AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) Avtaleteksten må tilpasses hver enkelt tjeneste/prosjekt og tjenesteleverandør

AVTALE OM BEHANDLING AV

PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Avtaleteksten må tilpasses hver enkelt tjeneste/prosjekt og tjenesteleverandør

I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel 32-36, inngås følgende avtale

Undertittel knyttet til det konkrete forhold / prosjekt

mellom

Navn på institusjonen

.……………………….

(«behandlingsansvarlig»)

og

Navn på tjenesteleverandøren

………………………….

(«databehandler»)

Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer.

1. Avtalens hensikt

Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 15. juni 2018 nr. 38 om behandling av personopplysninger og EUs personvernforordning (GDPR). Norsk lov og EUs forordning omtales heretter som personvernregelverket.

Avtalen regulerer databehandlers behandling av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med [navn på tjeneste/prosjekt] i henhold til avtale mellom partene inngått [dato] («Hovedavtalen»).

Avtalen skal sikre at personopplysninger ikke brukes ulovlig, urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet.

Ved motstrid skal vilkårene i denne avtalen gå foran databehandlers personvernerklæring eller vilkår i andre avtaler inngått mellom behandlingsansvarlig og databehandler i forbindelse med Hovedavtalen.

Det skal angis i avtalens bilag 1 dersom databehandleren kan benytte underleverandører under avtalen, herunder for oppbevaring, bearbeiding eller annen behandling, jf. punkt 8.  

Behandlingens formål, typer behandlingsaktiviteter, kategorier av registrerte og hvilke typer personopplysninger som vil bli behandlet, er angitt i avtalens bilag 1. Disse forholdene kan ikke endres av noen av partene uten at ny avtale eller et endringsvedlegg til avtalen er signert. 

2. Instrukser

Databehandler skal følge de skriftlige og dokumenterte instrukser for behandling av personopplysninger som behandlingsansvarlig har bestemt skal gjelde.

Databehandler forplikter seg til å overholde alle plikter i henhold til gjeldende personvernregelverk som gjelder ved behandling av personopplysninger.

Databehandler forplikter seg til å varsle behandlingsansvarlig dersom databehandler mottar instrukser fra behandlingsansvarlig som er i strid med personvernregelverket.

Kommentar: Detaljerte instrukser til databehandler kan legges ved som bilag til databehandleravtalen.

3. De registrertes rettigheter

Databehandler plikter å bistå behandlingsansvarlig ved ivaretakelse av den registrertes rettigheter i henhold til personvernregelverket.

Den registrertes rettigheter inkluderer retten til informasjon om hvordan hans eller hennes personopplysninger behandles, retten til å kreve innsyn i egne personopplysninger, retten til å kreve retting eller sletting av egne personopplysninger og retten til å kreve at behandlingen av egne personopplysninger begrenses.

I den grad det er relevant, skal databehandler bistå behandlingsansvarlig med å ivareta de registrertes rett til dataportabilitet og retten til å motsette seg automatiske avgjørelser, inkludert profilering.

Databehandler er erstatningsansvarlig overfor de registrerte dersom feil eller forsømmelser hos databehandler påfører de registrerte økonomiske eller ikke-økonomiske tap som følge av at deres rettigheter eller personvern er krenket.

4. Tilfredsstillende informasjonssikkerhet

Databehandler skal iverksette tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet.

Databehandler skal dokumentere egen sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, risikovurderinger og etablerte tekniske, fysiske eller organisatoriske sikringstiltak. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig.

Databehandler skal etablere kontinuitets- og beredskapsplaner for effektiv håndtering av alvorlige sikkerhetshendelser. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig.

Databehandler skal gi egne ansatte tilstrekkelig informasjon om og opplæring i informasjonssikkerhet slik at sikkerheten til personopplysninger som behandles på vegne av behandlingsansvarlig blir ivaretatt.

Databehandler skal dokumentere opplæringen av egne ansatte i informasjonssikkerhet. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig.

Kommentar: Her kan det være behov for å konkretisere de viktigste sikringstiltakene som databehandleren har iverksatt, eventuelt at det henvises til dokumenter eller publikasjoner som forklarer hvordan databehandleren jobber med informasjonssikkerhet og hvilke sikringstiltak som er etablert for den aktuelle tjenesten. Konkretiseringene kan tas inn i selve avtaleteksten eller i billag til avtalen.

