MICROLOG DATABEHANDLERAVTALE
MICROLOG DATABEHANDLERAVTALE
Mellom Microlog AS, org. nr.: 815 469 232, Parkveien 23, 1405 Langhus, Norge (databehandler) og selskap som følger av Avtalen (behandlingsansvarlig) hver omtalt som en «part» eller sammen som «partene». Partene har avtalt de føl- gende standard kontraktsbestemmelser (Kontraktsbestemmelsene) etter artikkel 28(3) i forordning 2016/679 (GDPR) (som basert på Opinion 14/2019 av Personvernrådet) for å oppfylle kravene i GDPR og for vern av den registrertes ret- tigheter.
Kontraktsbestemmelsene følger som vedlegg til Avtalen (avtale om bruksrett til programvare og kjøp av tjenes- ter/produkter evt. andre kjøp/vedlikeholdsavtaler for slike tjenester) mellom Databehandler og Behandlingsansvarlig slik dette er beskrevet i Avtalen og inngås ved inngåelse av Avtalen.
1. INNHOLD
Disse vilkårene samt følgende vedlegg Vedlegg A Information om behandlingen Vedlegg B Godkjente underdatabehandlere
Vedlegg C Instrukser for bruk av personopplysninger
Vedlegg D Ytterligere bestemmelser avtalt mellom partene
2. INNLEDNING
3. BEHANDLINGSANSVARLIGES RETTIGHETER OG PLIKTER
4. DATABEHANDLEREN SKAL HANDLE ETTER INSTRUKSER
skriftlig form, herunder elektronisk, i overensstemmel- se med Kontraktsbestemmelsene.
5. KONFIDENSIALITET
6. SIKKERHET VED BEHANDLINGEN
Den behandlingsansvarlige skal vurdere risikoen til rettigheter og friheter for fysiske personer som omfat- tes av behandling og implementere tiltak for å reduse- re risikoen. Avhengig av relevans, kan slike tiltak omfat- te følgende:
a. Pseudonymisering og kryptering av person- opplysninger,
b. evne til å sikre vedvarende konfidensialitet, in- tegritet, tilgjengelighet og robusthet i behand- lingssystemene og -tjenestene,
c. evne til å gjenopprette tilgjengeligheten og til- gangen til personopplysninger i rett tid der- som det oppstår en fysisk eller teknisk hendel- se,
d. en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.
Dersom det i ettertid – ved vurderingen foretatt av den behandlingsansvarlige – viser seg at reduksjon av den identifiserte risiko krever implementering av ytterligere tiltak av databehandleren enn de tiltak som allerede er implementert av databehandleren etter artikkel 32 i GDPR, den behandlingsansvarlige skal spesifisere disse ytterligere tiltak som skal implementeres i Vedlegg C.
7. BRUK AV UNDERDATABEHANDLERE
det særlig gis tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i Kontraktsbe- stemmelsene og GDPR.
– den behandlingsansvarlige skal ha rettigheter som tredjepart under under-databehandleravtalen og skal kunne håndheve rettigheter overfor underdatabehand- leren som engasjert av databehandleren, som f.eks. å gi den behandlingsansvarlige rett til å instruere under- databehandleren til å slette eller tilbakelevere person- opplysningene.
8. OVERFØRING AV PERSONOPPLYSNINGER TIL TREDJESTATER ELLER INTERNASJONALE OR- GANISASJONER
lingen, med mindre de rettslige kravene av hensyn til viktige allmenne interesser forbyr en slik underretning.
