INNHOLD
Avtale
mellom
xxx
og
xxx
om
elektronisk utveksling av opplysninger
1. Avtalens parter 3
2. Avtalens gjenstand og avtalens dokumenter 3
3. Rettslig grunnlag for utlevering, innhenting og behandling av opplysninger 3
3.1 Rettslig grunnlag for utlevering og innhenting av opplysninger. 4
3.2. Begrensninger i bruk av opplysningene – formål/tjenstlige behov 4
3.3. Videreformidling av opplysninger 4
4. Behandlingsansvar og taushetsplikt 4
5. Krav til sikkerhet og kontroll 4
6. Varslingsplikt og avvikshåndtering 5
7. Opplysningskvalitet, rutiner ved utveksling og bruk av opplysninger 5
8. Endringshåndtering 6
9. Kontaktpersoner og samarbeid 6
10. Oppsigelse av avtalen 6
1. Avtalens parter
Partene i denne avtalen er xxx, heretter xx og xxx, heretter xx.
I
avtaleteksten omtales partene som «avgiver» av opplysninger eller
«mottaker» av opplysninger avhengig av rollen de innehar i den
konkrete sammenhengen.
2. Avtalens gjenstand og avtalens dokumenter
Avtalen regulerer utveksling av opplysninger mellom partene for de informasjonstjenestene som etableres mellom etatene.
Avtalen for hver av informasjonstjenestene omfatter dette avtaledokumentet og følgende bilagstyper knyttet til hver av tjenestene:
Nr. 1 Oppgavebeskrivelse
Nr. 2. Hjemmelsgrunnlag, formål og taushetspliktregler
Nr. 3 Teknisk grensesnitt
Nr. 4 Tilgjengelighet og varsling
Nr. 5 Feilretting og endringshåndtering
Nr. 6 Kontaktpersoner
Nr. 7 Endringslogg
Avtalen med bilagene for hver av tjenestene kan endres eller tilpasses partenes behov innenfor lovens rammer og i enighet mellom partene. Endringsloggen skal beskrive detaljer i endringer i bilagene og avtalen. Endringslogger skal være oppdaterte.
Dersom
en av partene oppdager motstridende bestemmelser innad i avtalen med
bilag, plikter parten uten ugrunnet opphold å gjøre motparten
oppmerksom på dette, og partene skal i fellesskap avklare hva som
skal gjelde. Resultatet føres i bilagstype nr. 7 Endringslogg.
Inntil motstridsspørsmålet er klarlagt skal teksten i bilag gå
foran teksten i avtalen.
3. Rettslig grunnlag for utlevering, innhenting og behandling av opplysninger
Partene plikter å følge de krav som gjelder for utlevering, innhenting og behandling av opplysningene. Partene plikter å holde seg informert og oppdatert om gjeldende lover og forskrifter, samt konsesjonsvilkår og instrukser som regulerer informasjonsutvekslingen.
Partene plikter å klarlegge formålet med innhentingen av opplysningene.
Før opplysningene benyttes plikter mottaker å sette seg inn i og avgjøre om opplysningene kan benyttes til det ønskede formålet.
3.1 Rettslig grunnlag for utlevering og innhenting av opplysninger.
Før tilrettelegging for en type utveksling av opplysninger finner sted, må partene vurdere om det foreligger hjemmel for utvekslingen.
Før denne avtalen trer i kraft plikter partene å foreta følgende:
Lage en oppstilling i bilagstype nr 2 over hvilke lover, forskrifter, avtaler1 og andre rettslige grunnlag som regulerer henholdsvis avgivers rett til å utlevere opplysninger og mottakers rett til å innhente opplysningene.
Lage en oppstilling i bilagstype nr. 2 over de relevante taushetspliktsbestemmelser.
Partene plikter å sette seg inn i hvert enkelt av de rettslige grunnlagene i bilagstype nr. 2
3.2. Begrensninger i bruk av opplysningene – formål/tjenstlige behov
Dersom bruken av opplysningene fra den utleverende etats side er begrenset til bestemte formål, skal formålet og begrensningen utvetydig fremgå og dette skal presiseres i bilagstype nr. 2 Hjemmelsgrunnlag, formål og taushetspliktregler.
3.3. Videreformidling av opplysninger
Videreformidling
av opplysninger til underliggende og overordnet myndigheter, samt
andre etater og tredjemenn må skje innenfor lovgivningens rammer.
Før mottaker gir innhentede opplysninger videre, plikter mottaker å
gjennomgå hjemmelsgrunnlaget for dette.
4. Behandlingsansvar og taushetsplikt
Mottaker blir behandlingsansvarlig for opplysningene fra det tidspunktet opplysningene er mottatt, og plikter å følge de krav som følger av lovgivningen.
Den
som får tilgang til opplysninger som er underlagt taushetsplikt,
plikter å bevare taushet om disse i henhold til gjeldende
regelverk.
5. Krav til sikkerhet og kontroll
Hver av partene skal ha etablert tekniske og administrative adgangs- og tilgangskontrollsystemer. Hver av partene har ansvaret for å sikre at det kun er personale med tjenstlig behov for opplysningene som har tilgang, og at opplysningene sikres slik at informasjonen ikke kommer uvedkommende i hende.
Hver av partene skal også ha etablert rutiner og/eller systemer som sikrer mot uautorisert tilgang til, eller manipulering av opplysninger som er uthentet eller utlevert fra den annen part. Som uautorisert tilgang regnes også tilgang fra personale hos hver av partene eller andre som ikke har tjenstlig behov for å se opplysningene i sitt arbeid.
