Databehandleravtale
Folkeregisteropplysninger
<Kundenavn>
side 1/15
Innhold
3
4
2.1 Dokument-struktur og rangordning 4
4
5
4.2 Den behandlings-ansvarliges rettigheter og plikter 5
4.3 Databehandlers rettigheter og plikter 5
5 Tekniske og organisatoriske sikkerhetsiltak
6
7
6.1 Bruk av under-databehandlere 7
6.3 Endring av under-databehandlere 7
7 Overføring av Personopplysninger
7
7.1 Overføring til tredjeland eller internasjonale organisasjoner 7
8
8.1 Varsel om brudd på person-opplysnings-sikkerheten 8
8.2 Bistandsplikt ved varsel til tilsyns- myndighet 8
9 Revisjon, herunder inspeksjon
8
9.2 Gjennomføring av revisjon 8
9.3 Myndigheters revisjonsadgang 8
8
9
9
12.2 Gyldige bestemmelser etter opphør av avtalen 9
side 2/15
Databehandleravtale (“DBA”)
Kunde | <Kundenavn> organisasjonsnummer Fyll inn nettside Fyll inn (på egne vegne og dets tilknyttede selskaper, “Kunde” eller behandlingsansvarlig”) |
Personvernombud/ personvernansvarlig | N/A e-post N/A |
Kontaktpunkt for brudd på personopplysninger | navn/tittel: N/A e-post N/A telefon N/A |
Dato og signatur | <dato> Navn, tittel |
Tietoevry | Tietoevry Norway AS organisasjonsnummer 933 012 867 nettside xxxxxxxxx.xxx Kontaktpunkt: navn og/eller e-post xxxxxxxxxxxxx@xxxxxxxxx.xxx (på egne vegne og for dets tilknyttede foretak, «Tietoevry» eller «databehandler»). |
Dato og signatur | <dato> Xxx Xxxxxxxxx Xxxxxxx, Head of Data Services |
• Kunden og Tietoevry er hver for seg en «part» og utgjør sammen «partene». • Enhver referanse til «Kunde» eller «Leverandør» betyr den part eller parter som opptrer i den funksjonen. • Kunden anses som «behandlingsansvarlig», og Tietoevry anses som «databehandler». For de tilfeller der Kunden anses som «databehandler», så vil Tietoevry anses som «under-databehandler». Partenes plikter etter denne databehandleravtalen gjelder uendret. | |
Dersom annet ikke er avtalt, trer databehandleravtalen i kraft når den er signert av begge parter. Digital kopi og signatur likestilles med skriftlig papirkopi. | |
side 3/15
2.1 | Begrepet Hovedavtalen betyr enhver individuell avtale partene har inngått som innebærer behandling av personopplysninger og som er angitt i vedlegg 1 Spesifisering av behandlingen. som en del av avtalte tjenester. Databehandleravtalen gjelder som en integrert del av Hovedavtalen. Aktuelle bestemmelser i Hovedavtalen gjelder også for databehandleravtalen, iherunder bestemmelser om lovvalg og tvisteløsning. Vilkårene i databehandleravtalen har forrang i forhold til eventuelle tilsvarende bestemmelser i Hovedavtalen. Følgende vedlegg utgjør en integrert del av databehandleravtalen: 1 Spesifikasjon av behandlingen(e) 2 Tekniske og organisatoriske tiltak Denne databehandleravtalen kan inneholde flere vedlegg som spesifiserer av ulike behandlinger relatert til aktuelle tjenester. |
2.2 | Med mindre annet er eksplisitt angitt skal alle begreper ha samme betydning som i relevant personvernlovgivning. Enhver bruk av entall inkluderer flertall og omvendt. |
Tilknyttet foretak | Et foretak som er direkte eller indirekte eid eller kontrollert av en part, eller som direkte eller indirekte eier eller kontrollerer en part, eller er under samme direkte eller indirekte eierskap eller kontroll som en part, så lenge slikt eierskap eller kontroll vedvarer. Eierskap eller kontroll skal foreligge når det er direkte eller indirekte eierskap av mer enn femti (50 %) eller mer av den nominelle verdien av den utstedte eierandelskapitalen eller på femti prosent (50 %) eller mer av aksjene som gir innehaveren rett til å stemme ved valg av styremedlemmer eller personer som utfører lignende funksjoner. |
Personvern- lovgivning | Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (“GDPR”) og Lov om behandling av personopplysninger Lov-2018-06-15-38 («personopplysningsloven»), herunder senere oppdateringer til disse, samt forskrifter, veiledning og beslutninger fra relevante personvernmyndigheter. |