a. Overføre personopplysninger til en behand- lingsansvarlig eller databehandler i en tredje- stat eller en internasjonal organisasjon
b. overføre behandlingen av personopplysninger til en underdatabehandler i en tredjestat
c. la personopplysningene behandles av en da- tabehandler i en tredjestat
9. BISTAND TIL DEN BEHANDLINGSANSVARLIGE
Dette omfatter at databehandleren skal, i den grad det er mulig, bistå den behandlingsansvarlige i den be- handlingsansvarliges overholdelse av:
a. Retten til å bli informert ved innsamling av personopplysninger fra den registrerte
b. retten til å bli informert dersom personopp- lysninger ikke har blitt samlet inn fra den re- gistrerte
c. retten til innsyn av den registrerte
d. retten til retting
e. retten til sletting («retten til å bli glemt»)
f. retten til begrensning av behandling
g. underretningsplikt i forbindelse med retting eller sletting av personopplysninger eller be- grensning av behandling
h. retten til dataportabilitet
i. retten til å protestere mot å omfattes av au- tomatiserte individuelle avgjørelser, inkludert
profilering
a. Den behandlingsansvarliges plikt uten ugrun- net opphold og når det er mulig, senest 72 ti- mer etter å ha fått kjennskap til det, melde brudd på personopplysnings-sikkerheten til vedkommende tilsynsmyndighet, Datatilsynet, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettig- heter og friheter,
b. den behandlingsansvarliges plikt til å under- rette om brudd på personopplysnings- sikkerheten til den registrerte, om det er sannsynlig at bruddet på personopplysnings- sikkerheten vil medføre en høy risiko for fysis- ke personers rettigheter og friheter,
c. den behandlingsansvarliges plikt til å foreta en vurdering av hvilke konsekvenser den planlag- te behandlingen vil ha for personopplysnings- vernet (en vurdering av personvernkonse- kvenser),
d. den behandlingsansvarliges plikt til å rådføre seg med vedkommende tilsyns-myndighet, Datatilsynet, før behandling hvor en vurdering av personvern-konsekvensene som tilsier at behandlingen vil medføre en høy risiko der- som den behandlingsansvarlige ikke treffer til- tak for å redusere risikoen.
10. MELDING OM BRUDD PÅ PERSONOPPLYS- NINGSSIKKERHETEN
b. de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
11. SLETTING OG RETUR AV DATA
12. REVISJON OG INSPEKSJONER
leren og underdatabehandlere er regulert nærmere i Vedlegg C.7 and C.8.
13. YTTERLIGERE BESTEMMELSER
Partene kan avtale ytterligere bestemmelser vedrøren- de behandling av personopplysninger som spesifiserer f.eks. ansvar, så lenge disse ikke er i direkte eller indi- rekte motstrid med Kontraktsbestemmelsene eller forringer de grunnleggende rettigheter og friheter for registrerte og den beskyttelse som GDPR gir.
14. START OG OPPHØR
1. Kontraktsbestemmelsene skal gjelde de er signert av begge parter.
15. SIGNATUR
Kontraktsbestemmelsene inngås som del av Avtalen, og signeres i Avtalen.
16. DEN BEHANDLINGSANSVARLIGES OG DATA- BEHANDLERS KONTAKTOPPLYSNINGER
1. Partene kan kontakte hverandre ved følgende kontakter/kontaktpunkter:
Partenes kontaktpunkter følger av Avtalen.
VEDLEGG A INFORMATION OM BEHANDLINGEN
A.1 Formålet med databehandlerens behandling av personopplysninger på vegne av den behandlings- ansvarlig:
Gjennomføre Avtalen, ved at den Behandlingsansvarli- ge eller dennes representanter kan benytte systemet (programsuite), som eies og forvaltes av Databehand- ler, og eventuelle tilhørende integrerte systemer – for å kunne føre helse- og legejournaler i.h.h.t. norsk lov. (Det vises her spesielt til oppbevaringsplikt for denne type data / Lagring av data).
Navn på tjeneste | Formålet med behandlingen | Varigheten av behandlingen |
INFODOC Plenario (installert hos kunde eller tredje- part etter kundens valg) | Yte konsulenthjelp, eller bistå med support i form av fjern- oppkobling/skjermdeling mot den Behandlingsansvarlige på den Behandlingsansvarlige sin forespørsel. | Til formålet er oppnådd |
Infodoc i SKY Webmed | Drift og lagring for at kunden skal kunne føre pasientjourna- ler og nødvendige administra- tive funksjoner knyttet til pasientbehandling. | Så lenge partene har et kontrakts- forhold |
INFODOC Plenario (i SKY) Webmed | Drift og lagring i INFODOC Plenario for at kunden skal kunne føre pasientjournaler og nødvendige administrative funksjoner knyttet til pasient- behandling. | Så lenge partene har et kontrakts- forhold |
A.2. Databehandlerens behandling av personopplys- ninger på vegne av den behandlingsansvarlige skal i hovedsak relatere seg til (behandlingens gjenstand):
Databehandleravtalen gjelder alltid, herunder, men ikke begrenset til; både for innsamling, registrering, organisering, strukturering, tilpasning eller endring, gjenfinning/backup, sammenstilling, sletting eller tilin- tetgjøring og utlevering/overføring, som følge av at Databehandleren har ansvar for lagring og drift av systemet.
