NAV Agder
// AVTALE – BILAG
NAV Agder
Arbeids- og velferdsetaten
Arbeidsmarkedstiltaket
Studie med støtte
Rammeavtale om tjenester – Bilag
Endring i Bilag 1, punkt 9 i Kravspesifikasjon
Endring i Bilag 1, punkt 10 i Kravspesifikasjonen
Journalnummer anskaffelse 20-13176
1. FORMÅL
Oppfølgingstiltaket skal gi den enkelte deltaker individuelt tilrettelagt oppfølgingsbistand som er nødvendig for å gjennomføre opplæringstiltaket høyere utdanning og eventuelt ved overgang til ordinært lønnet arbeid.
Målet er at deltakerne skal få ordinært inntektsgivende arbeid og en varig tilknytning til arbeidslivet.
Resultatmålet er at 75 % av studentene skal gjennomføre studier i henhold til individuell studieprogresjonsplan. Når tiltaket brukes ved overgang til arbeid, skal 65 % av deltakerne ha overgang til arbeid ved avslutning av tiltaket.
2. DELTAKERE
Aktuelle deltakere er personer med psykiske helseproblemer som har godkjent opplæringstiltak høyere utdanning gjennom NAV ved Universitet i Agder og som har behov for en mer omfattende oppfølgingsbistand enn det Arbeids- og velferdsetaten kan tilby. Målgruppen inkluderer personer med psykiske plager som opplever vanskeligheter med å vende tilbake til og/eller opprettholde studier på grunn av plagene sine og miljømessige hindringer.
3. VARIGHET
Oppfølgingstiltaket kan vare i inntil tre år. Når tiltaket brukes ved overgang fra skolegang til ordinært lønnet arbeid kan varigheten forlenges med ytterligere seks måneder utover den maksimale varigheten på tre år.
Da varig tilknytning til arbeidslivet er en viktig del av målsettingen for tiltaket, skal tiltaket som hovedregel fortsette etter endt skolegang for å sikre at tiltaksdeltaker kommer i jobb, med mindre deltaker ikke selv ønsker dette.
4. ANTALL TIMER
Omfanget av oppfølgingen skal være individuelt tilpasset. NAV antar at et gjennomsnittsbehov vil være 8 timer oppfølging per deltaker per måned i hele tiltaksperioden. Dette kan imidlertid variere fra deltaker til deltaker og timeforbruket skal tilpasses den enkeltes behov. Behovet vil også kunne endre seg i løpet av oppfølgingsperioden med for eksempel flere oppfølgingstimer i starten av tiltaket, og færre oppfølgingstimer utover i tiltaksperioden. Leverandør må legge til rette for en fleksibel og strategisk bruk av oppfølgingstimene slik at hver deltakers løpende bistandsbehov blir ivaretatt.
Dersom en leverandør ser at behovet for en deltaker over tid er høyere enn anslått gjennomsnittsbehov over, må NAV-kontoret kontaktes for å diskutere mulighet for en høyere tidsramme og eventuelt hensiktsmessigheten av tiltaket.
Med «en time» menes en klokketime, det vil si 60 minutter.
5. GEOGRAFISK OMRÅDE OG ANTALL PLASSER
Det skal inngå rammeavtale for enkeltplasser. Tjenesten skal leveres på Campus Grimstad og Campus Kristiansand.
Anslått behov 45-60 parallelle tiltaksplasser til enhver tid. Leverandør må bekrefte at dette antallet kan leveres. Det understrekes at dette er estimater og ikke bindende for NAV. NAV kan ikke garantere full utnyttelse av plassene.
Deltakere skal gis tiltaket med utgangspunkt i studiested og ikke nødvendigvis folkeregisteret adresse.
6. KRAV TIL FAGLIG INNHOLD
Tiltaket skal bidra til å øke de faglige og sosiale mulighetene for studenter og elever slik at de kan nå sine opplæringsmål i et normalisert og ikke-stigmatiserende miljø. Det endelige målet skal være at den enkelte deltaker skal komme i eller beholde ordinært lønnet arbeid. Det faglige innholdet skal ta utgangspunkt i metoder som styrker deltakers egne ressurser og muligheter knyttet til deltakelse i opplæring og ved overgang til ordinært arbeidsliv.
Tiltaket skal tilby bistand til:
- å lage plan for opplæringsløpet, herunder egenaktivitet, hvor omfanget skal tilpasses den enkelte deltaker
- strukturering av hverdagen, både i og utenfor opplæringsaktiviteter
- utvikling og styrking av tiltaksdeltakers ferdigheter, herunder sosiale ferdigheter
- støtte- og motivasjonssamtaler
- samarbeid med opplærings- /utdanningsinstitusjonen og støtteapparat
- å fremme studentens behov, rettigheter og studentvelferdstilbud
- praktiske oppgaver knyttet til opplæringen eller gjennomføring av tiltaket
For personer som har behov for tiltaket ved overgang til ordinært lønnet arbeid, skal tiltaket også tilby:
- bistand til å lage plan for heltids arbeidsrettet aktivitet, herunder egenaktivitet, hvor omfanget skal tilpasses den enkelte deltaker
- bistand til karriereveiledning og å se egne muligheter på arbeidsmarkedet
- nødvendig bistand til å finne egnet arbeidsplass og målrettet jobbsøking
- oppfølging på arbeidsplassen for å legge til rette for overgang til arbeid og for å beholde jobben
- bistand til tilpasning og tilrettelegging av arbeid og arbeidssituasjonen
- veiledning og råd knyttet til arbeidsdeltakelse både til tiltaksdeltaker og arbeidsgivere (for personer med arbeidsforhold) og andre tiltaksarrangører (for personer som gjennomfører et annet arbeidsrettet tiltak i tillegg)
- opplæring i arbeidsrelaterte og sosiale ferdigheter
Deltaker skal øke sin jobbsøkerkompetanse samt få bistand til å finne fram til gode og virksomme jobbsøkingsstrategier. Deltaker skal være sikret nødvendig og tilstrekkelig oppfølging både i jobbsøkingsfasen og etter ansettelse i arbeid for å sikre at deltaker forblir i arbeid. Om nødvendig skal deltaker og arbeidsgiver få hjelp med tilrettelegging av arbeidssituasjonen der det er behov for det.
Arbeidspraksis etter at opplæringen er fullført kan brukes som et virkemiddel for å skaffe arbeid. Det presiseres at arbeidspraksis kun skal benyttes i de tilfellene hvor det vurderes som nødvendig. Mange av deltakerne forventes å kunne komme i arbeid uten å bruke arbeidspraksis som virkemiddel. Kortere
hospiteringsopphold i bedrift/ «jobbsmak» skal vurderes som alternativ til arbeidspraksis. Når
arbeidspraksis benyttes som virkemiddel skal det foreligge en konkret og omforent målsetting for praksisoppholdet. Dersom arbeidspraksis vurderes som et hensiktsmessig virkemiddel for å komme i arbeid skal deltaker starte i arbeidspraksis så snart som mulig. Tilbydere bes redegjøre for sin plan for bruk av arbeidspraksis og kortere hospiteringsopphold/jobbsmak.