Spesifikasjon av behandlingen | Vedlegg 1 til databehandleravtalen |
SCCs | EU-kommisjonens standard personvernbestemmelser (Standard Contractual Clauses eller SCCs) 2021/914 (xx.xxxxxx.xx). |
Tjenester | Alle tjenester som ytes i henhold til eller i forbindelse med Hovedavtalen som involverer behandling av personopplysninger |
Under- databehandler | Et foretak som er engasjert av databehandler til å utføre en eller flere behandlingsoppgaver. |
Tekniske og organisatoriske tiltak | Tiltak for å beskytte personopplysninger mot utilsiktet eller ulovlig tilintetgjøring, utilsiktet tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysninger, herunder hvor behandlingen involverer overføring av data over et nettverk. |
Vurdering av personvern- konsekvenser ved overføring | Vurdering av personvernkonsekvenser ved overføring i samsvar med SCC 14(b). |
3.1 | Denne databehandleravtalen regulerer behandling av personopplysninger på vegne av Kunden i henhold til avtaler som er inngått mellom Partene («Hovedavtalen»). |
side 4/15
3 Formål |
Hensikten er å etablere en bindende avtale mellom partene i samsvar med personvernlovgivningen for behandling av personopplysninger. Dersom personvernlovgivningen endres i vesentlig grad, skal databehandleravtalen revideres tilsvarende. Partenes opprinnelige bestemmelser skal likevel ivaretas så langt som mulig. Partene skal spesifisere behandlingsaktivitetene som utføres under denne DBA i vedlegg 1: Spesifisering av behandlingen, som – når den er signert av begge parter – er en integrert del av denne DBA. Ved konflikt mellom bestemmelsene så vil Spesifisering av behandlingen ha forrang. |
4.1 | Databehandleravtalen fastsetter både den behandlingsansvarlige og databehandlerens rettigheter og plikter når databehandleren utfører behandling av personopplysninger på vegne av den behandlingsansvarlige. |
Den behandlingsansvarlige: 1 er ansvarlig for å gi databehandleren dokumenterte instrukser i samsvar med personvernlovgivningen; 2 har rett og plikt til å bestemme formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; 3 er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med personvernforordningen (se personvernforordningen artikkel 24), gjeldende personopplysningsvernbestemmelser i unionsretten eller nasjonal rett og denne databehandleravtalen 4 er ansvarlig for, blant annet, å sikre at det foreligger et behandlingsgrunnlag for behandlingen av personopplysninger som databehandleren instrueres om å gjøre 5 bekrefter at: • databehandleravtalen med vedlegg inneholder tilstrekkelige tekniske og organisatoriske sikkerhetstiltak som oppfyller den behandlingsansvarliges krav, og • behandlingsansvarlig har gitt databehandler tilstrekkelig informasjon til å utføre behandlingsoppdraget i samsvar med personvernlovgivningen. | |
Databehandlers rettigheter og plikter | Databehandleren skal: 1 kun behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige, med mindre noe annet kreves av unionsretten eller nasjonal rett som databehandleren er underlagt. Isåfall skal databehandler informere behandlingsansvarlig om slikt lovkrav (forutsatt at loven ikke forbyr å varsle). Etterfølgende eller endrede instrukser følger endringsprosessen (change management) i Hovedavtalen, eller etter nærmere avtale mellom partene. For å unngå tvil; den behandlingsansvarlige anses til enhver tid å ha instruert databehandleren om å levere tjenestene som definert og avtalt under Hovedavtalen; 2 sikre at tilgang til personopplysninger som behandles på den behandlingsansvarliges vegne kun gis til personer som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt 3 sammen med den behandlingsansvarlige, gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen 4 overholde de plikter som databehandleren er pålagt etter personvernforordningen eller annen lovgivning som angitt i Hovedavtalen eller denne databehandleravtalen. 5 Så langt det er mulig og med hensyn behandlingens art og den informasjonen som er tilgjengelig for databehandleren, bistå behandlingsansvarlig med tekniske og organisatoriske tiltak for å håndtere henvendelser fra registrerte og utøvelsen av deres rettigheter. 6 bistå den behandlingsansvarlige med å overholde den behandlingsansvarliges forpliktelsene i henhold til artikkel 32-36, som sikkerhetstiltak, vurdering av personvernkonsekvenser, varsling ved brudd på |