A.3. Behandlingen omfatter de følgende typer person- opplysninger om de registrerte:
A.4. Behandlingen omfatter følgende kategorier regist- rerte:
Personopplysninger som blir behandlet vil i hovedsak være opplysninger som skal dokumenteres i henhold til pasient- og helseregisterloven. Dette kan eksempelvis inkludere følgende helse- og personopplysninger:
Generelle personopplysninger:
• Navn
• Fødselsnummer
• Bosted
• Pårørende informasjon
• Familiesituasjon
• Timeavtaler
• Frikortstatus og betalingsinformasjon Helseopplysninger:
• Opplysninger fra konsultasjon med pasient
• Legemiddelliste
• Diagnoseopplysninger
• Funn og tiltak
• Opplysninger fra helseregistre
• Prøvesvar
• Resepter
• Øvrige opplysninger fra konsultasjon med pasient
A.5. Databehandlerens behandling av personopplys- ninger på vegne av behandlingsansvarlig kan utføres når Kontraktsbestemmelsene får virkning. Behandling- en har følgende varighet:
Behandlingen vil skje så lenge Avtalen gjelder.
VEDLEGG B GODKJENTE UNDERDATABEHANDLERE
B.1. Godkjente underdatabehandlere
Ved inngåelse av Kontraktsbestemmelsene, den be- handlingsansvarlige gir tillatelse til engasjement av følgende underdatabehandlere:
Navn | Dagens Xxx.xx. | Stedlig plassering | Type behandling |
Microsoft Azure | 957 485 030 | Nederland | Drift / Lagring |
Microsoft Azure | 957 485 030 | Irland | Backup |
Den behandlingsansvarlige skal ved inngåelse av Kon- traktsbestemmelsene gi tillatelse til bruk av de oven- nevnte underdatabehandlere for behandlingen beskre- vet for denne. Databehandleren skal ikke ha rett til – uten den behandlingsansvarliges eksplisitte skriftlige tillatelse – å engasjere en underdatabehandler for
«annen» behandling enn den som er blitt avtalt eller benytte en annen underdatabehandler til å foreta den beskrevne behandlingen.
VEDLEGG C INSTRUKSER FOR BRUK AV PERSONOPP- LYSNINGER
C.1. Omfanget av/instrukser for behandlingen
Databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig skal bli utført av databehandleren på følgende måte:
Ingen utover det som følger av Kontraktsbestemmel- sene.
C.2. Sikkerhet ved behandlingen Sikkerhetsnivået skal ta hensyn til:
At behandlingen omfatter et stort omfang av person- opplysninger som omfattes av artikkel 9 i GDPR om ‘særlige kategorier personopplysninger’ som er årsaken til et ‘høyere’ nivå av sikkerhet bør etableres.
Databehandleren skal heretter ha rett til å ta beslut- ninger om tekniske og organisatoriske sikkerhetstiltak som skal iverksettes for å sørge for det nødvendige (og avtalte) sikkerhetsnivå.
Ovennevnte omfatter:
Norm for informasjonssikkerhet i helse- og omsorgs- sektoren: Databehandler skal følge relevante krav i Norm for informasjonssikkerhet (se faktaark 6b, og hvilke krav som er angitt for Databehandler)
Sikring av data: Databehandler skal ha mekanismer for data under transport, prosessering og lagring for å ivareta integritet og konfidensialitet.
Systemadgang: Alle systemer og tjenester hos Databe- handleren er sikret med tilgangskontroller som tilfreds- stiller gjeldende regelverk og egne risikovurderinger. Herunder bl.a. men ikke begrenset til bruker- navn/passord, multifaktor autentisering. Alle data som Databehandleren oppbevarer eller håndterer på vegne av Behandlingsansvarlige sikres for å hindre uautorisert tilgang. Systemene og tjenestene har løsninger for tilgangskontroll slik at Behandlingsansvarlig selv be- grense egne brukeres tilganger.