Ved bruk av arbeidspraksis har tiltaksleverandør informasjonsplikt overfor arbeidsgiver. Leverandør må opplyse om at personer som er i arbeidspraksis må anses som arbeidstakere i henhold til lov om yrkesskadeforsikring slik at de omfattes av forsikringsplikten etter denne lov. Det må dokumenteres at denne informasjonen er gitt. Når en tiltaksdeltaker er i arbeidspraksis hos en arbeidsgiver, skal det inngås en skriftlig avtale mellom arbeidsgiver, tiltaksdeltaker og leverandør. Avtalen skal minimum inneholde konkretisering av formål, opplæring, oppfølging, arbeidstid, arbeidsoppgaver, varighet og eventuell tilrettelegging.
Oppfølgingen skal i størst mulig grad skje i form av fysiske møter, og på opplæringsstedet og arbeidsplassen når dette er hensiktsmessig. Oppfølgingen kan også skje per telefon eller elektronisk, dersom dette er mer hensiktsmessig for deltakers progresjon. Leverandør skal beskrive og begrunne hvordan oppfølgingen skal utføres i ulike faser av tiltaket.
Leverandør skal i Bilag 2 beskrive hvordan det faglige innholdet i dette kapittelet konkret er tenkt iverksatt og kvalitetssikret. Leverandør skal beskrive hvilke aktiviteter/tema som vil bli benyttet. Det er leverandørens oppgave å sannsynliggjøre at deres opplegg vil fungere i forhold til målgruppe og målsetninger for tiltaket. Dette må sees i sammenheng med krav i kapittel 7.
7. KRAV TIL ORGANISERING OG KVALITETSSIKRING AV TILTAKET
Deltaker skal i hovedsak ha en fast veileder å forholde seg til, men skal også ha nytte av den samlede kompetansen hos utførende personell tilpasset den enkeltes behov. Veilederen skal ha hovedansvaret for gjennomføring av tiltaket i tråd med målsettingen for tiltaket for den enkelte deltaker. Tilbudet må synliggjøre hvordan dette skal ivaretas. Ved overgang fra opplæring til arbeid kan det likevel være hensiktsmessig at en annen veileder har hovedansvaret i samarbeid med opprinnelig veileder.
Leverandør må angi hvor mange veiledere i hvilken stillingsprosent tiltaket skal være bemannet med ved full utnyttelse av kapasitet, og beskrive og begrunne hvordan den samlede kompetansen skal organiseres og benyttes. Leverandør skal beskrive planer for kompetanseutvikling i avtaleperioden.
Leverandør skal ha rutiner for oppfølging av deltakernes fravær innen tiltaket og må redegjøre for hvordan umeldt fravær til leverandør vil bli håndtert.
Brukerperspektivet skal ligge til grunn i møtet med deltaker. Med brukerperspektivet forstås at deltakeren blir møtt med respekt for egne premisser og løsninger, og at metode og dialog er åpen og inkluderende. Deltaker skal være med å påvirke sin egen situasjon. Oppfølgingen skal være løsningsorientert. Det skal etableres rutiner for å sikre systematiske tilbakemeldinger fra brukere som kan bidra til å utvikle innholdet i tjenesten.
Tiltaket skal tilpasses individuelt slik at den enkelte deltaker får et best mulig tilrettelagt tilbud ut fra sitt behov. Det er et krav at tilbyder er fleksibel med å skreddersy opplegg med utgangspunkt i deltakers behov. Gruppeaktiviteter kan inngå som element der dette ansees som hensiktsmessig. Tilbudet må synliggjøre og begrunne når gruppeaktiviteter kan være aktuelt og hvordan den individuelle tilnærmingen skal ivaretas.
Tiltaket skal leveres i henhold til prinsippene og metodikken som beskrevet i toolkit som gjengitt på xxx.xxxxxxxxxxxxxxxxxx.xx. Tiltaket skal metodisk bygge på psychosocial rehabilitation (PSR), empowerment og recovery. Ved overgang til arbeid skal metodikken for Individual Placement and Support (IPS) eller Supported Employment (SE) være retningsgivende for gjennomføringen av tiltaket. Alt utførende personell skal ha kjennskap til beskrevet metodikk. Ved motstrid i publikasjonene har kravene i denne kravspesifikasjonen forrang.
Oppdragsgiver vil vektlegge gode løsninger for kvalitetssikring av tjenesten. Xxxxxxxx bes beskrive planer for kvalitetssikring av veiledernes arbeid, herunder rutiner for å sikre at alle veiledere arbeider enhetlig og i henhold til avtalen. Dersom tilbyder vil benytte seg av underleverandører må det beskrives hvordan samarbeidet skal kvalitetssikres. Xxxxxxxx bes beskrive planer for kompetanseutvikling i avtaleperioden. Tilbyder må også beskrive hvordan administrasjon av praktisk gjennomføring av tiltaket skal organiseres og kvalitetssikres.
Oppdragsgiver vil ta initiativ til systematiske kvalitetsmålinger av tiltaket. Evalueringer og forskningsprosjekter foretatt av eller på vegne av oppdragsgiver, Arbeids- og velferdsdirektoratet eller Arbeids- og sosialdepartementet vil også kunne forekomme. Leverandør må være forberedt på å sette av tid til slike aktiviteter samt bidra med informasjon til evalueringer, forskningsprosjekt og kvalitetsmålinger i den utstrekning det er nødvendig.
Leverandør må i Bilag 2 gi en utfyllende beskrivelse av hvilke arbeidsprosesser som vil bli benyttet og teoretisk/metodisk utgangspunkt for tiltaket. Dette må også sees i sammenheng med krav i kapittel 6.
8. KRAV TIL GJENNOMFØRING AV TILTAKET
Responstid skal være 10 virkedager eller mindre. Responstid er hvor lang tid leverandør kan bruke fra bestilling er mottatt til bruker kan begynne i tiltaket ved ledig kapasitet.
Dersom leverandør ikke har ledig kapasitet, skal det uten ugrunnet opphold gis melding om dette til NAV.
Leverandør skal senest innen fire uker gi NAV-kontoret en skriftlig tilbakemelding på plan for den enkelte deltaker. Tilbakemeldingen skal inneholde et estimert timeforbruk og en beskrivelse av hva man planlegger å gjøre og hva studieprogresjonen skal være.
Leverandøren skal underrette innsøkende NAV-kontor dersom deltaker over tid (4 uker) og uten gyldig grunn ikke møter i tiltaket eller slutter underveis. Hva som er godkjent fravær skal vurderes på linje med hva som aksepteres som godkjent fravær i en ordinær arbeids- eller opplæringssituasjon.
