NAV Innlandet
// AVTALE – BILAG
NAV Innlandet
Arbeids- og velferdsetaten
Videreutdanning i praktisk rettet forvaltningsrett for NAV-ansatte
Saksnummer 21/3552
Avtale om kjøp av tjenester – Bilag
Bilag 1: Kundens kravspesifikasjon
1 FORMÅLET MED ANSKAFFELSEN
NAV vil tilby en praksisnær videreutdanning i forvaltningsrett til veiledere ved NAV-kontor og saksbehandlere i NAV arbeid og ytelser. Etter gjennomført videreutdanning skal deltakerne:
• Ha utviklet god og trygg forvaltningskompetanse, slik at de kan forvalte sin rolle i NAV på en kvalitetsmessig god måte
• Beherske formidling og veiledning av kollegaer og brukere, på en forståelig og praksisnær måte, skriftlig og muntlig
• Ha en helhetlig forståelse av brukerreisene, og hvordan samhandlingen de selv har med brukeren, medvirker til en forvaltningsmessig trygg brukeropplevelse
1.1 Omfang
Videreutdanningen vil gi 30 studiepoeng på bachelornivå. Hvert kull omfatter 3 semester, noe som medfører 1,5 års varighet per kull. Det skal være oppstart hvert halvår, høst/ vinter.
1.2 Beskrivelse av tjenesten
Videreutdanningen skal bidra til at deltakerne får en god forvaltningskompetanse. Dette skal gi økt kvalitet i oppfølgingen av brukerne, gjennom forsterket praksis i veiledernes arbeidshverdag, inkludert en forståelig og god veiledning av kollegaer og brukere.
Samtidig skal videreutdanningen bidra til forståelse av hvordan egen rolle påvirker brukerreisen for brukere i NAV. Deltakerne skal få en felles forståelse for det helhetlige rammeverket NAV er omfattet av, samtidig som de fordyper seg i ferdighetstreningen knyttet til egen rolle i arbeidskravene.
Målet er at dette skal gi bedre tjenester til brukerne av NAV.
1.2.1 Målgruppe
• Veiledere i NAV-kontoret, innenfor alle tjenesteområder, kommunale og statlige
• Fagressurser/koordinatorer og fagledere tilknyttet NAV-kontor, som veileder i læringsprosesser i enheten, der forvaltningskompetanse vil være relevant
• Saksbehandlere og fagkoordinatorer i NAV Arbeid og ytelser
• NAV Innlandets medarbeidere prioriteres i de første 3 kullene, dette avklares ved eventuell videreføring
• Deltakere som har en rolle i fagutvikling vil prioriteres
1.2.2 Opptakskrav
• Deltaker skal ha generell studiekompetanse, eller realkompetanse som kan godkjennes tilsvarende
• Deltakerne skal ha gjennomført relevant etatsopplæring i Ny i NAV eller tilsvarende
• Deltakerne skal ha minst ett års jobberfaring i NAV
• Ved ventelister vil deltakere med fagressurs/fagleder/koordinatorrolle prioriteres
1.2.3 Gjennomføring
Første fase av avtaleperioden vil omhandle utvikling av fremdriftsplan, studieplan og studiets konkrete innhold. Utviklingsfasen beskrives i punkt 3.4. NAV antar at denne utviklingsfasen vil ha en varighet på ca. seks måneder.
Det er planlagt at tre kull skal gjennomføre videreutdanningen, med oppstart hvert halvår. NAV påpeker imidlertid at leverandøren må ta høyde for at det kan bli endring i planene for gjennomføring av opplæringen 2022.
NAV planlegger en evaluering av opplegget etter gjennomføringen av tre kull, og etter evalueringen vil vi vurdere å ta ut opsjon på ytterligere kurs.