side 5/15
4 Rettigheter og plikter |
personopplysningssikkerheten og forhåndsdrøftinger, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for databehandleren 7 føre protokoll over behandlingsaktivitetetene og gjøre tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne artikkel er oppfylt, samt muliggjør og bidrar til revisjoner, herunder inspeksjoner, som gjennomføres av den behandlingsansvarlige eller en annen revisor på fullmakt fra den behandlingsansvarlige 8 etter den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre unionsretten eller medlemsstatenes nasjonale rett krever at personopplysningene lagres 9 i rollen som data eksportør, på forespørsel fremlegge en vurdering av personvernkonsekvenser ved overføring av personopplysninger til data importør i tredjeland. 10 omgående underrette den behandlingsansvarlige dersom vedkommende mener at en instruks er i strid med denne forordning eller andre bestemmelser om vern av personopplysninger i unionsretten eller medlemsstatenes nasjonale rett. Databehandlers bistand til å oppfylle behandlingsansvarlige’s plikter som angitt i punkt 5-6 overfor kan faktureres etter medgått tid og materiell, til avtalte priser mellom partene. |
5.1 | Den behandlingsansvarlige og databehandleren skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå idet det tas hensyn til: 1 i den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, og 2 den risikoen som behandlingen, utgjør spesielt fra utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring av eller tilgang til personopplysningene som overføres, lagres eller på annen måte behandles. |
5.2 | Sikkerhetstiltakene er spesifisert i Tekniske og organisatoriske tiltak som er inkludert som vedlegg 2 til denne databehandleravtalen. Behandlingsansvarlig bekrefter at tiltakene er tilstrekkelig for å sikre personopplysningene som behandles under denne avtalen. Dersom det er behov for ytterligere tiltak, så kan dette inntas i Hovedavtalen. Hvis relevant kan tiltakene omfatte: • pseudonymisering og kryptering av personopplysninger • evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene • evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse • en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er. |
Behandlingsansvarlig og databehandler plikter Ifølge personvernforordningen artikkel 32 å vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør, og gjennomføre tiltak for å imøtegå risikoene. Med henblikk på denne vurderingen skal den behandlingsansvarlige stille den nødvendige informasjonen til rådighet for databehandleren som gjør vedkommende i stand til å identifisere og vurdere slike risikoer. | |
side 6/15
6.1 | Databehandleren skal oppfylle betingelsene som er fastsatt i personvernforordningen artikkel 28 nummer 2 og nummer 4 for å gjøre bruk av en annen databehandler (en underdatabehandler). Databehandleren er ansvarlig for å kreve at underdatabehandleren som minimum overholder databehandlerens forpliktelser etter denne databehandleravtalen og personvernforordningen. Hvis databehandleren ikke oppfyller sine personopplysningsvernforpliktelser blir databehandleren fullt ut ansvarlig overfor den behandlingsansvarlige når det gjelder oppfyllelse av underdatabehandlerens forpliktelser. |