Dersom leverandør vurderer at tiltaket åpenbart ikke passer for en deltaker, skal leverandør så raskt som mulig kontakte innsøkende NAV-kontor for å avklare om tiltaket bør avsluttes.
Der det anses som nødvendig for deltaker skal leverandørens opplegg tilpasses slik at tiltaket gir mulighet for kombinasjon med eventuell behandling, oppfølging fra ulike institusjoner/etater og arbeidsrelaterte aktiviteter.
Leverandøren skal kunne legge til rette for digital oppfølging dersom det oppstår perioder hvor myndighetene ikke anbefaler fysisk frammøte.
Lokaler
NAV Agder og Universitet i Agder har en avtale om lokaler.
Universitetet i Agder stiller følgende fasiliteter, utstyr og tilganger vederlagsfritt til rådighet for tiltaksarrangørene ved Campus Grimstad og Campus Kristiansand:
- Kontorer med standard inventar inkl. arbeidsstasjon med e-post og utskriftsmuligheter tilknyttet UiA sitt interne datanett. Lokalene er tilgjengelige for funksjonshemmede og i størst mulig grad tilfredsstille kravene til universell utforming.
- Det er tilgang til å kunne reservere møterom/grupperom for individuelle samtaler og gruppeaktiviteter
- Det er trådløs internettilgang slik at tiltaksarrangør kan koble seg opp mot sine egne datasystemer
- Det er tilgang til kantine/spiserom
Leverandør må beskrive hvordan samarbeidet med opplæringsinstitusjonen skal foregå.
9. KRAV TIL KOMPETANSE:
Alt utførende personell skal ha og må dokumentere relevant faglig kompetanse og/eller erfaring med tilsvarende eller andre relevante arbeidsoppgaver.
Alle veiledere skal ha veiledningskompetanse og ha gjennomført kurs i veiledningsmetodikken som tilbys. Minst halvparten av leverandørens utførende personell skal ha minimum tre års utdanning fra universitet eller høgskole.
Utførende personell skal til sammen dekke kompetanseområder som følger under. Hver enkelt veileder skal dekke minimum tre av kompetanseområdene.
- Masterstudium eller bachelor innen fagfeltet helse/sosial og/eller pedagogikk
- Minimum to års relevant arbeidserfaring med mennesker med psykiske helseproblemer
- Kriseintervensjon
- Meget god kjennskap til utdanningssystemet på videregående-/høyskole-
/universitetsnivåkjennskap til økonomiske støtteordninger for studenter
- Kunnskap til lovverk knyttet til studierettigheter, arbeids- og velferdsrettigheter og helsevesen
- Gode formidlings- og samarbeidsevner samt evne til nettverksbygging
- Kompetanse innen karriereveiledning
- Arbeidsmarkedskunnskap
Tilbyder må bekrefte skriftlig i tilbudet at utførende personell i tiltaket vil fylle kravene til kompetanse over og beskrive hvordan dette kravet skal møtes. Valgt leverandør må oversende CVer som viser at den enkelte veileder oppfyller kravene ovenfor minimum 2 uker før iverksettelse av kontrakt. NAV skal på bakgrunn av dette godkjenne at leverandørens samlede personell oppfyller kompetansekravene.
10. RAPPORTERING
10.1 Rapportering på individnivå
Plan for tiltaket
Leverandør skal senest innen fire uker etter oppstart gi NAV en skriftlig tilbakemelding på plan for den enkelte deltaker. Tilbakemeldingen skal inneholde et estimert timeforbruk og en beskrivelse av hvilke aktiviteter som planlegges gjennomført i perioden. Denne rapporteringen gjøres i fritekst.
Statusrapport
Leverandøren skal underveis i gjennomføringen av tiltaket rapportere på gjennomførte aktiviteter og progresjon for den enkelte deltaker sett i forhold til levert plan for gjennomføring.
Statusrapport skal utarbeides og sendes aktuelt NAV-kontor hver tredje måned. Denne rapporten skal minimum inneholde vurdering av:
• deltakerens progresjon – en kort redegjørelse for hva som er gjort så langt
• eventuelle avvik fra plan
• utsiktene til fullføring av studier
• innenfor hvilke(n) bransje(r) det er aktuelt å se etter arbeid
• antatt tidsbruk fremover i tid i tiltaket
• om det er hensiktsmessig å fortsette i tiltaket
Statusrapporten skal sendes NAV-kontoret senest innen to uker etter utløpet av semesteret. NAVs statusrapport skal benyttes.
Sluttrapport
Leverandøren skal når oppfølgingstiltaket avsluttes gi en skriftlig sammenfatning av tiltaket som er gitt den enkelte deltaker i en sluttrapport. Rapportmalen oversendes fra NAV-kontoret og skal fylles ut i sin helhet. Det skal gis en redegjørelse for deltakers status, samt en vurdering av deltakelse i ordinært arbeidsliv.
Rapporten skal være deltakers dokument slik at alt som står der er avklart med brukeren, eventuelt skal det opplyses om punkter der leverandør og bruker ikke er omforent.
Sluttrapporten skal oversendes NAV-kontoret innen en uke etter at tiltaket avsluttes.
10.2 Rapportering på resultater
Det skal rapporteres månedlig om antall aktive og avsluttede deltakere i tiltaket, og hvilken status disse har på arbeidsmarkedet ved avslutning av tiltaket. Rapporten for foregående måned skal sendes NAV i henhold til lokale rutiner.
Rapporten skal som et minimum inneholde:
• Antall deltakere som er aktive i tiltaket ved utløpet av perioden
• Antall deltakere som venter på oppstart
• Antall deltakere som har startet i perioden
• Antall deltakere som har sluttet i perioden
• Antall deltakere som har avsluttet tiltaket i perioden og deres status på arbeidsmarkedet ved avslutning av tiltaket
NAVs rapportmal skal benyttes.
10.3 Evalueringsrapport
Leverandør skal levere evalueringsrapport en gang i halvåret. Rapporten skal beskrive leverandørs erfaringer med deltakere, organisering, samarbeid med aktuelle aktører på studiestedet/ i arbeidslivet og eventuelt også inneholde forslag til endringer eller forbedringer i tiltaket. Rapporten skal sendes til NAV Tiltak Agder.
Leverandørens løsningsspesifikasjon skal utarbeides som svar til bilag 1, Kundens kravspesifikasjon, i henhold til instruksjoner gitt i bilag 1.
Tilbyder skal bekrefte og svare på alle punkter i bilag 1. For punkt 5 skal det oppgis hvilke(t) tjenesteområde tilbudet gjelder for og bekreftes at tilbyder har kapasitet til å møte angitt kapasitetsbehov. Dersom det åpnes for parallelle rammeavtaler innen tjenesteområdet må tilbyder angi spesifikt hvilken kapasitet som tilbys spesifisert for det enkelte tjenesteområdet.
