AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) Undertittel knyttet til det konkrete forhold / prosjekt













AVTALE OM BEHANDLING AV

PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Undertittel knyttet til det konkrete forhold / prosjekt

















Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer.

1. Avtalens parter

1.1 Parter

Avtalen inngås mellom:

Norges teknisk-naturvitenskapelige universitetet (NTNU), Xxx.xx 974767880 (heretter kalt behandlingsansvarlig)


og databehandler: ………………………………………………….. (Xxx.xx……………….) (heretter kalt databehandler)


1.2 Kontaktpersoner

Kontaktperson hos behandlingsansvarlig: (navn, kontaktinformasjon, rolle)…..


Kontaktperson hos databehandler: (navn, kontaktinformasjon, rolle) ……..


2. Avtalens hensikt

Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen inngås i henhold til personopplysningsloven § 13, jf. § 15, og personopplysningsloven kapittel 2.

Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.



3. Formålet med avtalen

Formålet med avtalen er å regulere behandlingen av personopplysninger som databehandleren gjør på vegne av den behandlingsansvarlige i forbindelse med (angi grunnen for behandlingen – for eksempel navn på forskningsprosjekt eller det administrative system).


Databehandleren kan kun behandle personopplysninger gjort tilgjengelig av behandleransvarlig i henhold til denne avtale.


Det skal fremgå klart av denne avtalen dersom databehandleren kan overlate personopplysninger til andre for oppbevaring, bearbeiding eller annen behandling, og underleverandør skal angis i avtalens punkt 6.


Behandlingens formål kan ikke endres av noen av partene uten at ny avtale er signert.


3.1. Beskrivelse av formålet med bruken av databehandler

Databehandleren kan bare behandle personopplysningene i henhold til de formål som er bestemt av behandlingsansvarlig og i samsvar med de vilkår som fremgår av denne avtalen:

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

(MÅ fylles ut, det må angis klart og tydelig hva data skal brukes til. Eventuelle koblinger med andre datasett må være godkjent av behandlingsansvarlig. Dersom formålet fremgår av andre avtaler, for eksempel kontrakter, som er inngått mellom behandlingsansvarlig/databehandler og kvalitetsikret av jurist ved NTNU kan det isteden henvises til disse avtalene når formålet for behandling av opplysningene skal beskrives.)


3.2. Spesifisering av aktuelle data

(Må fylles ut, og skal angi hvilke type data det er som skal behandles (om de er sensitive eller ikke, eller om det er data som fordrer taushetsplikt) og hvorvidt disse data er direkte identifiserbare eller avidentifiserte (dvs. om data fremstår som anonyme, men hvor man faktisk kan gå tilbake og finne ut hvem dataene/informasjonen gjelder.)

__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________



4. Varighet og oppsigelse

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig ihht. formålet angitt i avtalens pkt. 3 og pkt. 4.


eller

avtalen gjelder til _____­­­­­­­­­­­­­__________________________________________

Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning

Avtalen kan sies opp av begge parter med en gjensidig frist på ___________, jf. punkt 8 i denne avtalen.


Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.


5. Partenes ansvar under personopplysningsloven


5.1 Behandlingsansvarliges plikter

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, jf. lov om behandling av personopplysninger (heretter personopplysningsloven), § 2 nr. 4.


Den behandlingsansvarlige har ansvar for å påse at krav til informasjonssikkerhet, herunder krav om konfidensialitet, integritet og tilgjengelighet, som stilles i personopplysningsloven med forskrifter, er oppfylt.


Dette innebærer blant annet også at behandlingsansvarlig har ansvaret for å påse at kravene er oppfylt i forbindelse med oppbevaring og bruk av personopplysningene hos databehandleren, jf. loven § 15 og personopplysningsforskriften § 2-15.


5.2 Databehandlers plikter

Databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige, jf. personopplysningsloven § 2 nr. 5.


Databehandler kan kun behandle personopplysninger tilgjengeliggjort av behandlingsansvarlig i henhold til denne avtale, jf. personopplysningsloven § 15. Eventuell annen bruk av personopplysningene skal i forkant avtales særskilt og skriftlig med behandlingsansvarlig.

Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde.

Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.

Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.

Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.


6. Bruk av underleverandører

Dersom en av partene engasjerer utenforstående (underleverandører) til å utføre ytelser som følger av denne avtalen, er parten fullt ansvarlig for utførelsen av disse ytelsene på samme måte som han selv stod for utførelsen. Databehandleren skal sørge for at underleverandør undertegner og forplikter seg til å følge behandlingsansvarliges databehandleravtale.


