Databehandleravtale


Databehandleravtale

I henhold til personopplysningslovens § 15, jf. § 13 og personopplysningsforskriften kapittel 2


mellom


NAV

behandlingsansvarlig

og


databehandler


Denne avtalen er utferdiget i 2- to- eksemplarer, hvorav partene har hvert sitt.


For NAV Arbeidssted Frilanstolk


Sign.: Sign.:           

(leder) (navn)


1. Avtalens parter

Avtalen inngås mellom NAV Hjelpemidler og tilrettelegging på vegne av Arbeids- og velferdsetaten (NAV) som behandlingsansvarlig og frilanstolk ( ) som databehandler (heretter kalt frilanstolken) ved tolkeoppdrag for NAV.


Behandlingsansvarlig er definert i personopplysningsloven § 2 nr. 4 som den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes.


Databehandler er definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige, jf. personopplysningsloven § 2 nr. 5.


2. Hensikten med avtalen

Avtalens hensikt er å regulere rettigheter og plikter etter lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger ikke brukes urettmessig eller kommer uberettigede i hende, og at all behandling av personopplysninger hos frilanstolken utføres etter krav til personvern, taushetsplikt og informasjonssikkerhet.


Databehandleravtalen regulerer frilanstolkens bruk av personopplysninger på vegne av NAV, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.


Avtalen er vedlegg til «Rammedokument om samarbeidet mellom NAV og frilanstolkene».


3. Formål og behandling av personopplysninger

Frilanstolkene leverer tolketjeneste for døve, hørselshemmede og døvblinde etter avtale med, og på vegne av, NAV. Tolkeoppdragets innhold fremgår av oppdragsavtalen fra NAV. Oppdragsavtalen skal kun inneholde personopplysninger som NAV vurderer som nødvendige og relevante for tolkeoppdraget, samt nødvendig og relevant tilleggsinformasjon. Personopplysninger om tolkebruker er underlagt lovpålagt taushetsplikt og vil kunne være sensitive etter personopplysningslovens definisjon (se personopplysningsloven § 2 nr.8).


Databehandleravtalen omfatter all behandling av personopplysninger som frilanstolken får tilgang til gjennom oppdragsavtalen og ved gjennomføringen av oppdraget. Ved behov for ytterligere personopplysninger for å gjennomføre tolkeoppdraget, skal frilanstolken melde fra til NAV. NAV vurderer om ytterligere personopplysninger skal innhentes/utleveres. I en slik vurdering kan NAV konferere med tolkebruker ved behov.


Frilanstolken er ansvarlig for å lagre oppdragsavtalene på en sikker måte, slik at opplysningene ikke er tilgjengelige for uvedkommende. Sikring av personopplysninger skal gjennomføres slik som beskrevet i avtalens punkt 5.


Personopplysninger som blir overlevert frilanstolken av NAV kan ikke brukes til andre formål enn administrasjon og levering av tolketjeneste. Personopplysningene som behandles på vegne av NAV skal ikke utleveres til andre, med mindre det er uttrykkelig avtalt med NAV.


Taushetsbelagte og sensitive personopplysninger skal ikke sendes mellom frilanstolken og NAV på usikrede og ukrypterte kommunikasjonskanaler, som usikret e-post eller SMS.


Personopplysninger om tolkebruker og oppdraget som er behandlet på vegne av NAV skal slettes senest innen 12 uker etter at det enkelte tolkeoppdraget er fullført.

Tolkebruker har til enhver tid rett til innsyn i hvilke opplysninger om seg som behandles, jf. personopplysningsloven § 18. Det gjelder også behandlingen av personopplysninger hos frilanstolken. Anmodning om innsyn fra tolkebruker skal rettes til NAV som behandlingsansvarlig. Det samme gjelder retten til å kunne anmode personopplysninger som rettet, sperret eller slettet, jf. personopplysningsloven § 27 og § 28.


4. Databehandlers plikter

Frilanstolken skal følge NAVs gjeldende rutiner og instrukser for behandling av personopplysninger.

Frilanstolken skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven med forskrift, herunder særlig personopplysningsloven §§ 13 – 15 med forskrift. Frilanstolken skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på NAVs forespørsel.

Databehandler plikter å bistå NAV ved ivaretakelsen av den registrertes rettigheter, jf. personopplysningsloven kapittel III og IV.

NAV har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysninger som behandles. Frilanstolken plikter å gi nødvendig bistand til dette.


5. Krav til informasjonssikkerhet

Personopplysninger som frilanstolken behandler på vegne av NAV skal holdes forsvarlig adskilt fra annen informasjon i frilanstolkens informasjonssystemer. Frilanstolken skal ha tilfredsstillende sikring på de løsninger som benyttes, slik at uvedkommende ikke får tilgang til opplysningene. Frilanstolkens informasjonssystemer (mobiltelefon, nettbrett, PC eller lignende) skal være beskyttet med personlig passord/kode for innlogging eller ha annen tilgangsstyring.

Avviksmelding etter personopplysningsforskriften § 2-6 skal skje ved at frilanstolken melder avviket til NAV. Det gjelder alle hendelser som bryter med, eller kan bryte med, personvernet eller hvor personopplysninger som behandles på vegne av NAV på en eller annen måte er kommet uvedkommende i hende. NAV har ansvaret for at avviksmelding sendes til Datatilsynet.


6. Taushetsplikt

Frilanstolken har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen.


Frilanstolken skal undertegne en erklæring om taushetsplikt, som også omfatter kravene i lov om arbeids- og velferdsforvaltningen § 7, jf. forvaltningsloven §§ 13 – 13 e og lov om sosiale tjenester i NAV § 44. Det vil si at taushetsplikten også gjelder opplysninger om tolkebrukers fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bosted og arbeidssted.

Taushetsplikten gjelder også etter avtalens opphør.


7. Avtalens varighet og ikrafttredelse

Avtalen trer i kraft fra den dato denne avtalen undertegnes, og gjelder så lenge frilanstolken har oppdrag for NAV.

Ved brudd på denne avtalen og eller personopplysningsloven med tilhørende forskrift kan NAV pålegge frilanstolken å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.


8. Ved opphør

Ved opphør av denne avtalen plikter frilanstolken å tilbakelevere eller slette alle personopplysninger som er mottatt fra NAV og som omfattes av denne avtalen. Dette gjelder også for eventuelle sikkerhetskopier.

Frilanstolken skal skriftlig dokumentere at sletting er foretatt i henhold til avtalen innen fire uker etter avtalens opphør.


9. Endringshåndtering

Ved endringer i lover, forskrifter og lignende med relevans for avtalen, skal det vurderes om avtalen må revideres.


Tekniske eller sikkerhetsmessige endringer kan også medføre at avtalen må endres. Dette vurderes fortløpende av partene i avtalen. Slike endringer skal varsles den andre part uten ugrunnet opphold.


Endringer av databehandleravtalen skal avtales skriftlig, og legges som vedlegg til denne avtalen.


10. Kontaktpersoner

Alle meddelelser som gis etter denne avtalen skal være skriftlige og adressert til følgende kontaktpersoner:


Kontaktperson hos NAV

Hjelpemiddelsentral:

Kontaktinformasjon databehandler:


Navn:

Navn:


Telefon:


Telefon:


E-post:


E-post:

Document Metadata

Filed: January 2nd, 2018