1 PRISER OG BETALINGSPLAN
Priser skal oppgis eksklusiv merverdiavgift.
Prisene skal oppgis inklusive andre skatter/avgifter som kan tenkes påløpt. Fakturagebyr eller andre gebyrer aksepteres ikke.
Det skal oppgis én timepris per deltaker. Timeprisen skal omfatte alle kostnader som leverandøren tar seg betalt for, alt fra lønns- reise-, administrasjons- og leiekostnader osv.
Timer som kan faktureres omfatter timer med oppfølging med deltaker til stede samt ved videomøte eller telefon, og timer som benyttes til oppfølging av arbeidsgivere knyttet til den enkelte deltaker. Ved gruppeaktiviteter skal veilederes forbruk av timer deles på antall deltakere og andelen faktureres for hver deltaker. Gjennomsnittlig anslått behov er 8 timer per deltaker pr måned i løpet av tiltaksperioden som helhet, se Bilag 1 punkt 4.
Pris per time oppfølging per deltaker: | NOK |
Det skal kun faktureres for tid som er faktisk medgått til oppfølging og andre fakturerbare aktiviteter. Ved beregning av antall brukte timer, skal det rundes opp til nærmeste hele kvarter (15 minutter). Timene skal dermed faktureres som hhv 0,25 time, 0,5 time, 0,75 time og 1 time.
BETALING OG FAKTURERING
Betaling skjer i henhold til rammeavtalens punkt 5.
2 INNFØRING AV ELEKTRONISK FAKTURA
Dersom NAV innfører bruk av elektronisk faktura plikter Leverandøren etter nærmere avtale å kunne tilby dette innen 4 måneder etter at NAV har stilt krav om dette.
Ved elektronisk faktura:
KRAV TIL INNHOLD I ELEKTRONISK FAKTURA
Alle leverandører som leverer varer og tjenester til NAV skal levere elektronisk faktura på formatet Elektronisk Handels Format (EHF).
Detaljert og uttømmende beskrivelse finnes tilgjengelig på DIFIs sider xxx.xxxxxxxxxxxx.xx.
Det gjøres følgende presiseringer om krav til innhold:
Deres referanse
Dette er et obligatorisk felt som i XML-malen for faktura finnes i Xpath “AccountingCustomerParty/Party/Contact/ID”.
Feltet skal alltid inneholde bestiller sin referanse. NAV har to alternative referanser som kan godtas. NAV identifikator som inneholder en bokstav og seks siffer eller bestiller referanse som består av 3 bokstaver og 4 siffer, uten mellomrom, f.eks. XXX1400.
Alle som bestiller varer og tjenester på vegne av NAV skal oppgi referanse.
Bestillingsnummer
Dette er et anbefalt felt som i XML-malen for faktura finnes i Xpath ”OrderReference/ID”.
Feltet skal benyttes dersom Oppdragsgiver ber om dette. Bestillingsnummeret framgår av bestillingsdokumentet fra NAV.
Fakturareferanse på kreditnota
Dette er et anbefalt felt som i xml-malen for kreditnota finnes i Xpath ”BillingReference/InvoiceDocumentReference/ID”.
På alle kreditnotaer må det i dette feltet oppgis fakturanummeret til den fakturaen som kreditnotaen gjelder.
KRAV TIL VEDLEGG
Generelle krav
NAV har ikke absolutte krav til hvilke typer vedlegg som kan brukes, men PDF format er det prefererte format.
Krav til dokumentasjon der vare/tjeneste ikke blir levert direkte til NAV
I tilfeller der NAV er fakturamottaker, men vare eller tjeneste ikke blir levert til NAV, er det nødvendig å dokumentere leveransen i eget vedlegg til faktura. Dette gjelder f.eks. ved levering av varer eller tjenester hjem til private mottakere av NAVs tjenester, kommunale etater, offentlige sykehus mv.
Dokumentasjon på mottatt vare eller tjeneste må følge fakturaen som elektronisk vedlegg for at vi skal godkjenne utbetaling.
Kvittering for mottatt vare kan dokumenteres på følgende måter:
• Signert dokument på at vare er levert til bruker, kommunal etat etc.
• Sendingskvittering fra transportør der bestillingsnummer og pakkesporingsnummer framgår.
Kvittering for mottatt tjeneste som f.eks. installasjoner, utredninger og reparasjoner
dokumenteres på følgende måte
• Signert dokument fra tjenestemottaker på logg over utført arbeid.
På kvitteringene/vedleggene må det alltid opplyses hvilken vare som er levert og hvilken tjeneste som er utført.
Leverandører som leverer varer og tjenester innen det som er definert som hjelpemidler, må påføre NAVs bestillingsnummer, både på faktura og vedlegg. I tillegg skal serienummer(for de produktene som har det) også framkomme.
RETUR AV ELEKTRONISK FAKTURA
NAV som kunde forbeholder seg retten til å returnere faktura som ikke er i samsvar med våre krav til innhold i elektronisk faktura, jf. punkt 3 og 4.
Returnering av faktura vil i så fall skje ved at NAV utsteder et avvisningsbrev som oversendes leverandøren.
Når faktura returneres Leverandøren, regnes betalingsfrist fra dato for mottak av korrekt faktura.
HVORDAN SKAL ELEKTRONISK FAKTURALEVERES
NAVs elektroniske adresse er vårt juridiske organisasjonsnummer 889 640 782.
Elektronisk Faktura skal leveres til NAV via en meldingsformidler som er godkjent som aksesspunkt i det europeiske e-handelsnettverket (PEPPOL).
KONTAKTINFORMASJON
Alle henvendelser om elektroniske fakturaer kan rettes til xxxxxxx@xxx.xx eller telefon 00 00 00 00.
1 GENERELT OM SAMHANDLING MELLOM KUNDEN OG LEVERANDØREN
Evt. beskrivelse utover det som følger av generell avtaletekst
2 EVT. SAMARBEID MED TREDJEPART
Evt. beskrivelse utover det som følger av generell avtaletekst, ref. punkt 4.1.3
3 ANGIVELSE AV UNDERLEVERANDØRER
Her skal leverandøren angi eventuelle underleverandører, jf rammeavtalens punkt 4.1.2 og hvilke tjenester de er tiltenkt å utføre.
4 BRUK AV SYSTEM FOR ELEKTRONISK BESTILLING OG ORDREHÅNDTERING SAMT VERKTØY FOR KONTRAKTSADMINISTRASJON
Leverandøren skal kunne ta i bruk NAVs tilgjengelige systemer forelektronisk bestilling/ordrehåndtering.
Leverandøren skal kunne ta i bruk NAVs tilgjengelige systemer for kontraktsadministrasjon og -oppfølging (KAV).
5 AVROPSSKJEMA
Innsøkingssbrev fra NAV-kontoret vil benyttes som avropsskjema.