2 FORKLARING TIL KRAVSPESIFIKASJONEN
2.1 Prioritering av krav
Kravene er gitt en prioritet ut fra følgende system:
A - Absolutt og ufravikelig krav
V - Viktig krav (Krav som blir evaluert, uavhengig av om kravet er formulert som
«Skal»-krav eller liknende)
2.2 Besvarelse av krav
Kravspesifikasjonen er bygget opp i tabeller som vist nedenfor:
Nr. | Krav | Prioritet (A/V) | Svar (J/N) | Utfyllende kommentar |
V | X |
<Leverandørens kommentar til krav nr. >
Kravspesifikasjonen skal besvares på følgende måte:
Felt | Besvares som beskrevet |
Nr. | Kundens identifikasjon av kravet. Skal ikke endres. |
Krav til Leverandør | Kundens beskrivelse av kravet. Skal ikke endres. |
Prioritet (A/V) | Kundens prioritering av kravet. Se punkt 2.1. Skal ikke endres. |
Svar (J/N) | Leverandøren skal her svare om kravet kan oppfylles eller ikke. Dersom kravet oppfylles i sin helhet i den på nåværende tidspunkt tilgjengelige versjon som Leverandøren vil tilby, svares <J>. Dersom kravet bare delvis oppfylles eller vil bli oppfylt i en senere versjon, svares <N>. Leverandøren kan i dette tilfellet beskrive på hvilken måte kravet delvis oppfylles eller vil bli oppfylt. Leverandøren skal da krysse av i feltet ’Utfyllende kommentar’ med uthevet skrifttype som vist: <X>. |
Utfyllende kommentar | Når dette feltet er krysset av med en <X>, skal Leverandøren gi en utfyllende kommentar i anvist område under kravtabellen, se nedenfor. Dersom Leverandøren selv ønsker å gi utfyllende kommentarer, skal feltet krysses av med en uthevet <X> som beskrevet ovenfor. |
<Leverandøren...> | Dette angir området hvor Leverandøren skal gi sine utfyllende kommentarer. Kommentarene skal skrives med uthevet skrift. Dersom Leverandøren selv velger å gi utfyllende kommentarer, skal Leverandøren legge disse inn på tilsvarende måte. |
3 KONKRETE KRAV TIL LEVERANSEN
Nr. | Krav | Prioritet (A/V) | Svar (J/N) | Utfyllende kommentar |
3.1. | Studieorganisering og pedagogisk tilnærming | |||
3.1.1 | Videreutdanningen skal gjennomføres med en samlingsbasert studiemodell. Det gjennomføres 6 samlinger, fordelt med 2 samlinger på hver av i alt 3 terminer. Det skal gjennomføres praktisk rettede arbeidskrav mellom samlingene, med tilgjengelige digitale forelesninger, og med digital oppfølging av deltakerne, slik at det sikres en god framdrift og kontinuitet i videreutdanningen. | A | ||
3.1.2 | Det gjennomføres 3 arbeidskrav, alle i etterkant av andre samling i hvert semester. | A |
Det avvikles en avsluttende, studiepoenggivende eksamen etter 6. samling. | ||||
3.1.3 | Leverandøren bes beskrive hvordan det legges opp til god gruppedynamikk og ferdighetstrening på samlingene. Det er ønskelig at ferdighetstreningen vektlegges, og omfatter skjønnsutøvelse og praktisering av lovforståelsen, samt formidling og veiledning av andre. Refleksjon over praksis er relevant. | V | X | |
3.1.4 | Det er ønskelig at arbeidskravene tilpasses den enkeltes arbeidsoppgaver i deres stilling i NAV, slik at videreutdanningen blir praktisk rettet og nyttig i deltakernes arbeidshverdag. Når det er mulig, kan gjerne arbeidskravene knyttes opp mot reelle arbeidsoppgaver. Det er ønskelig at arbeidskravene omfatter formidling til kollegaer. Formidling til brukere omfattes når det er relevant i deltakerens arbeidshverdag. Det bes om at leverandøren beskriver hvordan han skal løse oppdragsgivers behov. | V | X | |
3.2 | Omfang og gjennomføring | |||
3.2.1 | Leverandøren skal kunne håndtere undervisning for inntil 40 deltakere per kull. | A | ||
3.2.2 | NAV har behov for at opplæringen kan starte raskt, og gjerne innen utgangen av 2021. Det bes om at leverandøren beskriver når planleggingsfasen og opplæringen kan starte. | V | X | |
3.2.3 | Leverandør bes beskrive hvor samlingene kan gjennomføres. Det er ønskelig at samlingene gjennomføres innenfor området Mjøsregionen/Gardermoen. Samlinger innenfor angitt område gis full uttelling på dette punktet. Øvrige lokasjoner gis lavere uttelling jo lenger unna dette området de avholdes. | V | X | |
3.3. | Læreplan / faglig innhold | |||
3.3.1 | Videreutdanningen skal omfatte de mest relevante temaene fra bachelor i rettsvitenskap, i emnene forvaltningsrett 1, forvaltningsrett 2 og rettskildelære. Videreutdanningen skal i tillegg gi deltakerne kjennskap til det mest relevante lovverket som NAV forvalter. | V | X |
Leverandøren beskriver hvordan dette kan knyttes sammen med hovedtemaene for god læringseffekt. NAV vil gå i dialog med vinner av konkurransen om det konkrete innholdet i og utformingen av læreplanen. | ||||
3.4 | Utvikling og evaluering | |||
3.4.1 | Vinnende leverandør leder arbeidet med ▪ Utvikling av framdriftsplan ▪ Utvikling av studieplan ▪ Utvikling av studiets konkrete innhold ▪ Arbeidsgruppemøter fram til oppstart Vinnende leverandør deltar i møter for evaluering etter gjennomføringen av tre kull. Leverandøren bes beskrive hvordan de vil lede arbeidet med utvikling, der fagpersoner fra NAV i Innlandet og Statsforvalteren i Innlandet deltar. | V | X | |
3.4.2 | Vi viser til overordnede læringsmål i punkt 1, og til faglig innhold under punkt 3.3. Endelige læringsmål utarbeides ferdig i arbeidsgruppen jfr. punkt 3.4.1. Læringen legger til rette for at deltakerne bygger videre på det de allerede har lært i etatsinterne kompetanseaktiviteter. | A | ||
3.4.3 | Vinnende leverandør utvikler læringsplattform, for digital deling av kompetanseaktiviteter. | A | ||
3.5 | Krav til lokaler og tilrettelegging ved behov | |||
Leverandøren skal ved oppstart av undervisningen ha egnede lokaler for gjennomføring, som ivaretar krav til universell utforming. Dersom covid-19-pandemien eller andre lignende uforutsette forhold setter begrensninger på fysisk oppmøte, skal det tilbys lokaler der nødvendige tilrettelegginger kan gjøres, eller eventuelt gis tilbud om digitale samlinger. | A |
Bilag 2: Leverandørens løsningsspesifikasjon
Utarbeides som svar til Bilag 1 iht. til instruksjoner gitt i Bilag 1.