Dersom underleverandør anvendes skal denne/disse angis her, eller som et tillegg til avtalen:


____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.



7. Krav til informasjonssikkerhet

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningsloven §§ 13-15 med forskrifter.


Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.


Databehandler skal på forespørsel fra behandlingsansvarlig bistå og stille seg til disposisjon for at behandlingsansvarlig skal kunne foreta sikkerhetsrevisjoner for systemer og rutiner, og andre kontrolltiltak relevant for oppfyllelsen av partenes rettslige plikter i henhold til denne avtale, hos databehandler. (Vurder om det skal benyttes ekstern tredjepart som ivaretar revisjonsplikten på behandlingsansvarliges vegne)


8. Avviksmelding

Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, anses som avvik, jf. personopplysningsforskriftens § 2-6. Databehandler skal melde avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding, der uautorisert utlevering av personopplysninger har skjedd, sendes til Datatilsynet.

(Merk at fra mai 2018 er det en varslingsplikt innen 72 timer)


9. Taushetsplikt

Partene skal bevare taushet om alle konfidensielle opplysninger, noens personlige forhold, sikkerhetsmessige og forretningsmessige forhold, opplysninger som kan skade en av partene eller som kan utnyttes av utenforstående.


For NTNU/behandlingsansvarlig kommer offentleglovas og forvaltningslovens bestemmelser om innsyn og taushetsplikt til anvendelse.


Taushetsplikten gjelder partenes ansatte og evt. underleverandører som handler på partenes vegne i forbindelse med gjennomføringen av kontrakten. Alle ansatte skal ha undertegnet taushetserklæring.


Partene plikter å ta de forholdsregler som er nødvendige for å sikre at materiale eller opplysninger ikke blir gjort kjent for andre i strid med dette punktet. Ansatte og andre som fratrer sin tjeneste hos en av databehandlerne skal pålegges taushet også etter fratredelse om forhold som nevnt over.


Denne bestemmelsen gjelder også etter avtalens opphør.



10. Mislighold

(Vurder om dette punktet er nødvendig. Punktet dekkes av bakgrunnsretten, og kan i tillegg være tilstrekkelig regulert i tjenesteavtalen).


Mislighold foreligger dersom en av partene ikke oppfyller sine plikter etter denne avtalen og dette ikke skyldes forhold som den andre parten har ansvaret for eller risikoen for.

Dersom en av partene ønsker å påberope seg mislighold, skal dette meddeles den andre parten skriftlig uten ugrunnet opphold.


Ved mislighold kan den krenkede part holde tilbake sin motytelse, men ikke åpenbart mer enn det som synes påkrevd for å avhjelpe virkningene av misligholdet, og bare inntil forholdet er brakt i overensstemmelse med avtalen.


Hvis det foreligger vesentlig mislighold kan den andre parten – etter å ha gitt skriftlig varsel og rimelig frist til å bringe forholdet i orden – heve hele eller deler av avtalen med øyeblikkelig virkning og kreve erstatning for eventuelle tap dette har medført.



11. Ved opphør

Ved avtalens utløp skal databehandleren påse at alle personopplysninger som er tilgjengeliggjort av behandlingsansvarlig makuleres / slettes på forsvarlig måte. Dette gjelder også sikkerhetskopier.

I stedet for makulering kan behandlingsansvarlig kreve alt utlevert / tilsendt materiale som omfatter personopplysninger, tilbake til behandlingsansvarlig i form av utskrift eller kopi.

(Vurder om det er behov for å regulere kostander eller om opplysningene skal leveres i særskilt format)

Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.



12. Rettsvalg og verneting

Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett.


Eventuelle tvister som springer ut av denne avtalen skal behandles ved de ordinære domstoler.

Sør-Trøndelag tingrett vedtas som verneting.



13. Signering

Denne avtale er undertegnet i 2 – to – eksemplarer, hvorav hver part beholder 1 – ett – eksemplar.



Trondheim, den ………………………………… Trondheim, den …………………………………..


Navn: ………………………………………... Navn: …………………………………………

(med trykte bokstaver) (med trykte bokstaver)

Stilling: ……………………………………. Stilling: ………………………………………



…………………………………………………… …………………………………………………………

NTNU, Behandlingsansvarlig (signatur) Databehandler (signatur)



Document Metadata

Filed: June 26th, 2017