Avrop i form av innsøkingsbrev gjøres mot inngått rammeavtale mellom NAV og den enkelte leverandør. Betingelsene i rammeavtalen gjelder for leveransen, med mindre annet uttrykkelig går frem av dette avropet.
1 AVVIK FRA KONTRAKTSVILKÅRENE
Fyll inn eventuelle reservasjoner eller tillegg til kontraktsvilkårene i konkurransegrunnlagets Del II.
Referanse til kontraktsvilkår | Reservasjoner og tillegg | Begrunnelse | Økonomisk verdi (prising) av avviket |
Bilag 6: Endringer etter avtaleinngåelse
1 ENDRINGER ETTER AVTALEINNGÅELSE
Dersom Kunden og Leverandøren har kommet til enighet om en endringsavtale (både i forhold til innhold, eventuelt endring i vederlag og endring i tidsplan), skal endringen (innhold, justert vederlag og justert tidsplan) fremkomme her.
Hver endring skal være underskrevet av bemyndiget representant for partene.
Xxxxxx er ansvarlig for at endringene det er anmodet om ikke er i strid med regelverket for offentlige anskaffelser. Endringer som anses som vesentlige vil bli betraktet som direkte anskaffelser og enhver som mener at det er foretatt en direkteanskaffelse kan klage inn Kunden for Klagenemnda for offentlige anskaffelser.
Endringer og tilføyelser etter avtaleinngåelse vedlegges avtalen som egnesignerte endringsbilag (se mal for endring pkt. 2).
Endringskatalog:
Nr. | Dato for undertegnin | Beskrivelse av endringen samt eventuell vederlagsjustering og justering av tidsplan | Dato for ikraftsettelse |
2 MAL FOR ENDRING TILAVTALEN
Endring nr. XX til Avtale om [xxxxxxxxxxxxx] mellom
[NAV enhet] og [Leverandør],
signert [dato]
Denne endringen gjøres i henhold til betingelsene i ovenfor nevnte avtale, med mindreannet særskilt er angitt nedenfor.
Beskrivelse av endringen:
Dette dokument er undertegnet i to eksemplarer hvorav hver part beholder ett.
For [NAV enhet] | For [Leverandør] |
Dato: | Dato: |
Sign: | Sign: |
Navn: | Navn: |
Bilag 7: Databehandleravtale
Databehandleravtalen ligger som et eget dokument i avtalen.
AVTALE OM ARBEIDSMARKEDSTILTAKET
Studie med støtte
mellom
Arbeids- og velferdsetaten (NAV)
som Behandlingsansvarlig og
[Virksomhetens navn]
som Databehandler
Sted og dato:
For Behandlingsansvarlig (NAV) | For Databehandler |
Xxxxx Xxxxxxxxx Avdelingsdirektør NAV Tiltak Agder |
Avtalen undertegnes i to eksemplarer, ett til hver part.
INNHOLDSFORTEGNELSE:
1 Formålet med denne databehandleravtalen 23
5 Bistand til behandlingsansvarlig 25
6 Tekniske og organisatoriske sikkerhetstiltak 26
8 Bruk av underdatabehandlere 27
9 Overføring av personopplysninger til tredjeland 27
10 Melding om brudd på personopplysningssikkerheten 27
Vedlegg 1 Databehandlingens omfang 31
Vedlegg 2 Tekniske og organisatoriske sikkerhetstiltak 33
Vedlegg 3 Godkjente underdatabehandlere 35
1. FORMÅLET MED DENNE DATABEHANDLERAVTALEN
1. Denne avtalen ("Databehandleravtalen") er en del av arbeidsmarkedstiltaket Studie med støtte ("Hovedavtalen") datert [dato] mellom NAV Agder ("Behandlingsansvarlig") og [navn] ("Databehandler"), der begge utgjør en "Part", samlet benevnt som "Partene".
2. Databehandleravtalens hensikt er å regulere rettigheter og plikter i henhold til Europaparlamentets- og rådsforordning (EU) 2016 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving av direktiv 95/46/EF (generell personvernforordning/ General Data Protection Regulation).
3. Databehandleravtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Hovedavtalen.
4. I tilfelle uoverensstemmelse mellom Hovedavtalen og Databehandleravtalen når det gjelder forhold spesifikt knyttet til personvern, skal Databehandleravtalen gis forrang.
5. Databehandleravtalen har tre vedlegg. Vedleggene er en del av Databehandleravtalen.
6. Vedlegg 1 inneholder en beskrivelse av behandlingens omfang, formål og hensikt, type personopplysninger og kategorier av registrerte.
7. Vedlegg 2 inneholder en beskrivelse av tekniske og organisatoriske sikkerhetstiltak.
8. Vedlegg 3 inneholder en oversikt over godkjente underdatabehandlere.
I Databehandleravtalen skal følgende ord og uttrykk ha denne betydning:
1. «Personopplysninger»: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»). En identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en eller flere identifikatorer. Slike identifikatorer kan f.eks. være et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet, se artikkel 4 nr. 1.
2. «Behandling»: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former fortilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring. Det omfatter også tilgang til å se på personopplysningene, aksessere, samt aksessering fra annen
lokasjon (fjernaksess), og eller mulighet til å aksessere personopplysninger, selv om denne muligheten ikke faktisk benyttes, både fra fjern og nær lokasjon. Se artikkel 4 nr. 1.
3. «Brudd på personopplysningssikkerheten»: Brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, se artikkel 4 nr. 12.
4. «Behandlingsansvarlig»: En fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særligekriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenesnasjonale rett.
5. «Databehandler»: En fysisk eller juridisk person, offentlig myndighet, institusjoneller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.
6. «Underdatabehandler»: En annen databehandler eller flere (underleverandører) som Databehandler engasjerer for å utføre spesifikke behandlingsaktiviteter på vegne av Behandlingsansvarlig.
7. «Gjeldende personvernregler»: Gjeldende lover og regler om personvern, inkludert ny personopplysningslov og GDPR (fra og med ikrafttredelsestidspunkt).
8. «GDPR»: General Data Protection Regulation. Europaparlamentets- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning).
9. «Standardklausuler»: Standardklausuler («Standard Contractual Clauses / EU Model Clauses») for overføring av personopplysninger til databehandlere etablert i tredjeland, etablert ved EU-kommisjonens vedtak av 5. februar 2010 og/eller som etablert av EU- kommisjonen eller en relevant tilsynsautoritet i henhold til GDPR artikkel 28 (7) eller 28 (8).
10. «Tredjestat»: Et land utenfor EØS som EU-kommisjonen ikke har fastslått at sikrer et tilstrekkelig beskyttelsesnivå.
For øvrig skal ord og uttrykk ha samme mening som de er tillagt i GDPR.