Bilag 3: Prosjekt - og fremdriftsplan
Prosjekt- og fremdriftsplan utarbeides sammen med vinnende leverandør.
Bilag 4: Priser og betalingsbetingelser
4 PRISER
Pris, ekskl. mva.: | NOK |
Utviklingsfasen | |
Per kull inntil 40 deltakere |
Priser skal oppgis eksklusive merverdiavgift, men skal oppgis inklusive andre skatter/avgifter som kan tenkes påløpt. Fakturagebyr eller andre gebyrer aksepteres ikke.
Vedrørende utviklingsfasen, se punkt 1.2.3 og 3.4 i bilag 1.
Alle utgifter som leverandøren tar seg betalt for skal være inkludert i de angitte priselementene. Med «per kull inntil 40 deltakere» menes at pris skal oppgis for hele kullet, og ikke per person. Bøker og læringsmateriell til deltakerne skal ikke inkluderes i prisen, da det ikke en del av denne avtalen.
Betalingsfrist
Kunden skal foreta utbetaling senest 30 dager etter at faktura er mottatt.
5 AVVIK FRA KONTRAKTSVILKÅRENE
Fyll inn eventuelle reservasjoner eller tillegg til kontraktsvilkårene i konkurransegrunnlagets Del II.
Referanse til kontraktsvilkår | Reservasjoner og tillegg | Begrunnelse | Økonomisk verdi (prising) av avviket |
6 KRAV TIL INNHOLD I ELEKTRONISK FAKTURA
Alle leverandører som leverer varer og tjenester til NAV skal levere elektronisk faktura på formatet Elektronisk Handels Format (EHF).
Detaljert og uttømmende beskrivelse finnes tilgjengelig på DIFIs sider xxx.xxxxxxxxxxxx.xx.
Det gjøres følgende presiseringer om krav til innhold:
• Deres referanse
Dette er et obligatorisk felt som i XML-malen for faktura finnes i Xpath “AccountingCustomerParty/Party/Contact/ID”.
Feltet skal alltid inneholde bestiller sin referanse. NAV har to alternative referanser som kan godtas. NAV identifikator som inneholder en bokstav og seks siffer eller bestiller referanse som består av 3 bokstaver og 4 siffer, uten mellomrom, f.eks. XXX1400.
Alle som bestiller varer og tjenester på vegne av NAV skal oppgi referanse.
• Bestillingsnummer
Dette er et anbefalt felt som i XML-malen for faktura finnes i Xpath ”OrderReference/ID”.
Feltet skal benyttes dersom Oppdragsgiver ber om dette. Bestillingsnummeret framgår av bestillingsdokumentet fra NAV.
• Avtalenummer
Dersom fakturaen ikke har referanse til et bestillingsnummer, skal fakturaen påføres avtalenummeret i fritekst på egen linje. Dette kan utformes slik:
«Avtalenummer: XX-XXXX».
• Fakturareferanse på kreditnota
Dette er et anbefalt felt som i xml-malen for kreditnota finnes i Xpath ”BillingReference/InvoiceDocumentReference/ID”.
På alle kreditnotaer må det i dette feltet oppgis fakturanummeret til den fakturaen som kreditnotaen gjelder.
7 KRAV TIL VEDLEGG
Generelle krav
NAV har ikke absolutte krav til hvilke typer vedlegg som kan brukes, men PDF format er det prefererte format.
Krav til dokumentasjon der vare/tjeneste ikke blir levert direkte til NAV
I tilfeller der NAV er fakturamottaker, men vare eller tjeneste ikke blir levert til NAV, er det nødvendig å dokumentere leveransen i eget vedlegg til faktura. Dette gjelder f.eks. ved levering av varer eller tjenester hjem til private mottakere av NAVs tjenester, kommunale etater, offentlige sykehus mv.
Dokumentasjon på mottatt vare eller tjeneste må følge fakturaen som elektronisk vedlegg for at vi skal godkjenne utbetaling.
Kvittering for mottatt vare kan dokumenteres på følgende måter:
• Signert dokument på at vare er levert til bruker, kommunal etat etc.
• Sendingskvittering fra transportør der bestillingsnummer og pakkesporingsnummer framgår.
Kvittering for mottatt tjeneste som f.eks. installasjoner, utredninger og reparasjoner
dokumenteres på følgende måte
• Signert dokument fra tjenestemottaker på logg over utført arbeid.
På kvitteringene/vedleggene må det alltid opplyses hvilken vare som er levert og hvilken tjeneste som er utført.
Leverandører som leverer varer og tjenester innen det som er definert som hjelpemidler, må påføre NAVs bestillingsnummer, både på faktura og vedlegg. I tillegg skal serienummer (for de produktene som har det) også framkomme.
8 RETUR AV ELEKTRONISK FAKTURA
NAV som kunde forbeholder seg retten til å returnere faktura som ikke er i samsvar med våre krav til innhold i elektronisk faktura, jf. punkt 3 og 4.