6.2 | Databehandleren har den behandlingsansvarliges generelle godkjennelse til å benytte underdatabehandlere, herunder tilknyttede selskaper. Listen over underdatabehandlere som den behandlingsansvarlige allerede har godkjent fremgår av vedlegg 1. |
6.3 | Databehandleren skal skriftlig underrette den behandlingsansvarlige om eventuelle planlagte endringer som gjelder tilføyelse eller utskiftning av underdatabehandlere og dermed gi den behandlingsansvarlige mulighet til å motsette seg slike endringer før den eller de beskrevne underdatabehandler(e) engasjeres. Dersom behandlingsansvarlig motsetter seg endringen og har gyldige grunner for dette, så kan behandlingsansvarlig terminere den del av Hovedavtalen som innebærer behandling av personopplysninger med tretti (30) dagers skriftlig varsel. |
7.1 Overføring til tredjeland eller internasjonale organisasjoner | Databehandleren kan kun overføre personopplysninger til tredjeland eller internasjonale organisasjoner etter dokumentert instruks fra den behandlingsansvarlige, og slik overføring skal alltid skje i overensstemmelse med personvernforordningen kapittel V. |
7.2 | Der det er pålagt under Personvernlovgivningen skal databehandleren inngå nødvendige avtaler for overføring av personopplysninger (herunder med databehandleren og/eller databehandlerens tilknyttede selskaper hvis aktuelt). Slike avtaler skal inngås i samsvar med enten (1.) standard personvernbestemmelser vedtatt eller godkjent av EU-kommisjonen ("SCCs"), eller (2.) en alternativ overføringsmekanisme som sikrer lovlig overføring av personopplysninger utenfor de godkjente jurisdiksjonene, forutsatt at slik beskyttelse er i samsvar med personvernlovgivningen. Der SCC brukes som overføringsmekanisme mellom databehandleren og dennes underbehandler i et tredjeland, gjelder følgende: 1 Databehandleren (eller dennes underdatabehandlere, hvis aktuelt) plikter å inngå standard personvernbestemmelsene (SCC) som publisert av EU-kommisjonen i juni 2021 i samsvar med kommisjonens implementeringsbeslutning (EU) 2021/914 juni 2021. 2 Med mindre annet er avtalt med behandlingsansvarlig i behandlingsoversikten, så skal databehandleren inngå prosessor-til-prosessor SCC-modulen (MODULE THREE) med sine tilknyttede selskaper og/eller med tredjeparter som fungerer som underbehandlere, eller skal, der det er aktuelt, få slike underbehandlere til å implementere det samme med sine underbehandlere. 3 Partene kan benytte allerede inngåtte SCC avtaler inntil processor-to-processor SCC module (MODULE THREE) blir signert av partene. 4 Databehandleren skal på forespørsel gi den behandlingsansvarlige en kopi av inngåtte SCC. |
side 7/15
8.1 | Etter å ha fått kjennskap til et brudd på personopplysningsssikkerheten skal databehandleren uten ugrunnet opphold underrette den behandlingsansvarlige. Varsel skal gis til kontaktpersonen som er oppgitt av behandlingsansvarlig, med mindre partene har avtalt noe annet. |
Databehandleren bistå den behandlingsansvarlige med å melde bruddet til kompetent tilsynsmyndighet ved å bistå med å fremskaffe informasjon listet opp nedenfor. Varselet skal minst inneholde følgende informasjon: • arten av bruddet på personopplysningsssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt, • navn og kontaktopplysninger til personvernombud eller annen kontakt der mer informasjon kan innhentes, • sannsynlige konsekvenser av bruddet på personopplysningsssikkerheten, • tiltak som databehandler har truffet eller foreslår å gjenopprette personopplysningsssikkerheten og redusere eventuelle skadevirkninger som følge av bruddet. Dersom det ikke er mulig å gi all informasjon samtidig, kan den gis fortløpende og uten ugrunnet opphold etter hvert som informasjonen blir tilgjengelig. | |
9.1 | Databehandleren skal muliggjøre og bidra til revisjoner, herunder inspeksjoner, som utføres av den behandlingsansvarlige eller en annen revisor som er bemyndiget av den behandlingsansvarlige («Revisjon»). |