Fysisk sikkerhet: Ved bruk av underleverandører vil Databehandleren gjennom avtaler sikre at kravet til fysisk sikring er tilfredsstillende.
Systemmessig sikkerhet: Databehandleren benytter bare anerkjente underleverandører for våre løsninger. Systemer og tjenester sikres ved regelmessig testing, vurdering og evaluering, der formålet er å sikre konfi- densialitet, integritet og tilgjengelighet for leverte systemer og tjenester. Alle data i løsningene er logisk separert på klientnivå for å sikre mot uautorisert til- gang. Alle tjenester og systemer vi drifter overvåkes kontinuerlig, og hendelser håndteres løpende av drifts- personell i henhold til egne prosedyrer og rutiner. Alle data som lagres i våre skyløsninger blir regelmessig sikkerhetskopiert. I tillegg vil egne sikkerhetskopier regelmessig kopieres til en annen sekundær lokasjon.
Systemene og tjenestene har støtte for tilgangsstyring slik at den Behandlingsansvarlige selv kan, og har an- svar for, å administrere hva den enkelte bruker har tilgang til.
For å lese mer om Microsoft sin egen beskrivelse av sikkerhet i datasenteret, se: xxxxx://xxx.xxxxxxxxx.xxx/xx-
us/trustcenter/privacy/you-own-your-data.
C.3. Bistand til den behandlingsansvarlige
Databehandleren skal såfremt det er mulig – innenfor omfanget og i den grad bistanden er spesifisert neden- for – bistå den behandlingsansvarlige i henhold til punkt 9.1 and 9.2 ved å implementere de følgende tekniske og organisatoriske tiltak:
Ingen er avtalt uten det som følger av Kontraktsbe- stemmelsene.
C.4. Fremgangsmåte for lagringstid/sletting
Behandlingen er ikke tidsbegrenset og varer til Avtalen sies opp eller avbrytes av en av partene.
I de tilfeller hvor det er Databehandleren som oppbe- varer/lagrer personopplysninger og det ikke er til- gjengeliggjort verktøy for den Behandlingsansvarlige til å selv slette personopplysninger, blir personopplys- ningene oppbevart av Databehandleren inntil den Behandlingsansvarlige anmoder om å få opplysningene slettet og/eller tilbakelevert.
I de tilfeller hvor det er Databehandleren som oppbe- varer/lagrer personopplysninger og det er tilgjengelig- gjort verktøy for den Behandlingsansvarlige til selv å hente eller slette personopplysninger, blir personopp- lysningene oppbevart av Databehandleren inntil den Behandlingsansvarlige selv har hentet og/eller slettet disse.
I de tilfeller hvor Databehandleren ikke oppbeva- rer/lagrer personopplysninger er den Behandlingsan- svarlige selv ansvarlig for oppbevaring og sletting av slike opplysninger.
I de tilfeller hvor Databehandleren oppbevarer midler- tidige kopier, f.eks. i form av backup tilsendt for hjelp/support skal disse slettes så snart som mulig etter at behovet for slike data er borte, og senest innen 10 dager, og uansett på anmodning fra den Behandlings- ansvarlige.
Databehandler vil foreta sletting i tråd med det oven- forstående med mindre ufravikelige rettsregler krever at personopplysningene fortsatt lagres.
C.5. Behandlingssted
Behandling av personopplysninger etter Kontraktsbe- stemmelsene skal ikke utføres på andre lokasjoner enn de følgende uten at det foreligger skriftlig forhånds- samtykke fra den behandlingsansvarlige:
Behandling av de i Databehandleravtalen omfattede personopplysninger kan ikke uten den Behandlingsan- svarliges aksept skje på andre enn følgende steder:
• Norge
• Xxxxx Xxxxxxxxxx - Av andre underleverandører, som angitt i punkt B.1.
C.6. Instrukser for overføring av personopplysninger tredjestat
Databehandleren kan overføre de personopplysninge- ne Databehandleren behandler på vegne av den Be- handlingsansvarlige til de land der Databehandleren og underleverandørene driver sin virksomhet og lagre dem her.