Returnering av faktura vil i så fall skje ved at NAV utsteder et avvisningsbrev som oversendes leverandøren.
Når faktura returneres Leverandøren, regnes betalingsfrist fra dato for mottak av korrekt faktura.
9 HVORDAN SKAL ELEKTRONISK FAKTURA LEVERES
NAVs elektroniske adresse er vårt juridiske organisasjonsnummer 889 640 782.
Elektronisk Faktura skal leveres til NAV via en meldingsformidler som er godkjent som aksesspunkt i det europeiske e-handelsnettverket (PEPPOL).
10 KONTAKTINFORMASJON
Alle henvendelser om elektroniske fakturaer kan rettes til xxxxxxx@xxx.xx eller telefon 00 00 00 00.
11 BRUK AV SYSTEM FOR ELEKTRONISK BESTILLING OG ORDREHÅNDTERING SAMT VERKTØY FOR
KONTRAKTSADMINISTRASJON
Leverandøren skal kunne ta i bruk NAVs tilgjengelige systemer for elektronisk bestilling/ordrehåndtering.
Leverandøren skal kunne ta i bruk NAVs tilgjengelige systemer for kontraktsadministrasjon og -oppfølging (KAV).
Bilag 5: Endringer etter avtaleinngåelse
1 ENDRINGER ETTER AVTALEINNGÅELSE
Dersom Kunden og Leverandøren har kommet til enighet om en endringsavtale (både i forhold til innhold, eventuelt endring i vederlag og endring i tidsplan), skal endringen (innhold, justert vederlag og justert tidsplan) fremkomme her.
Hver endring skal være underskrevet av bemyndiget representant for partene.
Endringer og tilføyelser etter avtaleinngåelse vedlegges avtalen som egne signerte endringsbilag (se mal for endring pkt. 2).
Endringskatalog:
Nr. | Dato for undertegning | Beskrivelse av endringen samt eventuell vederlagsjustering og justering av tidsplan | Dato for ikraftsettelse |
2 MAL FOR ENDRING TIL AVTALEN
Endring nr. XX til Avtale om [xxxxxxxxxxxxx] mellom
[NAV enhet] og [Leverandør],
signert [dato]
Denne endringen gjøres i henhold til betingelsene i ovenfor nevnte avtale, med mindre annet særskilt er angitt nedenfor.
Beskrivelse av endringen:
Elektronisk signering benyttes for dette dokumentet [Dersom dokumentet ikke skal signeres elektronisk må følgende setning legges inn i stedet for setningen om elektronisk signering:
«Dette dokument undertegnes i to eksemplarer, ett til hver part», samt at det i tabellen under legges til rader for dato og signering. Videre må dokumentet paraferes med initialer på hver side.]
For [NAV enhet] | For [Leverandør] |
Navn: | Navn: |
Bilag 6: Databehandleravtale
<
AVTALE OM [sett inn navn på oppdrag/tjeneste]
Mal for Databehandleravtale
mellom
Arbeids- og velferdsetaten (NAV)
som Behandlingsansvarlig og
[Virksomhetens navn]
som Databehandler
Sted og dato:
For Behandlingsansvarlig (NAV) For Databehandler
Behandlingsansvarlig (NAV) Virksomheten
Avtalen undertegnes i to eksemplarer, ett til hver part.
INNHOLDSFORTEGNELSE:
1 Formålet med denne databehandleravtalen 16
5 Bistand til behandlingsansvarlig 18
6 Tekniske og organisatoriske sikkerhetstiltak 19
8 Bruk av underdatabehandlere 20
9 Overføring av personopplysninger til tredjeland 20
10 Melding om brudd på personopplysningssikkerheten 20
15 Vedlegg 1 Databehandlingens omfang 23
16 Vedlegg 2 Tekniske og organisatoriske sikkerhetstiltak 24
17 Vedlegg 3 Godkjente underdatabehandlere 25
FORMÅLET MED DENNE DATABEHANDLERAVTALEN
1. Denne avtalen ("Databehandleravtalen") er en del av [navn på hovedavtalen] ("Hovedavtalen") datert [dato] mellom [navn] («Behandlingsansvarlig") og [navn] ("Databehandler"), der begge utgjør en "Part", samlet benevnt som "Partene".
2. Databehandleravtalens hensikt er å regulere rettigheter og plikter i henhold til Europaparlamentets- og rådsforordning (EU) 2016 av 27. april 2016 og lov om behandling av personopplysninger (LOV-2018-06-15-38).
3. Databehandleravtalen regulerer Databehandlers Behandling av Personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Hovedavtalen.
4. I tilfelle uoverensstemmelse mellom Hovedavtalen og Databehandleravtalen når det gjelder forhold spesifikt knyttet til personvern, skal Databehandleravtalen gis forrang.
5. Databehandleravtalen har tre vedlegg. Vedleggene er en del av Databehandleravtalen. I tilfelle uoverensstemmelse mellom Databehandleravtalen og vedleggene, skal vedleggene gis forrang.
6. Vedlegg 1 inneholder en beskrivelse av Behandlingens omfang, formål, art og hensikt, type Personopplysninger, kategorier av registrerte og varighet av Behandlingen.