9.2 | Prosedyrene for den behandlingsansvarliges revisjoner, herunder inspeksjoner, av databehandleren og underdatabehandlere fremgår av hovedavtalen. I den grad hovedavtalen ikke inneholder bestemmelser om revisjon, så gjelder følgende: • den behandlingsansvarlige kan benytte revisorer som ikke er konkurrenter til databehandleren • partene skal bli enige god tid i forveien om tidspunkt, omgang og plan for revisjonen • revisjonen skal gjennomføres på en slik måte at databehandlerens forpliktelser overfor tredjeparter (inkludert, men ikke begrenset til Databehandlerens kunder, partnere og leverandører) overholdes. • dersom en revisjon avdekker avvik fra forpliktelsene i personvernlovgivningen eller databehandleravtalen, skal databehandler så snart som mulig utbedre avviket. Behandlingsansvarlig kan kreve at databehandleren midlertidig stopper hele eller deler av behandlingsaktivitetene frem til utbedringen er godkjent av behandlingsansvarlig. • Den behandlingsansvarliges representanter eller eksterne revisorer som deltar skal signere taushetserklæring og følge rimelige sikkerhetskrav gitt av databehandleren. |
9.3 | Databehandleren forplikter seg til å gi enhver tilsynsmyndighet som overser behandlingsansvarliges virksomhet, adgang til å foreta revisjon av databehandleren. Relevante deler av avtalen, herunder dette punkt 9, gjelder. |
9.4 | Den behandlingsansvarlige er ansvarlig for alle kostnader for revisjoner og inspeksjoner som er initiert av den behandlingsansvarlige, herunder databehandlerens kostnader til medgått tid og materiell. Hvis en revisjon avdekker vesentlige brudd på forpliktelsene etter personvernlovgivningen eller databehandleravtalen, skal databehandleren likevel dekke den behandlingsansvarliges rimelige kostnader forbundet med revisjonen. |
10.1 | Databehandleren skal |
side 8/15
10 Taushetsplikt
Databehandlers plikter
• sørge for konfidensialitet av personopplysninger mottatt fra behandlingsansvarlig
• kun gi tilgang til personopplysninger til personer som har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt
• sørge for at tredjeparter ikke får tilgang til personopplysningene, med mindre databehandler er forpliktet gjennom ufravikelig lov eller pålegg fra myndigheter til å gi tilgang.
10.2
Innsyn
Ved forespørsel og innsyn i personopplysninger fra registrerte, offentlige myndigheter eller andre, så skal databehandleren uten ugrunnet opphold informere den behandlingsansvarlige.
Databehandleren skal ikke uten etter instruks fra den behandlingsansvarlige utlevere personopplysninger, med mindre databehandler er forhindret gjennom ufravikelig lov eller pålegg fra myndighetene til å fremlegge slik informasjon.
11.1
Generelt
Hovedavtalens erstatningsbestemmelser gjelder tilsvarende for databehandleravtalen.
11.2
Ansvar
Partenes erstatningsansvar for skade som rammer den registrerte eller andre fysiske personer og som skyldes overtredelse av personvernforordningen (forordning 2016/679), personopplysningsloven med forskrifter eller annet regelverk som gjennomfører personvernforordningen, følger bestemmelsene i personvernforordningen artikkel 82.
Erstatningsbegrensningen i Hovedavtalen kommer ikke til anvendelse for ansvar som følger av personvernforordningen artikkel 82. Partene er hver for seg ansvarlige for overtredelsesgebyr ilagt i henhold til personvernforordningens art. 83.
12.1
Generelt
Databehandleravtalen gjelder
• så lenge databehandler behandler personopplysninger på vegne av den behandlingsansvarlige.
• den gjelder også for eventuelle personopplysninger som måtte finnes hos databehandler eller noen av dennes underdatabehandler etter avtalens opphør
Hver av partene kan si opp denne DBA med seks (6) måneders skriftlig varsel.
12.2
Gyldige bestemmelser etter opphør av avtalen
Alle bestemmelser som av natur er ment å overleve etter opphør av denne DBA skal forbli i full kraft og effekt uavhengig av oppsigelse av DBA.