1. Databehandleravtalen gjelder alle personopplysninger som Databehandler har mottatt, er gitt tilgang til eller har generert i forbindelse med Hovedavtalen.
2. Databehandlingens formål og art, type personopplysninger som behandles, samt kategorier av registrerte fremgår av Vedlegg 1.
3. Databehandler har ikke selvstendig råderett over personopplysningene og kan ikke bruke opplysningene til andre formål enn det som fremgår av Vedlegg 1, og skal ellers behandle personopplysningene i samsvar med Behandlingsansvarliges dokumenterte instrukser.
1. Databehandler plikter å ha gjennomført egnede tekniske og organisatoriske tiltak som sikrer at behandlingen av personopplysningene er i samsvar med kravene etter gjeldende personvernregler, og at disse tiltakene etterleves i hele avtaleperioden.
2. Databehandler skal omgående varsle Behandlingsansvarlig skriftlig hvis Databehandler har rimelig grunn til å tro at:
(i) en instruks fra Behandlingsansvarlig kan medføre at Databehandler bryter med gjeldende personvernlovgivning, eller
(ii) gjeldende rett i EØS-området krever at Databehandler behandler personopplysninger utover omfanget av Behandlingsansvarliges dokumenterte instrukser.
I tilfelle av (i) eller (ii) skal Partene diskutere hvordan problemet kan løses uten atde registrertes rettigheter blir krenket.
3. Hvis Databehandler er underlagt godkjente atferdsnormer etter GDPR artikkel 40 eller en godkjent sertifiseringsmekanisme etter GDPR artikkel 42, garanterer Databehandler at den vil etterleve slike atferdsnormer eller sertifiseringsmekanismer.
4. Dersom Databehandler er underlagt plikt om protokollføring som fremgår avGDPR artikkel 30 skal Databehandler føre skriftlig protokoll over alle kategorier av behandlingsaktiviteter som utøves på vegne av Behandlingsansvarlig.
5. BISTAND TIL BEHANDLINGSANSVARLIG
1. Databehandler plikter å bistå Behandlingsansvarlig ved ivaretakelse av registrertes rettigheter etter GDPR kapittel III som inkluderer:
a) retten til informasjon ved innsamling av personopplysninger fra den registrerte
b) retten til informasjon hvis opplysningene innhentes fra andre enn registrerte
c) retten til å kreve innsyn i egne personopplysninger
d) retten til å kreve korrigering eller sletting av egne opplysninger
e) retten til å kreve at behandlingen av egne personopplysninger begrenses
f) retten til dataportabilitet
g) retten til innsigelse
h) retten til å motsette seg automatiske avgjørelser inkludert profilering
Databehandler skal umiddelbart videresende til Behandlingsansvarlig forespørsler eller klager som Databehandler eventuelt mottar fra den registrerte.
2. Databehandleren skal så langt det er mulig bistå Behandlingsansvarlig med forpliktelsene etter GDPR artikkel 32 til 36, herunder forpliktelsene til datasikkerhet (se avtalens punkt 6), melding om brudd på personopplysningssikkerhet (se avtalens punkt 10), vurdering av personvernkonsekvenser samt forhåndsdrøftinger med Datatilsynet.
6. TEKNISKE OG ORGANISATORISKE SIKKERHETSTILTAK
1. Databehandler skal gjennomføre egnede tekniske, fysiske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger som omfattes av Databehandleravtalen mot utilsiktet eller ulovlig tilintetgjøring, tap, endring og ikke-autorisert utlevering eller tilgang. Databehandleren skal som et minimum gjennomføre de tiltakene som er påkrevd i henhold til GDPR artikkel 32, samt de tiltak som er angitt eller referert til i Vedlegg 2.
2. Databehandler skal ikke utlevere personopplysninger til tredjeparter uten skriftlig forhåndsgodkjenning fra Behandlingsansvarlig. Unntak gjelder for eventuelle godkjente underdatabehandlere (se avtalens punkt 8) når de har behov for opplysningene for å kunne utføre sine oppgaver.
3. Databehandler sikrer, at kun de personer som er autorisert til å behandle personopplysninger, har tilgang til personopplysningene som behandles på vegne av Behandlingsansvarlig.
1. Databehandlers ansatte og andre som opptrer på Databehandlers vegne, har taushetsplikt om informasjon og personopplysninger som vedkommende får tilgang til etter Databehandleravtalen. Taushetsplikten omfatter også ansatte hos underdatabehandler som utfører oppdrag for Databehandler for å kunne levere tjenesten.
2. Ansatte og andre hos Databehandler pålegges taushetsplikt etter reglene i arbeids- og velferdsforvaltningsloven § 7, jf. forvaltningsloven §§ 13 til 13 e. Taushetsplikten omfatter også opplysninger om fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bosted og arbeidssted, jf. arbeids- og velferdsforvaltningsloven § 7, første ledd. NAVs taushetsplikterklæring skal undertegnes.
3. Taushetsplikten gjelder også etter Databehandleravtalens opphør. Ansatte og andre som fratrer sin tjeneste hos Databehandler skal pålegges taushet også etter fratredelse om forhold som nevnt ovenfor.
4. Dersom en del av databehandleroppdraget omfatter utlevering av adresseinformasjon til andre, så skal graderte adresser (adressesperre med kode 6 og 7 i folkeregisteret) ikke utleveres.
8. BRUK AV UNDERDATABEHANDLERE
1. Databehandler kan kun engasjere underdatabehandlere etter forutgående skriftlig tillatelse fra Behandlingsansvarlig. Godkjente underdatabehandlere er oppført i Vedlegg 3.
2. Databehandler skal kun engasjere underdatabehandlere som gjennomfører egnede tekniske og organisatoriske tiltak som sikrer at databehandlingen oppfyller kravene etter gjeldende personvernregler. Databehandler skal gjennomføre kontroller av underdatabehandlere for å verifisere deres databeskyttelsesnivå. Databehandler skal kunne fremlegge rapporter fra slik kontroller for Behandlingsansvarlig.
3. Databehandler plikter å forelegge disse avtalene for Behandlingsansvarlig etter forespørsel.
4. Databehandler plikter å inngå skriftlig avtale med hver underdatabehandler som regulerer underdatabehandlers behandling av personopplysninger og pålegges å ivareta alle plikter som Databehandleren selv er underlagt etter denne Databehandleravtalen.
5. Databehandler har fullt ansvar for underdatabehandlers utførelse av sine forpliktelser på samme måte som om Databehandler selv sto for utførelsen.
6. Samtlige som på vegne av Databehandler utfører oppdrag der behandling av de aktuelle personopplysningene inngår, skal være kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfylle disse.
9. OVERFØRING AV PERSONOPPLYSNINGER TIL TREDJELAND
1. Databehandler kan kun overføre personopplysninger til et tredjeland eller en internasjonal organisasjon etter dokumenterte instrukser fra Behandlingsansvarlig.