7. Vedlegg 2 inneholder en beskrivelse av tekniske og organisatoriske sikkerhetstiltak.
8. Vedlegg 3 inneholder en oversikt over godkjente Underdatabehandlere.
I Databehandleravtalen skal følgende ord og uttrykk ha denne betydning:
1. «Personopplysninger»: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»). En identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en eller flere identifikatorer. Slike identifikatorer kan f.eks. være et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet, se artikkel 4 nr. 1.
2. «Behandling»: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring. Det omfatter også tilgang til å se på personopplysningene, aksessere, samt aksessering fra annen
lokasjon (fjernaksess), og eller mulighet til å aksessere personopplysninger, selv om denne muligheten ikke faktisk benyttes, både fra fjern og nær lokasjon. Se artikkel 4 nr. 2.
3. «Brudd på personopplysningssikkerheten»: Brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, se artikkel 4 nr. 12.
4. «Underdatabehandler»: En annen databehandler eller flere (underleverandører) som Databehandler engasjerer for å utføre spesifikke Behandlinger på vegne av Behandlingsansvarlig.
5. «GDPR»: General Data Protection Regulation. Europaparlamentets- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning).
6. «Gjeldende personvernregler»: Til enhver tid gjeldende lover og regler om personvern, inkludert personopplysningsloven og GDPR.
7. «Tredjestat»: Et land utenfor EØS.
For øvrig skal ord og uttrykk ha samme mening som de er tillagt i GDPR.
1. Databehandleravtalen gjelder alle Personopplysninger som Databehandler skal behandle på vegne av Behandlingsansvarlig, f.eks. Personopplysninger som Databehandler har mottatt, er gitt tilgang til eller har generert i forbindelse med Hovedavtalen.
2. Behandlingens omfang, formål, art og hensikt, type Personopplysninger, kategorier av registrerte og varighet av Behandlingen fremgår av Vedlegg 1.
3. Databehandler har ikke selvstendig råderett over Personopplysningene og kan ikke bruke opplysningene til andre formål enn det som fremgår av Vedlegg 1, med mindre det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som Databehandleren er underlagt. I så fall skal Databehandleren underrette den Behandlingsansvarlige om nevnte rettslige krav før Behandlingen, men mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning Databehandleren skal ellers behandle Personopplysningene i samsvar med Behandlingsansvarliges dokumenterte instrukser.
1. Databehandler plikter å utføre Behandlingen av Personopplysningene i samsvar med krav som stilles til databehandlere etter Gjeldende personvernregler.
2. Databehandler skal omgående varsle Behandlingsansvarlig skriftlig hvis Databehandler har rimelig grunn til å tro at:
(i) en instruks fra Behandlingsansvarlig kan medføre at Databehandler bryter med Xxxxxxxxx personvernregler, eller
(ii) gjeldende rett i EØS-området krever at Databehandler behandler Personopplysninger utover omfanget av Behandlingsansvarliges dokumenterte instrukser.
I tilfelle av (i) eller (ii) skal Partene diskutere hvordan problemet kan løses uten at de registrertes rettigheter blir krenket.
3. Databehandler skal umiddelbart varsle Behandlingsansvarlig hvis den mottar forespørsel fra en myndighet om å utlevere Personopplysninger som er behandlet under Databehandleravtalen. Med mindre loven krever det, skal Databehandler ikke etterkomme en slik forespørsel uten skriftlig forhåndsgodkjenning fra Behandlingsansvarlig.
4. Hvis Databehandler er underlagt godkjente atferdsnormer etter GDPR artikkel 40 eller en godkjent sertifiseringsmekanisme etter GDPR artikkel 42, garanterer Databehandler at den vil etterleve slike atferdsnormer eller sertifiseringsmekanismer.
5. Dersom Databehandler er underlagt plikt om protokollføring som fremgår av GDPR artikkel 30 skal Databehandler føre skriftlig protokoll over alle kategorier av Behandlinger som utøves på vegne av Behandlingsansvarlig.
BISTAND TIL BEHANDLINGSANSVARLIG
1. Databehandler plikter å bistå Behandlingsansvarlig ved oppfyllelse av registrertes rettigheter etter GDPR kapittel III.
2. Databehandleren skal bistå Behandlingsansvarlig med forpliktelsene etter GDPR artikkel 32 til 36, herunder Behandlingsansvarliges forpliktelser til å gjennomføre tekniske og organisatoriske sikkerhetstiltak, å gi melding til registrerte og Datatilsynet om Brudd på personopplysningssikkerhet, vurdering av personvernkonsekvenser samt forhåndsdrøftinger med Datatilsynet.
3. Ved behov for bistand som nevnt i dette punkt 5 skal Behandlingsansvarlig sende en skriftlig henvendelse til Databehandler.
4. Databehandler skal umiddelbart videresende til Behandlingsansvarlig forespørsler eller klager som Databehandler eventuelt mottar fra den registrerte.
5. Ved bistand som nevnt i dette punkt 5 kan Databehandler fakturere Behandlingsansvarlig etter nødvendig medgått tid etter en fast timepris på kr. xx ekskl. mva., med mindre annet er regulert i Hovedavtalen.