side 9/15
Spesifikasjon av behandlingen (vedlegg 1)
Behandling av personopplysninger foretas i samsvar med: | |
☐ | |
☒ | Databehandleravtale signert <dato> |
Denne behandlingsoversikten er en integrert del av databehandleravtalen og spesifiserer databehandleroppdraget |
som databehandler utfører på vegne av behandlingsansvarlig. Alle begrep med stor forbokstav følger definisjonen i |
databehandleravtalen hvis ikke annet er uttrykkelig avtalt her. |
Partene har avtalt følgende: | |
Roller og signaturer | |
Behandlingsansvarlig(e) | <Kundenavn> organisasjonsnummer Fyll inn nettside Fyll inn |
Dato og signatur | <dato> Navn, tittel |
Databehandler | Tietoevry Norway AS organisasjonsnummer 933 012 867 nettside xxxxxxxxx.xxx Kontaktpunkt: navn og/eller e-post xxxxxxxxxxxxx@xxxxxxxxx.xxx (på egne vegne og for dets tilknyttede foretak, «Tietoevry» eller «databehandler»). |
Dato og signatur | <dato> Xxx Xxxxxxxxx Xxxxxxx, Head of Data Services |
side 10/15
Tjenester | ||||||
Tjenester | Databehandlerens behandling av personopplysninger på vegne av den behandlings-ansvarlige er knyttet til følgende tjenester: • Personopplysningene behandles i forbindelse med leveranse av tjenester for Folkeregisteret slik de er spesifisert i Hovedavtalen (Tjenesteavtalen) for tilgang og bruk av folkeregistertjenester | |||||
Behandlings- aktiviteter | Databehandlingen inneholder følgende aktiviteter (vennligst spesifiser): | |||||
☐ | Applikasjonsforvaltning | ☐ | Konsulent og utviklingstjenester | |||
☐ | Databaseforvaltning | ☐ | Support tjenester | |||
☐ | Infrastruktur tjenester | ☒ | Annet: Aktiviteter som kan utføres er knyttet til leveranse av vask, porteføljeovervåking, uttrekk, direkteoppslag/online-oppslag, Masterdata, Analyse/statistikk og lagring av data | |||
Alle behandlingsaktiviteter utføres av databehandlers personell i EU/EØS. Personopplysningene skal behandles så lenge Tjenestene leveres under Hovedavtalen, dersom annet ikke er avtalt mellom partene. | ||||||
Godkjente under- databehandlere og geografisk lokasjon | Behandlingsansvarlig godkjenner at databehandler kan benytte underdatabehandlere som oppgitt i denne behandlingsoversikten. Behandlingsansvarlig godkjenner at personopplysningene behandles (herunder ved fjerntilgang eller lagring) av de underdatabehandlere som er oppført i denne behandlingsoversikten og som er lokalisert i tredjeland utenfor Godkjente Jurisdiksjoner som oppgitt nedenfor under Geografisk lokasjon av personopplysninger. (Veiledning: I denne tabellen kan informasjon om underdatabehandlere, deres geografiske lokasjon, behandlingsaktiviteter og overføringsmekanisme oppføres ved behov): | |||||
Firmanavn | Geografisk lokasjon | Behandlingsaktivitet | Overføringsmekanisme(f or eksempel SCC) | |||
Tietoevry tilknyttede selskaper innen EU/EØS, se oppdatert oversikt: xxxxxxxxx.xxx/xx/xxxxxx t-tietoevry/ | EU/EØS | Som avtalt i Hovedavtalen | Kommer ikke til anvendelse | |||
side 11/15
Godkjente underleverandører
Databehandleren benytter følgende underbehandlere:
Firmanavn: Land: Behandlingsaktivitet:
databehandlere | Tietoevry Latvia | Latvia | Leverer brukerstøttetjenester |
og geografisk lokasjon | Basefarm AS | Norge | Leverer tekniske driftstjenester |
Kategorier av registrerte
Kategorier av registrerte er som følger:
☒ Kundens ansatte, herunder frivillige, konsulenter, vikarer og midlertidig ansatte
☒ Kundens kunder og sluttbrukere
☒ Kundens leverandør, partnere og tredjeparter
☐ Registrerte innen helsevesen og velferd
☐ Personopplysninger relatert til ulike tjenester (som for eksempel kapasitetstjenester).
☐ Annet: Fyll inn
Typer person- opplysninger
Behandlingen omfatter følgende typer av personopplysninger om de registrerte:
☒ Kunde- og ansatte informasjon som navn, tittel, adresse, e-postadresse og telefonnummer.
☒ Leverandør- og partner informasjon som navn, tittel, adresse, e-postadresse og telefonnummer.
☐ Finansielle og transaksjonell informasjon som inntekt, lønn, eiendeler og investeringer, betalinger, varekjøp, lån, fordeler, tilskudd, bankkontonummer, betalingstransaksjonsinformasjon, kredittkortnummer, forsikringsdetaljer og pensjonsinformasjon.
☐ Ansatte og arbeidsforhold, for eksempel navn, adresse, e-postadresse, telefonnummer, alder, kjønn, fødselsdato, personnummer, CV, rekrutterings- og oppsigelsesdetaljer, vurderinger, opplærings- og sikkerhetsjournaler.
