AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON
AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON
i henhold til kraftberedskapsforskriften
mellom
[Virksomhetens navn]
Xxx.xx.: 000 000 000
Informasjonseier
og
[Virksomhetens navn]
Xxx.xx.: 000 000 000
Informasjonsbehandler
Dato: 20xx-xx-xx
Om avtalen
Denne avtalen regulerer rettigheter og plikter mellom informasjonseier og informasjonsbehandler (heretter omtalt som "partene") etter:
Lov om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi m.m. av 29. juni 1990 nr. 50 (energiloven – enl) § 9-3
Forskrift om sikkerhet og beredskap i kraftforsyningen av 7. juli 2012 nr. 1157, sist endret fra 1. januar 2019, (kraftberedskapsforskriften – kbf) kapittel 6
Definisjoner
Kraftsensitiv informasjon er spesifikke og inngående opplysninger om anlegg, funksjoner, systemer og annet i kraftforsyningen som kan brukes til å påføre skade eller forstyrre levering av kraft, dersom opplysningene blir kjent for uvedkommende.
Behandling av kraftsensitiv informasjon omfatter fremstilling, innsamling, registering, sammenstilling, prosessering, anvendelse, lagring, forvaltning, utveksling, deling, avhending, håndtering og beskyttelse av opplysninger. Noen av de opplistede aktivitetene er overlappende.
Informasjonseier er en virksomhet med funksjon innen kraftforsyningen som rettmessig utøver ansvar for kraftsensitiv informasjon, og fastsetter rammer og instruks for håndtering, beskyttelse og behandling av denne.
Informasjonsbehandler er en virksomhet som innenfor det fastsatte formålet i denne avtalen behandler kraftsensitiv informasjon på vegne av informasjonseier som del av en tjeneste- eller vareleveranse, eller ut fra tjenstlige behov.
Avtalen skal sikre at håndtering og beskyttelse av kraftsensitiv informasjon hos informasjonsbehandler overholder krav til taushetsplikt og sikkerhetsmessige krav.
Rammer og omfang
Denne avtalen gjelder all håndtering og beskyttelse av kraftsensitiv informasjon som informasjonsbehandler utfører i forbindelse med [skriv navn på tjeneste/oppdrag/behov].
Tjenestene/behovet omfatter/består i:
[tjeneste #1]
Den kraftsensitive informasjonen som inngår i tjenesten/oppdraget består av:
[opplisting]
Informasjonseier har til enhver tid full rådighet over den kraftsensitive informasjonen som er overlevert eller meddelt til informasjonsbehandler etter denne avtalen. Informasjonseier har rett til å kontrollere forvaltning og behandling av kraftsensitiv informasjon hos informasjonsbehandler.
Den kraftsensitive informasjonen skal benyttes til de formålene som er beskrevet eller følger av denne avtalen, og senere skriftlige avtaler mellom partene. Behandling av den kraftsensitive informasjonen for andre formål, eller videreformidling, kan kun skje når nærmere skriftlig samtykke fra informasjonseier foreligger.
Plikter og rettigheter for informasjonseier
Informasjonseier skal
etterleve de forpliktelser som følger av energiloven, kraftberedskapsforskriften og andre lovlige vedtak i medhold av disse
skriftlig meddele endringer i krav og bestemmelser til informasjonsbehandler
overlevere eller dele kraftsensitiv informasjon i henhold til denne avtalen ved tjenestens/oppdragets start
ved forespørsel om videre overlevering eller deling, gi skriftlig samtykke eller avslag med begrunnelse ut fra tjenstlige behov
ha anledning til å gjennomføre tilsyn hos informasjonsbehandler og be om dokumentasjon vedrørende etterlevelse av denne avtalen
Plikter og rettigheter for informasjonsbehandler
Informasjonsbehandler skal
behandle kraftsensitiv informasjon innenfor de rammer som denne avtalen oppstiller, og unngå at informasjonseier gjennom handling eller unnlatelse, settes i en situasjon hvor bestemmelser i gjeldende lov- og regelverk brytes
gjennomføre alle nødvendige tekniske og organisatoriske tiltak slik at behandling av kraftsensitiv informasjon til enhver tid er fulgt opp med tilfredsstillende informasjonssikkerhet
fastsette eller oppdatere intern sikkerhetsinstruks for håndtering og beskyttelse av kraftsensitiv informasjon som forhindrer tap eller spredning av kraftsensitiv informasjon, offentliggjøring, ikke-autorisert tilgang eller anvendelse utenfor det fastsatte formålet
etablere system og rutiner for behandling av kraftsensitiv informasjon i tråd med den interne sikkerhetsinstruksen og denne avtalens krav til informasjonssikkerhet
etablere eller oppdatere et internkontrollsystem som kan håndtere sikkerhetsbrudd eller andre avvik knyttet til behandling av kraftsensitiv informasjon