2. Unntak kan skje dersom det kreves i henhold til gjeldende rett i EØS-området. I slike tilfeller skal Databehandler underrette Behandlingsansvarlig om nevnte rettslige krav før overføringen, med mindre denne rett av hensyn til viktige samfunnsinteresser forbyr slik underretning (i så fall skal Databehandleren underrette Behandlingsansvarlig så snart retten tillater dette).
10. MELDING OM BRUDD PÅ PERSONOPPLYSNINGSSIKKERHETEN
1. Databehandler skal gi skriftlig melding til Behandlingsansvarlig om eventuelle bruddpå Databehandleravtalen eller personopplysningssikkerheten.
2. Melding skal gis uten unødvendig forsinkelse og senest innen [24] timer etter at Databehandler ble oppmerksom på bruddet, slik at Behandlingsansvarlig har mulighet til å melde bruddet til Datatilsynet innenfor tidsfristen på 72 timer.
3. Melding om brudd på personopplysningssikkerheten bør inneholde en beskrivelse av:
a. arten av bruddet, herunder kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,
b. de berørte registrertes identitet,
c. navn og kontaktinformasjon til Personvernombudet eller et annet kontaktpunkt hos Databehandler for ytterligere innhenting av informasjon,
d. de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
e. tiltak som er truffet eller foreslått for å håndtere bruddet, herunder tiltak for å redusere eventuelle skadevirkninger,
f. annen informasjon som kreves for at Behandlingsansvarlig kanoverholde gjeldende personvernregler.
Databehandler skal så snart som mulig gjennomføre alle tiltak som beskrevet i punkt e ovenfor. I tillegg skal Databehandler gjennomføre alle de tiltak som med rimelighet kreves for å unngå at det senere oppstår lignende brudd på personopplysningssikkerheten. Databehandler skal, så langt det er mulig, rådføre seg med Behandlingsansvarlig om de tiltak som skal gjennomføres samt overveie innspill fra Behandlingsansvarlig i den forbindelse.
4. Kun Behandlingsansvarlig har rett til å rapportere til Datatilsynet og til de berørte registrerte om brudd på personopplysningssikkerheten. Databehandler skal avstå fra å informere allmennheten eller tredjepart om brudd på personopplysningssikkerheten.
1. Databehandler skal dokumentere og gjøre tilgjengelig for Behandlingsansvarlig, informasjon som er nødvendig for å påvise etterlevelse av Databehandleravtalen og gjeldende personvernregler.
2. Databehandler skal muliggjøre og bidra ved revisjoner av Databehandlers behandlingsaktiviteter som utføres av Behandlingsansvarlig eller av annen inspektør med fullmakt fra Behandlingsansvarlig. Databehandler skal også muliggjøre og bidra ved revisjoner fra tilsynsmyndigheter.
3. Databehandleren skal foreta jevnlige revisjoner av sine behandlingsaktiviteter. Dette kan Databehandler gjøre på egen hånd eller via annen inspektør med fullmakt fra Databehandler. Databehandleren skal oversende kopi av revisjonsrapporter fra slike revisjoner til Behandlingsansvarlig. Behandlingsansvarlig skal ha rett til å fremlegge slike revisjonsrapporter til sine eksterne revisorer og tilsynsmyndigheter.
4. Databehandler skal umiddelbart varsle Behandlingsansvarlig hvis den mottar forespørsel fra en myndighet om å utlevere personopplysninger som er behandlet under Databehandleravtalen. Med mindre loven krever det, skal Databehandler ikke etterkomme en slik forespørsel uten skriftlig forhåndsgodkjenning fra Behandlingsansvarlig.
5. Dersom en revisjon avdekker avvik fra forpliktelsene i Databehandleravtalen, skal Databehandler så snart som mulig avhjelpe slike avvik (og, hvis relevant, påse at den relevante underdatabehandler gjør det samme). Behandlingsansvarlig kan kreve at hele eller deler av behandlingsaktivitetene midlertidig opphører til vellykket utbedring er bekreftet. Ved særlig alvorlige brudd kan Behandlingsansvarlig kreve behandlingen stoppet, opplysningene tilbakeføres til Behandlingsansvarlig og terminere Hovedavtalen samt Databehandleravtalen.
6. Hver av partene dekker sine egne kostnader forbundet med en revisjon. Hvis en revisjon avdekker avvik fra forpliktelsene i Databehandleravtalen, skal alle kostnader forbundet med revisjonen dekkes av Databehandler, herunder Behandlingsansvarliges og eksterne revisorers relevante kostnader.
1. Databehandleravtalen gjelder fra den er signert med begge Parters underskrift og gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Hovedavtalen.
2. Behandlingsansvarlig kan ved brudd på Databehandleravtalen eller bestemmelsene i gjeldende personvernlovgivning pålegge Databehandler å stoppe den videre behandlingen av personopplysningene med øyeblikkelig virkning.
3. Ved opphør av Databehandleravtalen plikter Databehandler å slette eller tilbakelevere alle personopplysninger som forvaltes på vegne av Behandlingsansvarlig og som omfattes av Databehandleravtalen. Dette gjelder også eventuelle sikkerhetskopier. Behandlingsansvarlig bestemmer hvordan tilbakelevering av personopplysninger skal skje, herunder hvilket format som skal benyttes. Databehandler skal skriftlig bekrefte eller dokumentere at sletting er foretatt innen nærmere avtalt tidspunkt etter Databehandleravtalens opphør. Dokumentasjonen skal gjøres tilgjengelig for Behandlingsansvarlig.
Databehandleravtalen er underlagt norsk rett og Partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av Databehandleravtalen.
Alle meddelelser vedrørende Databehandleravtalen rettes skriftlig og adressert til følgende kontaktpersoner:
Hos Behandlingsansvarlig (NAV): | Hos Databehandler: | |
Xxxx Xxxxxxxx e-post |
VEDLEGG 1 DATABEHANDLINGENSOMFANG
Behandlingens formål
Gi en beskrivelse av hva som er formålet med behandlingen av personopplysninger hos Databehandler for å kunne utføre oppdrag eller tjeneste for NAV.
Arbeids- og velferdsetaten har behandlingsgrunnlag for å behandle personopplysninger knyttet til å vurdere og tildele arbeidsmarkedstiltak etter lov om arbeidsmarkedstjenester (arbeidsmarkedsloven), lov om arbeids- og velferdsforvaltningen (NAV-loven) og forskrift om arbeidsmarkedstiltak (tiltaksforskriften).
Formålet med behandlingen av personopplysninger hos Databehandler/Tiltaksarrangør er å gjennomføre arbeidsmarkedstiltak for å styrke tiltaksdeltakers muligheter til å få eller beholde arbeid, i henhold til bestilling fra NAV.
Behandlingens art og hensikt
Rammeavtalen er mellom NAV Agder og XXXXX om gjennomføring av arbeidsmarkedstiltaket Studie med støtte, jmf. Forskrift om arbeidsmarkedstiltak kap. 4.