TEKNISKE OG ORGANISATORISKE SIKKERHETSTILTAK
1. Databehandler skal gjennomføre egnede tekniske, fysiske og organisatoriske sikkerhetstiltak for å beskytte Personopplysninger som omfattes av Databehandleravtalen mot utilsiktet eller ulovlig tilintetgjøring, tap, endring og ikke-autorisert utlevering eller tilgang. Databehandleren skal som et minimum gjennomføre de tiltakene som er påkrevd i henhold til GDPR artikkel 32, samt de tiltak som er angitt eller referert til i Vedlegg 2.
2. I henhold til GDPR artikkel 32 skal Databehandleren – uavhengig av Behandlingsansvarlig – også vurdere risikoene som Behandlingen utgjør for fysiske personers rettigheter og gjennomføre tiltak for å imøtegå disse risikoene. I forbindelse med denne vurderingen, skal Behandlingsansvarlig stille nødvendig informasjon til rådighet for Databehandleren som gjør vedkommende i stand til at identifisere og vurdere risikoene.
3. Databehandler skal ikke utlevere Personopplysninger til tredjeparter uten skriftlig forhåndsgodkjenning fra Behandlingsansvarlig. Unntak gjelder for overføring til eventuelle godkjente Underdatabehandlere (se avtalens punkt 8) når de har behov for Personopplysningene for å kunne utføre sine oppgaver.
4. Databehandler skal sikre at kun de personer som er autorisert til å behandle Personopplysninger, har tilgang til Personopplysningene som behandles på vegne av Behandlingsansvarlig.
1. Databehandlers ansatte og andre som opptrer på Databehandlers vegne, har taushetsplikt om informasjon og Personopplysninger som vedkommende får tilgang til etter Databehandleravtalen. Taushetsplikten omfatter også ansatte hos Underdatabehandler som utfører oppdrag for Databehandler for å kunne levere tjenesten.
2. Ansatte og andre hos Databehandler pålegges taushetsplikt etter reglene i arbeids- og velferdsforvaltningsloven § 7, jf. forvaltningsloven §§ 13 til 13 e. Taushetsplikten omfatter også opplysninger om fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bosted og arbeidssted, jf. arbeids- og velferdsforvaltningsloven § 7, første ledd. NAVs taushetsplikterklæring skal undertegnes.
3. Taushetsplikten gjelder også etter Databehandleravtalens opphør. Ansatte og andre som fratrer sin tjeneste hos Databehandler skal pålegges taushet også etter fratredelse om forhold som nevnt ovenfor.
1. Databehandler kan kun engasjere Underdatabehandlere etter forutgående skriftlig tillatelse fra Behandlingsansvarlig. Godkjente Underdatabehandlere er oppført i Vedlegg 3.
2. Databehandler skal kun engasjere Underdatabehandlere som gjennomfører egnede tekniske og organisatoriske tiltak som sikrer at Behandlingen oppfyller kravene etter Xxxxxxxxx personvernregler. Databehandler skal gjennomføre kontroller av Underdatabehandlere for å verifisere deres databeskyttelsesnivå. Databehandler skal kunne fremlegge rapporter fra slik kontroller for Behandlingsansvarlig.
3. Databehandler plikter å inngå skriftlig avtale med hver Underdatabehandler som regulerer Underdatabehandlers Behandling av Personopplysninger og pålegges å ivareta alle plikter med hensyn til vern av Personopplysninger som Databehandleren selv er underlagt etter denne Databehandleravtalen. Databehandler plikter å forelegge disse avtalene for Behandlingsansvarlig etter forespørsel.
4. Databehandleren skal i sin avtale med Underdatabehandleren innta Behandlingsansvarlig som begunstiget tredjeperson i tilfelle Databehandleren går konkurs, slik at Behandlingsansvarlig kan tre inn i Databehandlerens rettigheter og gjøre dem gjeldende over for Underdatabehandlere, som f.eks. gjør den Behandlingsansvarlige i stand til å instruere Underdatabehandleren i å slette eller tilbakelevere Personopplysningene.
5. Databehandler har fullt ansvar for Underdatabehandlers utførelse av sine forpliktelser på samme måte som om Databehandler selv sto for utførelsen.
6. Samtlige som på vegne av Databehandler utfører oppdrag der Behandling av de aktuelle Personopplysningene inngår, skal være kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfylle disse.
OVERFØRING AV PERSONOPPLYSNINGER TIL TREDJESTAT
1. Databehandler kan kun overføre Personopplysninger til en Tredjestat eller en internasjonal organisasjon etter dokumenterte instrukser fra Behandlingsansvarlig. Databehandler skal i den forbindelse også dokumentere gyldig overføringsgrunnlag.
MELDING OM BRUDD PÅ PERSONOPPLYSNINGSSIKKERHETEN
1. Databehandler skal gi skriftlig melding til Behandlingsansvarlig. Xxxxx på personopplysningssikkerheten, samt bistå Behandlingsansvarlig med det som er
nødvendig for at Behandlingsansvarlig skal kunne gi slik melding som nevnt i punkt 2 og 3 nedenfor.
2. Melding skal gis uten unødvendig forsinkelse og senest innen [24] timer etter at Databehandler ble oppmerksom på bruddet, slik at Behandlingsansvarlig har mulighet til å melde bruddet til Datatilsynet innenfor tidsfristen på 72 timer.