Den Behandlingsansvarlige er kjent med dette og god- tar denne overføringen så lenge den er nødvendig for å gjennomføre de avtalte leveransene.
Den Behandlingsansvarlige godtar at Personopplys- ningene kan behandles utenfor Norge. Databehandler skal likevel ikke overføre personopplysninger til land utenfor EU/EØS-området uten et samtykke fra den Behandlingsansvarlige.
Dersom den Behandlingsansvarlige godtar en slik over- føring, skal Databehandleren sørge for at overføring skjer basert på godkjente overføringsgrunnlag, jfr. GDPR artikkel 44-46.
Databehandleren gis med dette rett til å inngå EUs standard kontraktsbestemmelser for overføring til tredjestater på vegne av Behandlingsansvarlig.
Dersom den behandlingsansvarlige verken i Kontrakts- bestemmelsene eller i det etterfølgende gir dokumen- terte instrukser vedrørende overføring av personopp- lysninger til en tredjestat, skal databehandleren ikke ha rett til å overføre personopplysninger til tredjestat innenfor rammene av Kontraktsbestemmelsene.
C.7. Fremgangsmåte for den behandlingsansvarliges revisjoner, inkludert inspeksjoner, av behandlingen av personopplysninger som utføres av databehandleren
Den behandlingsansvarlig kan gjennomføre inspeksjo- ner som beskrevet i Kontraktsbestemmelsene. Den behandlingsansvarliges kostnader, hvis aktuelt, knyttet til fysisk inspeksjon skal dekkes av den behandlingsan- svarlige. Databehandleren skal imidlertid, være forplik- tet til å bistå med ressurser (hovedsakelig tid) påkrevet for den behandlingsansvarlige til å gjennomføre in- speksjonen.
VEDLEGG D YTTERLIGERE BESTEMMELSER AVTALT MELLOM PARTENE
D.1 Databehandleravtalen omfatter også behandling etter:
- Lov om helseregistre og behandling av helseregist- re Lov av 20. juni 2014 nr. 43 (helseregisterloven)
- Lov om behandling av helseopplysninger ved ytel- se av helsehjelp av 20.juni 2014 nr. 42 (pasient- journalloven) og
- Enhver lov, forskrift eller annet regelverk som erstatter disse.
D.2 Vederlag for bistand til den Behandlingsansvarlige, eller dennes representanter
Generelt så vil Databehandler kunne fakturere timepris for medgått tid til bistand som beskrevet i denne avta- les punkt: «Bistand til den Behandlingsansvarlige», samt eventuell annen bistand relatert til personlovgiv- ningen, med den til enhver tid gjeldende timepris for konsulentbistand.
D.3 Vederlag for verktøy/funksjonalitet
Databehandler tilbyr i dag og vil kunne tilby spesielle verktøy eller funksjonalitet for at den Behandlingsan- svarlige selv på en enkel måte settes i stand til å utføre operasjoner som kreves eller ønskes, etter den til en- hver tid gjeldende helse- og personvernlovgivning. Databehandler vil kunne kreve vederlag for å gi tilgang til slikt verktøy/funksjonalitet, for å dekke inn eventuel- le kostnader med utvikling og vedlikehold av dette.
D.4 Bruk av personopplysninger til egne formål
Databehandler får tilgang til brukernes programmessi- ge bruksmønster via brukernes bruk av programme- ne/tjenestene. Databehandler benytter og Behand- lingsansvarlig samtykker til at Databehandler kan be- nytte slike personopplysninger til å forbedre og utvikle kvaliteten, funksjonalitet og brukeropplevelsen av Databehandler sine produkter og tjenester. Databe- handler bruker disse personopplysningene, dvs. bru- kernes programmessige bruksmønster til egne formål og er da Behandlingsansvarlig for denne bruken. Det presiseres at dette gjelder kun brukernes programmes- sige bruksmønster og ikke pasienters helse- eller per- sonopplysninger. Databehandler vil derfor være ho- vedansvarlig for denne bruken og Kunden vil ikke ha ansvar for at personvernreglene blir fulgt ved denne behandlingen. Dette innebærer blant annet at Databe- handler bl.a. er selv ansvarlig for at det foreligger et behandlingsgrunnlag for denne behandlingen og for at de aktuelle registrerte blir informert om behandlingen.