Oppfølging omfatter bistand til den enkelte deltaker med sikte på å komme i eller beholdearbeid. Oppfølging kan inneholde kartlegging, veiledning og råd til både tiltaksdeltaker, arbeidsgiver og andre tiltaksarrangører, oppfølging på arbeidsplassen, opplæring i arbeidsrelaterte og sosiale ferdigheter, bistand til å søke arbeid, samt bistand til tilpasning og tilrettelegging av arbeid og arbeidssituasjon.
Behandling til statistiske formål
Databehandler/tiltaksarrangør kan kun bruke anonyme personopplysninger til statistiske formål. Anonymisering av personopplysninger er en behandlingen som også må beskrives her.
Dette punktet må ses i sammenheng med punktet om spesifikke sletteregler og pseudonymiseringstiltak. Der det er aktuelt å benytte personopplysninger til statistiske formål, må databehandler beskrive hvordan dette gjøres knyttet til den enkelte formål i vedlegg 2.
Kategorier av registrerte
Gi en opplisting av hvilke kategorier av enkeltpersoner som opplysningene er knyttet til.
Deltakere i arbeidsmarkedstiltak.
Type personopplysninger
Gi en opplisting av hvilke personopplysninger som skal behandles av Databehandler. Databehandler kan ikke innhente og behandle opplysninger utover det som er angitt
List opp personopplysninger som kan/ skalbehandles:
• Navn
• Adresse
• Telefonnummer
• Fødselsnummer og personnummer
• E-postadresse
• Bestilling fra NAV
• Utdanning. (CV)
• Praksis. (CV)
• Kompetanse. (CV)
Type sensitive personopplysninger (hvis relevant)
Gi en opplisting av hvilke sensitive personopplysninger som skal behandles av Databehandler. Databehandler kan ikke innhente og behandle opplysninger utover det som er angitt
Følgende sensitive personopplysninger kan være relevant for tiltaket:
• Helseopplysninger
• Etnisk opprinnelse
• Opplysninger om eventuelle Politiattester
Spesifikke sletteregler
List opp og spesifiser eventuelt hvilke personopplysninger som har spesifikke sletteregler, og som skal slettes av Databehandler underveis i behandlingen av personopplysninger påvegne av Behandlingsansvarlig.
Arbeids- og velferdsdirektoratet presiserer følgende:
12 uker etter at tiltaksrapport for den enkelte deltaker er overlevert NAV skal tiltaksarrangøren slette personopplysninger knyttet til det enkelte oppdraget.
Dersom data skal benyttes til statistiske formål må data-uttrekket gjøres før 12 uker etter at sluttrapport er overlevert NAV.
VEDLEGG 2 TEKNISKE OGORGANISATORISKE SIKKERHETSTILTAK
Vedlegg 2 fylles ut av tiltaksarrangør.
I vedlegg 2 bør de viktigste tiltakene for å sikre personopplysningene hos databehandler beskrives, eventuelt at det henvises til dokumenter, anskaffelsesbilag, sikkerhetsbilag eller publikasjoner som forklarer hvordan databehandleren arbeider med informasjonssikkerhet og hvilke sikkerhetstiltak som er etablert for denne tjenesten/leveransen. Det er kun de tiltakene som er aktuelle som skal beskrives. Se omtale av databehandlers plikter til sikkerhetstiltak i avtalens punkt 6.
Databehandler skal som et minimum gjennomføre alle de tiltak som er angitt eller henvisttil nedenfor. Databehandler kan ikke uten skriftlig samtykke fra Behandlingsansvarlig gjøre endringer i disse tiltakene som reduserer graden av datasikkerhet. Databehandler skal kontinuerlig arbeide for å forbedre sikkerhetstiltakene og sørge for at de oppdateres i takt med den teknologiske utviklingen.
Pseudonymiseringstiltak
Pseudonymisering vil si behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsinformasjon, forutsatt at slik tilleggsinformasjon oppbevares separat og er gjenstand for tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar person.
Frem til bedre og sikrere datatekniske løsninger foreligger, godkjenner NAV Agder at pseudomisering kan nyttes ved utvekling av følgende informasjon over ikke-kryptert e-post:
- Frammøtelister
- Melding om oppstart i tiltak
- Melding om forlengelse av tiltak
- Avslutning av tiltak
Pseudonomisering gjøres ved at deltakers navn erstattes med initialer og fødselsdato slik: EFM DDMMÅÅ
E=Etternavn, F=Fornavn, M=Mellomnavn, D= dag, M=måned og Å=År.
Sett inn beskrivelse av eventuelle krav til pseudonymiseringstiltak.
Krypteringstiltak
Kryptering er prosessen med koding av data på en slik måte at bare autoriserte personer har tilgang til opplysningene. Krypteringstitak kan være for eksempel være aktuelt dersom databehandler skal sende eller lagre personopplysningene elektronisk
Sett inn beskrivelse av eventuelle krypteringstiltak, som for eksempel knyttet til bruk avepost
Tiltak for å sikre personopplysningenes fortrolighet(konfidensialitet)
Sett inn beskrivelse. Eksempler kan være tiltak for å kontrollere tilgang til personopplysningene, og for å skille opplysningene fra opplysninger som Databehandler behandler på vegne av andre behandlingsansvarlige. For eksempel tilgangskontroll til datasystem eller arkivsystem der opplysningene blir lagret, og separate miljø for lagring av peronopplysninger fra ulike kunder.
Tiltak for å sikre personopplysningenes integritet
Sett inn beskrivelse. Et eksempel kan være tiltak for å overvåke endringer iopplysningene, for eksempel tilgangsstyring og logging av endringer og hvem som har gjort endringene
Tiltak for å sikre tilgjengeligheten til personopplysningene
Sett inn beskrivelse. Et eksempel kan være backup-tiltak.
Tiltak for å sikre robusthet i behandlingssystemene og -tjenestene
Sett inn beskrivelse. Eksempler kan være tiltak for katastrofegjenoppretting (beredskapstiltak) og redundans (ekstra sikring for eksempel i form avkopiering).
Tiltak for fysisk sikring av lokaler hvor data behandles
Sett inn beskrivelse. Feks sikre soner, vakthold, fysisk tilgangsstyring, kameraovervåkning
Andre datasikkerhetstiltak:
Sett inn beskrivelse, eller "ikke relevant".
Tiltak for å sikre anonymisering ved data-utrekk til statistiske formål
Sett inn beskrivelse av fremgangsmåte ved anonymisering.
VEDLEGG 3 GODKJENTE UNDERDATABEHANDLERE
Selskapets navn | Selskapets adresse | Behandlingssted | Beskrivelse av hvilken type behandling |
Bilag 8: Rapportering
Det skal brukes NAVs rapportmal.