Databehandleransvarlig:

Databehandleransvarlig:

Organisasjonsnummer:                          

Kundens navn:

Adresse:

Telefonnummer/Fax:              

Email adresse:

Kundenummer:

Databehandleravtale mellom DATABEHANDLINGSANSVARLIG og Opus Systemer AS

heretter kalt DATABEHANDLER.

Formål: Avtale for å sikre at krav til konfidensialitet, integritet, tilgjengelighet og kvalitet ivaretas i henhold til helseregisterloven og Personopplysningsloven m/forskrift.

Xxxxxx fra signeringsdato for avtalen, til den blir sagt opp av en av partene.

DATABEHANDLER plikter å behandle personopplysninger fra DATABEHANDLINGSANSVARLIG slik at krav til konfidensialitet, integritet, tilgjengelighet og kvalitet er ivaretatt etter Helseregisterloven §§ 16 og 18, Personopplysingsloven § 13, personopplysningsforskriften § 2-15 og Normen.

Det er DATABEHANDLINGSANSVARLIG sitt ansvar å påse at DATABEHANDLERs Informasjonssikkerhet er tilfredsstillende. Om sikkerhetsnivået ikke er tilfredsstillende plikter DATABEHANDLER å justere sikkerhetsnivået etter skriftlig instruks fra DATABEHANDLINGSANSVARLIG.

DATABEHANDLER har det praktiske ansvaret for at tilfredsstillende informasjonssikkerhet er etablert gjennom planlagte og systematiske tiltak. DATABEHANDLER skal på forlangende fra den databehandleransvarlige, oversende dokumentasjon til DATABEHANDLINGSANSVARLIG om mål og strategi for informasjonssikkerheten.

Ved bruk av underleverandører til vedlikehold og oppdatering av registre, databaser med mer, så plikter DATABEHANDLER å sørge for at disse leverandørene etterlever den samme krav til informasjonssikkerhet. Dette på en slik måte at sikkerhetsnivået, som er beskrevet ovenfor, ikke blir svekket. Om personopplysningene skal overføres i eksterne nettverk skal disse krypteres etter gjeldene bestemmelser.

DATABEHANDLER plikter å ha dokumentert systemet og prosedyrer som er relevant i forbindelse med denne avtalen. Med dokumentasjon menes prosedyrer for autorisasjon og bruk, ulike tekniske og organisatoriske sikkerhetstiltak. Dokumentasjonen skal være tilgjengelig for DATABEHANDLINGS-ANSVARLIG, Datatilsynet og Helsetilsynet. Innsyn i

dokumentasjonen skal reguleres strengt (gis til et begrenset antall autoriserte personer) slik at dette ikke svekker sikkerhetsnivået.

Dersom det forekommer avvik ihht. vedtatt informasjonssikkerhet skal DATABEHANDLER som en del av avviksprosedyren sende avviksrapporter til DATABEHANDLINGSANSVARLIG for avvik som har betydning i denne sammenhengen.

DATABEHANDLINGSANSVARLIG har rett til å la en tredje part revidere DATABEHANDLERs informasjonssikkerhet. Kostnadene for dette skal dekkes av DATABEHANDLINGSANSVARLIG.

Ved opphør av avtaleforholdet plikter databehandler å destruere dokumenter og alle elektroniske data på det medium (tape, CD, papir mv) som DATABEHANDLER måtte besitte i egenskap av å være databehandler. DATABEHANDLER har ikke noen rett til å beholde kopi av materialet. DATA-BEHANDLINGSANSVARLIG skal motta en skriftlig bekreftelse fra DATABEHANDLER på at alt materiale er destruert til DATABEHANDLINGSANSVARLIG, og at DATABEHANDLER ikke selv har beholdt noen kopi, avskrift eller annen gjengivelse av noen del av materialet på noe medium.

Sted, dato

Sted dato

Asker, / -

Kundens underskrift:

Leverandørens underskrift:

Opus Systemer AS

Blokkbokstaver:

Blokkbokstaver:

Taushetsplikten for de helse- og personopplysningene og andre relevant informasjons i tilknytning til dette skal overholdes underveis i avtaleforholdet. DATABEHANDLER er bundet av den samme taushetsplikten også etter at avtaleforholdet er avsluttet for de helse- og personopplysningene som er behandlet.