5. Taushetsplikt

Kun ansatte hos databehandler som har tjenstlige behov for tilgang til personopplysninger som behandles på vegne av behandlingsansvarlig, kan gis slik tilgang. Databehandler plikter å dokumentere retningslinjer og rutiner for tilgangsstyring. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig.

Databehandler skal sørge for at ansatte hos databehandler pålegges taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.

Norsk lov vil kunne begrense omfanget av taushetsplikten for ansatte hos databehandler og tredjeparter.

Kommentar: Dersom NTNU er databehandler, må det fremgå at offentleglovas bestemmelser om offentlig innsyn kommer til anvendelse.

6. Tilgang til sikkerhetsdokumentasjon

Databehandler plikter å gi behandlingsansvarlig tilgang til all sikkerhetsdokumentasjon som er nødvendig for at behandlingsansvarlig skal kunne ivareta sine forpliktelser i henhold til personvernregelverket.

Databehandler plikter å gi behandlingsansvarlig tilgang til annen relevant dokumentasjon som gjør det mulig for behandlingsansvarlig å vurdere om databehandler overholder vilkårene i denne avtalen.

Ansatte hos behandlingsansvarlig har taushetsplikt for konfidensiell sikkerhetsdokumentasjon som databehandler gjør tilgjengelig for behandlingsansvarlig.

7. Varslingsplikt ved sikkerhetsbrudd

Databehandler skal uten ubegrunnet opphold varsle behandlingsansvarlig dersom personopplysninger som behandles på vegne av behandlingsansvarlig utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de registrertes personvern.

Varslet til behandlingsansvarlig skal som minimum inneholde informasjon som beskriver sikkerhetsbruddet, hvilke registrerte som er berørt av sikkerhetsbruddet, hvilke personopplysninger som er berørt av sikkerhetsbruddet, hvilke strakstiltak som er iverksatt for å håndtere sikkerhetsbruddet og hvilke forebyggende tiltak som eventuelt er etablert for å unngå liknende hendelser i fremtiden.

Behandlingsansvarlig er ansvarlig for at varsler om sikkerhetsbrudd fra databehandler blir videreformidlet til Datatilsynet der dette er påkrevd etter personvernregelverket.

8. Underleverandører

Databehandler plikter å inngå egne avtaler med eventuelle underleverandører som regulerer underleverandørenes behandling av personopplysninger på vegne av databehandler.

I avtaler mellom databehandler og underleverandører skal underleverandørene pålegges å ivareta alle plikter som databehandleren selv er underlagt i henhold til denne avtalen. Databehandler plikter å forelegge avtalene for behandlingsansvarlig etter forespørsel.

Databehandler skal kontrollere at alle underleverandører overholder sine avtalemessige plikter, spesielt at informasjonssikkerheten er tilfredsstillende og at ansatte hos underleverandører er kjent med sine forpliktelser og oppfyller disse.

Behandlingsansvarlig godkjenner at databehandler engasjerer underleverandører som angitt i bilag 1 til denne avtalen.

Databehandler kan ikke engasjere andre underleverandører enn de som er nevnt i bilag 1 uten at dette på forhånd er godkjent av behandlingsansvarlig. Ved slik endring skal det utarbeides et endringsbilag som dateres og signeres av begge parter.

Databehandler er erstatningsansvarlig overfor behandlingsansvarlig i henhold til punkt 13 for økonomiske tap som påføres behandlingsansvarlig og som skyldes ulovlig eller urettmessig behandling av personopplysninger eller mangelfull informasjonssikkerhet hos underleverandører.

9. Overføring til land utenfor EU/EØS

Kommentar: Dersom aktuelt;

Personopplysninger som databehandler behandler på vegne av behandlingsansvarlig kan bli overført til land utenfor EU/EØS (tredjeland). Slik overføring kan skje på visse vilkår og reglene om overføring til tredjeland finnes i Artikkel 45-47 og 49 i EUs personvernforordning. Disse reglene innebærer blant annet at overføringen vil være lovlig dersom den skjer til et EU-godkjente tredjeland eller på grunnlag av EUs standardkontrakter for overføring av personopplysninger til databehandlere i tredjeland. Reglene gjelder også for sikkerhetskopiering og annen overføring av personopplysninger som skjer i forbindelse med administrasjon av den aktuelle tjenesten, for eksempel support.