3. Melding om Xxxxx på personopplysningssikkerheten bør inneholde en beskrivelse av:
a. arten av bruddet, herunder kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,
b. de berørte registrertes identitet,
c. navn og kontaktinformasjon til Personvernombudet eller et annet kontaktpunkt hos Databehandler for ytterligere innhenting av informasjon,
d. de sannsynlige konsekvensene av Bruddet på personopplysningssikkerheten,
e. tiltak som er truffet eller foreslått for å håndtere Bruddet på personopplysningssikkerheten, herunder tiltak for å redusere eventuelle skadevirkninger,
f. annen informasjon som kreves for at Behandlingsansvarlig kan overholde Xxxxxxxxx personvernregler.
Informasjonen som nevnt i bokstav a-f skal gis uten ugrunnet opphold, men den kan gis trinnvis i den grad det er nødvendig.
Databehandler skal så snart som mulig gjennomføre alle tiltak som beskrevet i punkt e ovenfor. I tillegg skal Databehandler gjennomføre alle de tiltak som med rimelighet kreves for å unngå at det senere oppstår lignende Xxxxx på personopplysningssikkerheten. Databehandler skal, så langt det er mulig, rådføre seg med Behandlingsansvarlig om de tiltak som skal gjennomføres samt overveie innspill fra Behandlingsansvarlig i den forbindelse.
4. Kun Behandlingsansvarlig har rett til å rapportere til Datatilsynet og til de berørte registrerte om Xxxxx på personopplysningssikkerheten. Databehandler skal avstå fra å informere allmennheten eller tredjepart om Xxxxx på personopplysningssikkerheten.
1. Databehandler skal dokumentere og gjøre tilgjengelig for Behandlingsansvarlig, informasjon som er nødvendig for å påvise etterlevelse av Databehandleravtalen og Gjeldende personvernregler.
2. Databehandler skal muliggjøre og bidra ved revisjoner som utføres av Behandlingsansvarlig eller av en uavhengig tredjepart med fullmakt fra Behandlingsansvarlig. Databehandler skal også muliggjøre og bidra ved revisjoner fra tilsynsmyndigheter.
3. Databehandleren skal foreta jevnlige revisjoner av sine Behandlinger. Dette kan Databehandler gjøre på egen hånd eller via en uavhengig tredjepart med fullmakt fra Databehandler. Databehandleren skal oversende kopi av revisjonsrapporter fra slike revisjoner til Behandlingsansvarlig. Behandlingsansvarlig skal ha rett til å fremlegge slike revisjonsrapporter til sine eksterne revisorer og tilsynsmyndigheter.
4. Dersom en revisjon avdekker avvik fra forpliktelsene i Databehandleravtalen, skal Databehandler så snart som mulig avhjelpe slike avvik (og, hvis relevant, påse at den relevante underdatabehandler gjør det samme). Behandlingsansvarlig kan kreve at hele eller deler av behandlingsaktivitetene midlertidig opphører til vellykket utbedring er bekreftet. Ved særlig alvorlige brudd kan Behandlingsansvarlig kreve at Behandlingen stoppes, Personopplysningene tilbakeføres til Behandlingsansvarlig og at Hovedavtalen samt Databehandleravtalen termineres.
5. Hver av partene dekker sine egne kostnader forbundet med en revisjon. Hvis en revisjon avdekker avvik fra forpliktelsene i Databehandleravtalen, skal alle kostnader forbundet med revisjonen dekkes av Databehandler, herunder Behandlingsansvarliges og eksterne revisorers relevante kostnader.
1. Databehandleravtalen gjelder fra den er signert med begge Parters underskrift og gjelder så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Hovedavtalen.
eller
Databehandleravtalen gjelder til …………….
2. Behandlingsansvarlig kan ved brudd på Databehandleravtalen eller bestemmelsene i Gjeldende personvernregler pålegge Databehandler å stoppe den videre Behandlingen av Personopplysningene med øyeblikkelig virkning.
3. Ved opphør av Databehandleravtalen plikter Databehandler å slette eller tilbakelevere alle Personopplysninger som forvaltes på vegne av Behandlingsansvarlig og som omfattes av Databehandleravtalen. Dette gjelder også eventuelle sikkerhetskopier. Behandlingsansvarlig bestemmer hvordan tilbakelevering av Personopplysninger skal skje, herunder hvilket format som skal benyttes.
4. Databehandler skal skriftlig bekrefte og dokumentere at sletting er foretatt. Bekreftelsen skal gis innen 14 dager etter at sletting er gjennomført i henhold til vedlegg 1.
Databehandleravtalen er underlagt norsk rett og Partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av Databehandleravtalen.
Alle meddelelser vedrørende Databehandleravtalen rettes skriftlig og adressert til følgende kontaktpersoner:
Hos Behandlingsansvarlig (NAV): | Hos Databehandler: | |
Xxxx Xxxxxxxx e-post | Navn Stilling e-post |
VEDLEGG 1 DATABEHANDLINGENS OMFANG
>Vedlegg 1 skal alltid fylles ut >
Behandlingens formål
Gi en beskrivelse av hva som er formålet med behandlingen av personopplysninger hos Databehandler for å kunne utføre oppdrag eller tjeneste for NAV. Eksempel: at kommunen som behandlingsansvarlig kan bruke systemet X, som eies og driftes av Databehandler til å registrere og saksbehandle opplysninger om sosialtjenestebrukere
Sett inn:
Behandlingens art og hensikt
Gi en beskrivelse eller sett inn referanse til relevante deler av Hovedavtalen eller vedlegg til Hovedavtalen som beskriver oppdraget eller tjenesten. Eksempel: lagring av data på en skybasert plattform.