☒ Sluttbruker- og IT-administrasjon, som informasjon om teknisk utstyr, brukernavn, lokasjon, navn, e- postadresse, telefonnummer, kommunikasjonsdata, system- og applikasjonslogger.
☐ Sikkerhetsrelatert informasjon som logger, overvåking og hendelser.
☒ Annet
De personopplysninger som til enhver tid er tilgjengelig fra Folkeregisteret, både gjeldende og historiske opplysninger.
side 12/15
☐ | Særlige kategorier av personopplysninger | |||||||
☐ | rasemessig eller etnisk opprinnelse | ☐ | politiske oppfatninger | ☐ | religiøs eller filosofisk overbevisning | |||
☐ | fagforeningsmed lemskap | ☐ | genetiske eller biometriske data | ☐ | helseopplysninger | |||
☐ | seksuelle forhold eller seksuell legning | ☐ | straffedommer og lovbrudd eller relaterte sikkerhetstiltak (*regnes ikke som særlig kategorier av personopplysninger, men er likevel underlagt visse begrensninger (personvernforordningen artikkel 10) | |||||
Varighet | Dette vedlegget gjelder fra den er signert av begge parter. Personopplysningene behandles så lenge tjenestene leveres under Hovedavtalen, med mindre annet er avtalt mellom partene. | |||||||
Kundespesifikke bestemmelser | Partene har avtalt følgende tilleggsbestemmelser eller avvik fra DBA: 1 Den behandlingsansvarliges bruk av 3dje parter for utførelse av oppgaver på vegne av den behandlingsansvarlige. Den behandlingsansvarlige kan benytte seg av andre 3dje parter som databehandlere for utførelse av definerte oppgaver på vegne av den behandlingsansvarlige, og som innebærer bruk av folkeregistertjenester. 3dje partene som utfører oppgaver som databehandler på vegne av den behandlingsansvarlige, er underlagt det samme regulatoriske rammeverket som den behandlingsansvarlige. Dette reguleres med DBA mellom den behandlingsansvarlige og den enkelte 3dje part. De 3dje parter som utfører oppgaver på vegne av den behandlingsansvarlige som angitt i denne avtalen skal ha tilgang til de samme tjenestene fra Tietoevry som den behandlingsansvarlige på vegne av den behandlingsansvarlige og etter instruks fra den behandlingsansvarlige. Databehandleren benytter følgende 3dje parter: Firmanavn: Orgnr: Land: Behandlingsaktivitet: | |||||||
side 13/15
Tekniske og organisatoriske tiltak (vedlegg 2)
Dette vedlegget beskriver de tekniske og organisatoriske sikkerhetstiltakene som Tietoevry har innført som standard i Tietoevrys produkter og tjenester for å sikre at personopplysninger er beskyttet i samsvar med kravene i personvernlovgivningen.
Tietoevry har iverksatt egnede tekniske og organisatoriske tiltak som er utformet med tanke på å oppfylle personvernprinsippene på en effektiv måte.
Kundespesifikke sikkerhetstiltak er inkludert i Hovedavtalen.
Vurdering av personvernkonsekvenser |
Tietoevry foretar og dokumenter risikovurdering for hvert Tietoevry-produkt eller -tjeneste. Personvern og sikkerhetsrisikoer er registrert og overvåkes i Tietoevrys risikodatabaser. Tietoevry foretar risikovurdering av personvern for å beslutte hvilke datasikkerhetstiltak som skal iverksettes. Målet er å definere et passende nivå av datasikkerhetstiltak for hvert produkt eller tjeneste. Tietoevry har i hvert fall minst iverksatt sikkerhetstiltakene som er beskrevet nedenfor. |
Sikkerhetstiltak |
Som del av informasjonssikkerhetssystemet (Information Security Management System – ISMS) har Tietoevry retningslinjer for informasjon om sikkerhet og personvern, som kan deles med kunder på forespørsel. Tietoevry innehar en rekke sertifiseringer basert på internasjonale standarder, herunder ISO 27001, ISO 9001, ISO 20000 og ISO 14001. Tietoevry utfører hvert år en ekstern ISAE3402 revisjon som foretas av uavhengig tredjepart. Revisjonsrapporten er tilgjengelig for Tietoevrys kunder på forespørsel etter nærmere avtale. Partene kan avtale at det skal foretas en ISAE 3402 revisjon spesifikt for Kundens løsning der det er ønskelig fra Kundens side. |