Personopplysninger som databehandler behandler i henhold til denne avtalen, vil bli overført til, eller aksessert fra følgende mottakerland utenfor EU/EØS: …………………………………………………………………………………………………... (navn på mottakerland).

Det rettslige grunnlaget for overføring av personopplysninger til de nevnte mottakerland utenfor EU/EØS er:

…………………………………………………………………………………………………... (kort redegjørelse for overføringsgrunnlaget).

10. Sikkerhetsrevisjoner og konsekvensutredninger

Databehandler skal jevnlig gjennomføre sikkerhetsrevisjoner av eget arbeid med sikring av personopplysninger mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet.

Databehandler skal gjennomføre sikkerhetsrevisjoner av informasjonssikkerheten i virksomheten. Sikkerhetsrevisjoner skal omfatte databehandlers sikkerhetsmål og sikkerhetsstrategi, sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, etablerte tekniske, fysiske og organisatoriske sikringstiltak og arbeidet med informasjonssikkerhet hos underleverandører. Det skal i tillegg omfatte rutiner for varsling av behandlingsansvarlig ved sikkerhetsbrudd og rutiner for testing av beredskaps- og kontinuitetsplaner.

Databehandler skal dokumentere sikkerhetsrevisjonene. Behandlingsansvarlig skal gis tilgang til revisjonsrapportene.

Dersom en uavhengig tredjepart gjennomfører sikkerhetsrevisjoner hos databehandler, skal behandlingsansvarlig informeres om hvilken revisor som benyttes og få tilgang til oppsummeringer av revisjonsrapportene.

Kommentar: Partene kan avtale at behandlingsansvarlig selv utfører sikkerhetsrevisjoner hos databehandleren, eventuelt også hvordan kostnader som påløper i forbindelse med slike revisjoner skal fordeles. Dette kan tas inn her, evt. i tjenesteavtalen.

Databehandler skal bistå behandlingsansvarlig dersom behandlingen medfører at behandlingsansvarlig har plikt til å utrede personvernkonsekvenser før behandlingen under Hovedavtalen settes i gang, jf. forordning (EU) 2016/679 av 27. april 2016, Artikkel 35 og 36. Databehandler kan bistå behandlingsansvarlig ved iverksetting av personvernfremmende tiltak dersom konsekvensutredningen viser at dette er nødvendig.

11. Tilbakelevering og sletting

Ved opphør av denne avtalen plikter databehandler å slette og/eller tilbakelevere alle personopplysninger som behandles på vegne av behandlingsansvarlig i forbindelse med Hovedavtalen. Behandlingsansvarlig bestemmer hvordan tilbakelevering av personopplysningene skal skje, herunder hvilket format som skal benyttes.

Databehandler skal slette personopplysninger fra alle lagringsmedier som inneholder personopplysninger som databehandler behandler på vegne av behandlingsansvarlig. Sletting skal skje ved at databehandler benytter et sletteverktøy som godkjennes av behandlingsansvarlig, eller ved overskriving. Dette gjelder også for sikkerhetskopier av personopplysningene.

Databehandler skal dokumentere at sletting av personopplysninger er foretatt i henhold til denne avtalen. Dokumentasjonen skal gjøres tilgjengelig for behandlingsansvarlig.

Databehandler dekker alle kostnader i forbindelse med tilbakelevering og sletting av de personopplysninger som omfattes av denne avtalen.

Kommentar: Partene kan eventuelt avtale nærmere hvordan kostnader som påløper i forbindelse med sletting eller tilbakelevering av personopplysninger skal fordeles, enten her eller i Hovedavtalen.

12. Mislighold

Ved vesentlig mislighold av vilkårene i denne avtalen som skyldes feil eller forsømmelser fra databehandlers side, kan behandlingsansvarlig si opp avtalen med øyeblikkelig virkning. Databehandler vil fortsatt være pliktig til å tilbakelevere og/eller slette personopplysninger som behandles på vegne av behandlingsansvarlig i henhold til bestemmelsene i punkt 11 ovenfor.

13. Erstatning

Behandlingsansvarlig kan kreve erstatning for økonomiske tap som feil eller forsømmelser fra databehandlers side, inkludert mislighold av vilkårene i denne avtalen, har påført behandlingsansvarlig, jf. også punkt 3 og 8 ovenfor.