Sett inn:
Kategorier av registrerte
Gi en opplisting av hvilke kategorier av enkeltpersoner som opplysningene er knyttet til. Eksempel: sykmeldte, arbeidssøkere, pensjonister, tiltaksdeltakere, ansatte, barn, familiemedlemmer osv.
Sett inn:
Type Personopplysninger
Gi en opplisting av hvilke personopplysninger som skal behandles av Databehandler, Eksempler: Navn, kjønn, fødselsnummer, telefonnummer, adresse, epostadresse, adresse, arbeidssted,, ansatt-ID, tjenestetid, lønn, sivilstand, stønadsopplysninger, bankopplysninger, personnummer og/eller helsetilstand, lønn; kredittopplysninger osv.
Sett inn:
Type særlige kategorier av Personopplysninger (hvis relevant)
Gi en opplisting av hvilke særlige kategorier av Personopplysninger (tidligere kalt sensitive) som skal behandles av Databehandler.
Eksempler: rase, etnisk opprinnelse, politisk oppfatning, religion, fagforeningsmedlemskap, helseopplysninger, seksuelle forhold og seksuell orientering, opplysninger om straffedommer og lovovertredelser
Sett inn:
Spesifikke sletteregler
List opp og spesifiser eventuelt hvilke personopplysninger som har spesifikke sletteregler, og som skal slettes av Databehandler underveis i behandlingen av personopplysninger på vegne av Behandlingsansvarlig. Eksempel: 12 uker etter at tiltaksrapport er overlevert NAV skal tiltaksarrangøren slette personopplysninger knyttet til det enkelte oppdraget.
Sett inn:
Bistand til Behandlingsansvarlig
Gi en beskrivelse av hva det forventes at databehandleren bistår med for å oppfylle de ulike typene av registrertes rettigheter. Eksempel: Databehandler skal korrigere eller slette konkrete personopplysninger innen 48 timer etter at Behandlingsansvarlig har gitt skriftlig beskjed om dette.
Sett inn:
VEDLEGG 2 TEKNISKE OG ORGANISATORISKE SIKKERHETSTILTAK
>Vedlegg 2 skal fylles ut>
I vedlegg 2 bør de viktigste sikringstiltakene beskrives, eventuelt at det henvises til dokumenter, anskaffelsesbilag, sikkerhetsbilag eller publikasjoner som forklarer hvordan databehandleren arbeider med informasjonssikkerhet og hvilke sikkerhetstiltak som er etablert for denne tjenesten/leveransen.
Databehandler skal som et minimum gjennomføre alle de tiltak som er angitt eller henvist til nedenfor. Databehandler kan ikke uten skriftlig samtykke fra Behandlingsansvarlig gjøre endringer i disse tiltakene som reduserer graden av datasikkerhet. Databehandler skal kontinuerlig arbeide for å forbedre sikkerhetstiltakene og sørge for at de oppdateres i takt med den teknologiske utviklingen.
Pseudonymiseringstiltak
Pseudonymisering vil si behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsinformasjon, forutsatt at slik tilleggsinformasjon oppbevares separat og er gjenstand
for tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar person.
Sett inn beskrivelse av eventuelle krav til pseudonymiseringstiltak.
Krypteringstiltak
Kryptering er prosessen med koding av data på en slik måte at bare autoriserte personer har tilgang til opplysningene.
Sett inn beskrivelse av eventuelle krypteringstiltak.
Tiltak for å sikre Personopplysningenes fortrolighet (konfidensialitet)
Sett inn beskrivelse. Eksempler kan være tiltak for å kontrollere tilgang, og for å skille opplysningene fra opplysninger som Databehandler behandler på vegne av andre behandlingsansvarlige.
Tiltak for å sikre Personopplysningenes integritet
Sett inn beskrivelse. Et eksempel kan være tiltak for å overvåke endringer i opplysningene.
Tiltak for å sikre tilgjengeligheten til Personopplysningene
Sett inn beskrivelse. Et eksempel kan være backup-tiltak.
Tiltak for å sikre robusthet i behandlingssystemene og -tjenestene
Sett inn beskrivelse. Eksempler kan være tiltak for katastrofegjenoppretting og redundans.
Tiltak for fysisk sikring av lokaler hvor data behandles
Sett inn beskrivelse.
Testdata
Databehandler skal rette seg etter Behandlingsansvarliges gjeldende retningslinjer for bruk av testdata. Sett inn beskrivelse av ytterligere tiltak.
Andre datasikkerhetstiltak:
Sett inn beskrivelse, eller "ikke relevant".
VEDLEGG 3 GODKJENTE UNDERDATABEHANDLERE
Selskapets navn | Selskapets adresse | Behandlingssted | Beskrivelse av hvilken type Behandling |