Tietoevry gjennomfører følgende tiltak for å sikre at kravene i GDPR artikkel 32 imøtekommes: 1 Pseudonymisering og kryptering av personopplysninger Tietoevry benytter kryptering og/eller pseudonymisering der det er relevant for å øke personopplysningsssikkerheten. Krypterings- og pseudonymiserings-teknikker vil variere ut fra tjenester og risikovurdering. Nærmere informasjon om de enkelte tjenestene og pseudonymisering/ kryptering oppgis på forespørsel. 2 Evnen til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet for behandlingssystemene og –tjenestene Beskyttelse av personopplysninger krever implementering av flere sikkerhetstiltak. Tietoevrys standard driftsrutiner følger til enhver tid det som anses å være god praksis i bransjen, som for eksempel ITIL. Standardiserte prosesser sørger for kvaliteten på tjenesten og datasikkerhet. Tietoevry fører streng kontroll med admin tilganger til driftsmiljøer. Kun personer som har relevante arbeidsoppgaver vil ha tilgang. Tilgang til kundemiljø skjer etter nærmere avtale og godkjenning av Kunde. Tilgang loggføres i den grad det er ønskelig og etter nærmere avtale med Kunde. Kommunikasjon skjer gjennom sikret nettverk. Andre tiltak, som for eksempel sterk autentisering eller kryptering, implementeres hvis nødvendig basert på en risikoanalyse. All data, herunder personopplysninger er beskyttet mot utilsiktet og ulovlig ødeleggelse ved hjelp av fysiske og miljømessige kontroller. Dette forhindrer at uautoriserte personer får tilgang til informasjonen. |
side 14/15
Tietoevry sikrer tilstrekkelig beskyttelse av fjerntilgang, herunder tredjepartstilgang og filoverføringer som distribueres innenfor Tietoevrys infrastruktur.
Tietoevry planlegger og gjennomfører revisjon og kontroll av kunderelaterte operasjoner. Organisasjonsstrukturen tildeler roller og ansvar for å sikre tilstrekkelig bemanning og effektivitet.
Tietoevry foretar bakgrunnssjekker av i ansettelsesprosessen ut fra stilling og ansvarsområde i samsvar med gjeldende lokal arbeidslov og lovbestemte forskrifter.
Tietoevry vedlikeholder og gjennomfører sikkerhetsstrategi og revisjoner. Alle ansatte har obligatorisk personvernopplæring, og ansatte med behov for tilgang til driftsmiljøer må gjennom en omfattende sikkerhetsopplæring. Dette bidrar til å øke informasjonssikkerheten og derved konfidensialiteten, integriteten og tilgjengeligheten for personopplysninger som Tietoevry håndterer på vegne av kunder.
3 Evnen til å raskt gjenopprette tilgjengeligheten og tilgangen til personopplysninger dersom det oppstår en fysisk eller teknisk hendelse
Tietoevry har backup- og disaster recovery prosesser som sikrer rask gjenoppretting forretningskritiske systemer og tilgjengelighet/ tilgang til personopplysninger dersom fysiske eller tekniske hendelser oppstår.
Disse prosessene oppdateres og testes regelmessig, og er underlagt tredjepartsrevisjoner. Kundespesifikke kontinuitetsplaner og -prosedyrer avtales særskilt mellom Tietoevry og Kunden.
4 Regelmessig testing, vurdering og evaluering av hvor effektive behandlingens tekniske og organisatoriske tiltak er
Tietoevry tester regelmessig systemer, rutiner og prosesser, rutiner og systemer for beredskap og evaluerer effektiviteten av de tekniske og organisatoriske tiltakene. Der Kunden har behov for egen beredskap og disaster recover så avtales dette særskilt i Hovedavtalen.
Tietoevry er underlagt interne og uavhengige tredjepartsrevisjoner som del av sertifiseringen for kvalitets- og sikkerhetshåndtering som ISO 9001 og ISO 27001.
Tietoevry foretar jevnlig intern sikkerhetstesting og sårbarhetsskanning ut fra det til enhver tid gjeldende risikobildet. Dette inkluderer sikkerhetstjenester fra tredjeparter og penetrasjonstester der det anses nødvendig.
side 15/15