[Følgende avsnitt inntas hvis NTNU er databehandler:]

Databehandler er erstatningsansvarlig for direkte økonomisk tap, herunder administrative overtredelsesgebyr og erstatningskrav som rettes mot behandlingsansvarlig, som kan tilbakeføres til brudd på databehandlerens forpliktelser i henhold til denne avtalen.

Samlet erstatning per kalenderår er begrenset til et beløp som tilsvarer Hovedavtalens samlede årlige vederlag ekskl. merverdiavgift.

Har databehandler eller noen denne svarer for utvist grov uaktsomhet eller forsett, gjelder ikke de ovennevnte erstatningsbegrensningene.

14. Avtalens varighet

Denne avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig i henhold til Hovedavtalen.

15. Kontaktpersoner

Kontaktperson hos databehandler for spørsmål knyttet til denne avtalen er: ___________.

Enhet, stilling, kontaktinformasjon, adresse, telefon og e-post

Kontaktperson hos behandlingsansvarlig for spørsmål knyttet til denne avtalen er: ___________.

Enhet, stilling, kontaktinformasjon, adresse, telefon og e-post

[Stryk det alternativet til pkt. 16 nedenfor som ikke passer]

16. Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar (fyll inn navn på tingrett) som verneting. Dette gjelder også etter opphør av avtalen.

Kommentar: Dette punktet gjelder når databehandler er en privat aktør, eller andre aktører som ikke er statlig universitet eller høyskole.

16. Lovvalg og tvisteløsning

Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett. Eventuelle tvister som springer ut av denne avtalen skal først søkes løst gjennom forhandlinger.

Dersom partene ikke oppnår enighet gjennom forhandlinger, skal tvisten løses med bindende virkning av Kunnskapsdepartementet. Hver av partene kan forlange at tvisten oversendes departementet.

Kommentar: Dette punktet gjelder når databehandler er et annet statlig universitet eller høyskole.

***

Denne avtale er i 2 – to eksemplarer, hvorav partene har hvert sitt.

Sted og dato

På vegne av behandlingsansvarlig På vegne av databehandler

……………………….. ………………………

(underskrift) (underskrift)

BILAG 1 – SPESIFIKASJON AV BEHANDLINGSAKTIVITETER

1. Formål og typer behandlingsaktiviteter

Formålet med databehandlers behandling av personopplysninger på vegne av behandlingsansvarlig, er å [angi et klart formål med behandlingen i henhold til Hovedavtalen].

Kommentar: MÅ fylles ut, det må angis klart og tydelig hva data skal brukes til. Eventuelle koblinger med andre datasett må være godkjent av behandlingsansvarlig. Dersom formålet fremgår av andre avtaler, for eksempel kontrakter, som er inngått mellom behandlingsansvarlig/databehandler og kvalitetsikret av jurist ved NTNU kan det isteden henvises til disse avtalene når formålet for behandling av opplysningene skal beskrives.

Følgende typer behandlingsaktiviteter er aktuelle under avtalen:

[Angi relevante typer behandlingsaktiviteter, som f.eks. registrering, analyse, bruk som grunnlag for fakturering, arkivering etc.]

2. Typer personopplysninger og kategorier av registrerte

Databehandleren behandler følgende typer personopplysninger på vegne av behandlingsansvarlig i forbindelse med Hovedavtalen:

Kommentar: Gi en kort (gjerne punktvis) oversikt over hvilke hovedtyper personopplysninger som databehandleren behandler på vegne av behandlingsansvarlig. Angi om de f.eks. er sensitive. Angi hvorvidt disse data er direkte identifiserbare eller avidentifiserte (dvs. om data fremstår som anonyme, men hvor man faktisk kan gå tilbake og finne ut hvem dataene/informasjonen gjelder.) 

Kommentar: Gi en kort oversikt over hvilke opplysninger som databehandler registrerer og lagrer i forbindelse med bruk av tjenesten, for eksempel ved bruk av informasjonskapsler.

Personopplysningene gjelder følgende kategorier av registrerte:

Kommentar: Gi en kort oversikt over hvem opplysningene gjelder, for eksempel studenter og ansatte ved institusjonen.

3. Godkjente underleverandører

Behandlingsansvarlig har godkjent at databehandleren bruker følgende underleverandører under avtalen:

[Angivelse av eventuelle godkjente underleverandører.]