Partene skal sørge for at utveksling av opplysningene tilfredsstiller lovgivningens sikkerhetskrav. Kravene til sikkerhetsnivå avhenger av hvilken type informasjon som skal overføres. Avgiver skal spesifisere kravene til sikkerhetsnivå i bilagstype nr. 3 Teknisk grensesnitt.
Partene må til enhver tid kunne legge frem informasjon om sikkerheten knyttet til behandling av opplysningene, og skal på oppfordring godtgjøre at sikkerheten er tilfredsstillende ved å informere om eksisterende sikkerhetstiltak knyttet til behandlingen av opplysningene.
Dersom
sikkerheten ikke er tilfredsstillende, skal overføringen av
opplysninger utsettes til sikkerhetsmanglene er rettet.
6. Varslingsplikt og avvikshåndtering
Dersom avvik knyttet til bruk av informasjonssystemet og sikkerhetsbrudd har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles av den part der avviket har oppstått.
Dersom en av partene oppdager eller mistenker uautorisert utveksling av opplysninger, uautorisert tilgang, eller misbruk av opplysninger, skal den annen part varsles om dette og det skal iverksettes nødvendige tiltak. Varslingsplikten og varslingsrutiner er nærmere beskrevet i bilagstype nr. 4 Tilgjengelighet og varsling. Partene skal i fellesskap søke å håndtere situasjonen for å hindre ytterligere brudd og å begrense konsekvensene av brudd på taushetsplikten.
Xxxxx skal rapporteres skriftlig og inneholde informasjon om hva som har inntruffet, hvor og når hendelsen inntraff, strakstiltak som ble iverksatt, hvilke konsekvenser hendelsen har og hvem som er ansvarlig for videre oppfølging.
Varsling av avtalebrudd eller sikkerhetsbrudd skal loggføres hos hver av partene. Varslingen skal skje via oppnevnte kontaktpersoner, jf. bilagstype nr. 6 Kontaktpersoner.
Partene skal rette feil så raskt som mulig. Detaljer beskrives i bilagstype nr. 5 Feilretting og endringshåndtering for nærmere bestemmelser om retting av feil.
7. Opplysningskvalitet, rutiner ved utveksling og bruk av opplysninger
Avgiver leverer opplysninger med den kvalitet som til enhver tid eksisterer i de enkelte systemene.
Partene plikter å etablere et system internt som effektivt fanger opp feil i opplysninger, eller andre feil ved tjenestene. Slike feil skal uten ugrunnet opphold varsles den annen part i henhold til bilagstype nr. 4 Tilgjengelighet og varsling og bilagstype nr. 6 Kontaktpersoner.
Kommunikasjon mellom partene og grensesnitt for overføring av opplysningene er regulert i bilagstype nr. 3 Teknisk grensesnitt.
Kravene til konfidensialitet, tilgjengelighet og integritet må ivaretas ved elektronisk overføring av opplysninger mellom partene.
8. Endringshåndtering
Ved planlagte endringer av datasystemene som kan påvirke utvekslingen av opplysninger mellom partene, eller på annen måte påvirke den andre parts systemer, skal partene så tidlig som mulig varsle den andre part. Endringshåndtering og feilretting beskrives nærmere i bilagstype nr. 5 Feilretting og endringshåndtering.
Dersom kravene til informasjonssikkerhet blir endret skal nye krav umiddelbart innføres i bilagstype nr. 3 Teknisk grensesnitt. Partene har da gjensidig varslingsplikt i henhold til bilagstype nr. 4 Tilgjengelighet og varsling.
Partene oppnevner hver sin kontaktperson/kontaktenhet, som innføres bilagstype nr. 6 Kontaktpersoner. Partene plikter å holde bilagstypen oppdatert, og skifte av kontaktperson/kontaktenhet skal umiddelbart meddeles den andre part skriftlig.
Endringer i lov og/eller forskrift som kan påvirke avgivers hjemmel for å utlevere opplysninger og mottakers saklige informasjonsbehov (behandlingsgrunnlag) skal gjennomgås av partene for å sikre at informasjonstjenestene gjenspeiler disse. Endringer i informasjonstjenestene som følger av lov og/eller -forskriftsendringer og som handler om at tjenesten ikke lenger lovlig kan overføre visse informasjonselementer skal gjennomføres innen ikrafttredelsen av den aktuelle lov eller forskrift. Partenes intensjon er at det samme skal gjelde ved lov og/eller forskriftsendringer som kan legges til informasjonstjenesten. For å sikre den nødvendige endringshåndtering skal partene møtes til en årlig gjennomgang av informasjonstjenestene regnet fra den dato denne avtalen er signert. Dersom det er behov for det kan her av partene kreve en gjennomgang på et tidligere tidspunkt enn dette.
9. Kontaktpersoner og samarbeid
Partene oppnevner hver sin kontaktperson/kontaktenhet, som innføres bilagstype nr. 6 Kontaktpersoner. Partene plikter å holde bilagstypen oppdatert, og skifte av kontaktperson/kontaktenhet skal umiddelbart meddeles den andre part skriftlig.
Partene plikter å samarbeide for å oppfylle avtalens formål. Kontaktpersonene skal sette av nødvendig tid og ressurser for å ivareta den andre partens interesser i samarbeidet.
10. Varighet og oppsigelse av avtalen
Avtalen trer i kraft ved signering og løper uten tidsbegrensning. Partene kan si opp avtalen dersom det er saklige grunner til dette. Oppsigelsesfrist er satt til 6 måneder fra oppsigelsen er meddelt motpart skriftlig.
Avtalen
er utferdiget i to eksemplarer – ett til hver av partene.
*
* * * *
Oslo den
For xxx For xxx direktør direktør
………………………. ……………………….
Vedlegg: Avtaleendringslogg
1 Dette omfatter også avtaler mellom partene og avtaler inngått med andre etater m.m.
Side 7 av 7