overholde taushetsplikten ved å påse at medarbeidere som gis tilgang til kraftsensitiv informasjon undertegner en personlig taushetserklæring, og gjøres kjent med den interne sikkerhetsinstruksen og denne avtalens krav til informasjonssikkerhet
lagre, forvalte og behandle den kraftsensitive informasjonen på eget datautstyr, og forhindre at kraftsensitiv informasjon lagres og behandles på private lagringsmedier og maskiner
være varsom med lagring av kraftsensitiv informasjon på mobile enheter (mobiltelefon, kamera, nettbrett og bærbare datamaskiner), kryptere data dersom mulig og foreta sletting etter bruk
sørge for at elektroniske dokumenter blir lagret på filserver med tilgangskontroll, eller være kryptert og beskyttet av passord, og iverksette logging dersom praktisk mulig
sørge for at ekstern oppkobling til nettverk eller andre løsninger for lagring av kraftsensitiv informasjon skjer via sikker VPN-tilgang
kryptere kraftsensitiv informasjon ved elektronisk deling eller forsendelse, og bruke anerkjente krypteringsalgoritmer med tilstrekkelig nøkkellengde og passordstyrke
sørge for at alle fysiske eller elektroniske dokumenter som inneholder kraftsensitiv informasjon, merkes så langt som praktisk mulig, med et tydelig visuelt tegn, som del av fil- eller objektnavn, eller begge deler
sørge for at fysiske dokumenter som inneholder kraftsensitiv informasjon er nedlåst i skap eller innlåst i rom når de ikke er i bruk
benytte skjermlås når arbeidsstasjon forlates
innhente skriftlig samtykke fra informasjonseier før eventuell videre overlevering eller deling av kraftsensitiv informasjon foretas, og sikre at tredjepart påtar seg tilsvarende forpliktelser som informasjonsbehandler har under denne avtalen
sørge for varig sletting av all kraftsensitiv informasjon, inkludert sikkerhetskopier, med en anerkjent metode, ved avsluttet oppdrag eller oppsigelse av denne avtalen
varsle informasjonseier om mulige eller faktiske sikkerhetsbrudd, avvik, eller andre hendelser eller omstendigheter som kan true informasjonssikkerheten
informere informasjonseier om navneendringer, endringer i selskapets ledelse, flytting, restrukturering og oppkjøp, gjeldsforhandlinger og konkurs, eller andre endringer som har betydning for oppfyllelse av denne avtalen
legge til rette for effektiv gjennomføring av tilsyn og dokumentutlevering når informasjonseier ønsker å kontrollere informasjonsbehandlers etterlevelse av denne avtalen
Taushetsplikt
Informasjonsbehandler skal påse at alle medarbeidere og tredjeparter som behandler kraftsensitiv informasjon under denne avtalen er kjent med taushetsplikten og dens innhold. Kraftsensitiv informasjon skal ikke under noen omstendighet offentliggjøres. Taushetsplikten gjelder også etter opphør av denne avtalen jf. enl § 9-3.
Tilsyn og kontroll
Informasjonseier kan til enhver tid kreve tilsyn og kontroll med system, rutiner og dokumentasjon som gjelder for forvaltning og behandling av kraftsensitiv informasjon under denne avtalen. Informasjonsbehandler skal uten ugrunnet opphold korrigere eventuelle avvik.
Informasjonsbehandler skal på forespørsel også legge frem generell dokumentasjon knyttet til avvikshåndtering som følge av andre informasjonseieres tilsyn og kontroll.
Tilsyn og kontroll skal varsles i rimelig tid, slik at informasjonsbehandler kan innpasse aktiviteten i arbeidsplanen.
Varighet, oppsigelse og opphør
Denne avtalen gjelder fra den er signert av begge partene. Avtalen gjelder til den sies opp, eller gjeldende tilknyttede avtaler mellom partene, som nevnt under punkt 3. opphører. Begge parter kan gjensidig si opp denne avtalen med 30 kalenderdagers skriftlig varsel.
Ved oppsigelse eller opphør av denne avtalen skal partene avtale sletting og/eller tilbakelevering av elektroniske og fysiske dokumenter, og informasjonsbehandler skal gi en endelig skriftlig bekreftelse.
Ved brudd på denne avtalen kan informasjonseier kreve endringer i rutinene hos informasjonsbehandler, eller pålegge informasjonsbehandler å stoppe videre håndtering av kraftsensitiv informasjon med øyeblikkelig virkning.
Endringer og/eller tillegg til denne avtalen skal være skriftlige og undertegnet av begge parter.
Meddelser
Meddelelser, varsel eller annen kommunikasjon mellom informasjonseier og informasjonsbehandler skal gis skriftlig, eller bekreftes skriftlig til:
-
Informasjonseier
Informasjonsbehandler
[Virksomhetens navn]
[Adresse]
[Virksomhetens navn]
[Adresse]
Navn:
Rolle:
E-post:
Mobilnr.:
Navn:
Rolle:
E-post:
Mobilnr.:
Undertegning
Denne avtalen foreligger i to originaler, hvorav partene beholder et eksemplar hver.
Sted og dato:
[sted], 20xx-xx-xx
-
Informasjonseier
Informasjonsbehandler
Navn:
Navn:
Side 5 av 5