsansvarlige.
Databehandler skal behandle personopplysningene i samsvar med akseptabelt risikonivå som den Behandlingsansvarlige setter.
Dersom personopplysninger kommer på avveie, eller at det er mistanke om at disse er kompromittert, skal Databehandler uten ugrunnet opphold varsle Behandlingsansvarlig. Den behandlingsansvarlige skal ha fullt innsyn i hele saken ved en slik hendelse.
Databehandler skal etablere rutiner for logging av feil og avvik i henhold til personopplysningsforskriftens xxxxxxxx0.
Teknisk sikkerhet hos databehandler
Databehandler skal sikre personopplysningenes konfidensialitet, integritet og tilgjengelighet, jf personopplysningsloven § 13.
Tilgang til tjenester og eget nettverk skal være basert på individuelle brukerkonti og passord.
Lagring av personopplysninger som behandles på vegne av den behandlingsansvarlige skal sikres slik at kun autorisert personell har adgang til disse. En skal alltid vurdere behovet for tilgang før slik gis til databehandlerens medarbeidere. Databehandleren skal til enhver tid ha oversikt over hvilke medarbeidere som har tilgang til personopplysingene.
Underleverandører
Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlige før behandlingen av personopplysninger starter.
Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysninger inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.
Taushetsplikt
Partene skal bevare taushet om alle konfidensielle opplysninger, noens personlige forhold, sikkerhetsmessige og forretningsmessige forhold, opplysninger som kan skade en av partene eller som kan utnyttes av utenforstående i næringsvirksomhet.
Databehandlerens medarbeidere skal undertegne taushetserklæring.
Taushetsplikten gjelder også etter at avtalen er opphørt. Ansatte og andre som fratrer sin tjeneste hos driftsoperatøren skal pålegges taushet også etter fratredelse om forhold som nevnt over.
Mislighold
Dersom den behandlingsansvarlige får sanksjoner i mot seg som følge av brudd på bestemmelsene i personopplysningsloven med forskrift (for eksempel overtredelsesgebyr etter § 46 eller erstatning etter § 49), og årsaken til dette ligger hos databehandleren, kan den behandlingsansvarlige kreve at databehandleren dekker det økonomiske tapet.
Rettsvalg
Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett.
Undertegning
Denne avtalen er undertegnet i to eksemplarer hvorav partene beholder ett eksemplar.
Sted/Dato: Oslo
Behandlingsansvarlig Databehandler
For Norges idrettshøgskole: For [Leverandør]: