Bilag til overføringsavtalen om behandlingsansvar og om elektronisk utveksling av medlemsopplysninger (01.10.2022)
Bilag til overføringsavtalen om behandlingsansvar og om elektronisk utveksling av medlemsopplysninger (01.10.2022)
Innhold
2. Overholdelse av gjeldende personvernlovgivning 2
3. Behandlingsansvar og behandlingsgrunnlag for utveksling av opplysninger 2
4. Krav til avtalepartners bruk av tjenesten 2
5.1 Taushetsplikt – personopplysninger 3
5.2 Taushetsplikt - bedriftshemmeligheter 3
6. Opplysningenes kvalitet og retting 3
7. Ansvar, sikkerhet og rutiner ved utveksling og bruk av opplysninger 3
7.1 Autorisasjon og tilgangskontroll 3
7.2 Tilgang til dokumentasjon sikkerhet 4
7.3 Utveksling av opplysninger 4
1. Innledning og formål
Dette bilaget utfyller overføringsavtalen §§ 13 og 13 a. Oversikt over vedleggene:
Vedlegg 1 - Teknisk rammeverk Vedlegg 2 - SLA
Vedlegg 3 - Kontaktopplysninger
Opplysningene som utveksles benyttes ved avtalepartens pensjonssimulering, endelig pensjonsberegning og refusjon. Opplysninger som utveksles kan ikke behandles for andre formål enn det som følger av overføringsavtalen, med mindre annet følger av lovpålagte forpliktelser.
2. Overholdelse av gjeldende personvernlovgivning
Avtalepartene skal overholde alle krav i gjeldende personvernlovgivning med hensyn til behandling av personopplysninger. Dette gjelder blant annet plikt til å gjennomføre risikovurderinger.
3. Behandlingsansvar og behandlingsgrunnlag for utveksling av opplysninger
Partene i overføringsavtalen er behandlingsansvarlige hver for seg, og overfører personopplysninger mellom hverandre til respektives behandling.
Det foreligger ikke et databehandlerforhold mellom partene, og det foreligger heller ikke et felles behandlingsansvar.
Hver avtalepart er derav behandlingsansvarlig for medlemsopplysninger i egne registre, herunder opplysninger utvekslet til og fra de andre avtalepartene.
Statens pensjonskasse behandlingsgrunnlag er personvernforordningen artikkel 6 nr. 1 bokstav c og e med supplerende rettsgrunnlag. Statens pensjonskasse kan innhente nødvendige opplysninger fra de andre avtalepartene etter lov om Statens pensjonskasse § 45, og behandle opplysningene etter § 45 b. Overføringsavtalen er hjemlet i § 46.
Hvilke opplysninger som kan utveksles fremgår av overføringsavtalen § 13.
4. Krav til avtalepartners bruk av tjenesten
Avtalen er begrenset til utveksling av opplysninger i henhold til overføringsavtalen.
Ved bruk av underleverandører for å oppfylle overføringsavtalens formål endrer dette ikke avtalepartenes ansvar. Utveksling og behandling av personopplysninger skal oppfylle de krav som følger av personopplysningslovgivningen.
5. Taushetsplikt
5.1 Taushetsplikt – personopplysninger
Enhver som utfører tjeneste eller arbeid for Statens pensjonskasse har taushetsplikt etter forvaltningsloven § 13.
Ansatte hos de øvrige avtalepartene har taushetsplikt etter finansforetaksloven §§ 9-6 og 9-7. Taushetsplikten gjelder både ansatte, innleide konsulenter og underleverandører.
Avtalepartene kan ikke utlevere noen opplysninger som er mottatt i forbindelse med gjennomføringen av overføringsavtalen til andre uten særskilt hjemmelsgrunnlag.
5.2 Taushetsplikt - bedriftshemmeligheter
Bedriftshemmeligheter, jf. lov om vern av forretningshemmeligheter § 2, herunder opplysninger som kan skade noen av avtalepartene eller som kan utnyttes av utenforstående, er underlagt taushetsplikt. Taushetsplikten omfatter også kunnskap om motpartens sikkerhetsrutiner mv. som avtalepartene får kjennskap til i forbindelse med inngåelse og oppfyllelse av overføringsavtalen.
Dette punktet er likevel ikke til hinder for at avtalepartene kan rapportere nødvendige opplysninger til overordnet myndighet, eller gi nødvendige opplysninger til underliggende enheter i sin virksomhet.
6. Opplysningenes kvalitet og retting
Om det oppdages feil i opplysningene, skal den avtaleparten som har utlevert opplysningene rette disse og gi den avtaleparten som har mottatt opplysningene oppdaterte opplysninger.
7. Ansvar, sikkerhet og rutiner ved utveksling og bruk av opplysninger
Den enkelte avtalepart har ansvaret for at opplysningene sikres ved all behandling, herunder mottak, utveksling og lagring.
Avtalepartene skal påse at informasjonen ikke kommer uvedkommende i hende, slik at integritet og tilgjengelighet ivaretas.
7.1 Autorisasjon og tilgangskontroll
Hver av avtalepartene skal ha etablert tekniske og administrative adgangs- og tilgangskontrollsystemer.
Hver av avtalepartene har ansvaret for å sikre at det kun er personale med tjenstlig behov for opplysningene som har tilgang, og at opplysningene sikres slik at informasjonen ikke kommer uvedkommende i hende.
7.2 Tilgang til dokumentasjon sikkerhet
Avtalepart som mottar opplysninger fra en annen avtalepart må til enhver tid kunne legge frem informasjon om sikkerheten knyttet til behandling av disse opplysningene og godtgjøre at sikkerheten er tilfredsstillende. Dersom saklig grunn foreligger, kan hver av avtalepartene kreve at den annen avtalepart gir en vurdering av sikkerheten.
7.3 Utveksling av opplysninger
Kommunikasjonen mellom avtalepartene skal - på grunn av informasjonsinnholdet og hensyn til å sikre konfidensialitet og integritet - baseres på virksomhetssertifikater i henhold til kravspesifikasjon for offentlig sektor.
Det må velges sertifikattype ut fra det sikkerhetsnivået som er påkrevet for den type opplysninger som skal utveksles. Virksomhetssertifikat må eventuelt kombineres med ekstrakontroller som SSLkryptering med et bestemt minimumskrav til tillatte algoritmer og nøkler.
8. Force Majeure
I forbindelse med force majeure situasjonen har avtalepartene gjensidig informasjonsplikt for alle forhold som antas å være av betydning for den andre avtaleparten. Slik informasjon skal gis uten ugrunnet opphold så langt dette er mulig.
9. Brudd
Ved sikkerhetsbrudd eller personvernbrudd skal avtaleparten i tillegg til ordinære varslingsplikter informere den eller de øvrige avtalepartene som kan være berørt.