Avtale om databehandling
Avtale om databehandling
FORMÅL OG REKKEFØLGE FOR FORRANG
Denne databehandlingsavtalen, sammen med vedleggene og ethvert dokument som uttrykkelig krysshenvises til («DPA»), anses som en del av tjenesteavtalen mellom Iron Mountain og kunden («avtalen»). Vilkårene og betingelsene i avtalen gjelder for, og styrer, rettighetene og forpliktelsene til partene i henhold til denne DPA-en.
Hvis noen vilkår og betingelser i denne DPA-en er i konflikt med vilkårene og betingelsene som er angitt i avtalen, skal vilkårene og betingelsene som er angitt i denne DPA-en ha forrang med hensyn til innholdet i denne DPA-en. Denne DPA-en erstatter alle tidligere databehandlingsavtaler eller databeskyttelses- eller personvernklausuler mellom partene i forhold til tjenestene som tilbys i henhold til avtalen.
GENERELLE VILKÅR
1. DEFINISJONER
Med mindre det er spesifikt definert her, skal alle begreper med store bokstaver ha samme betydning som de er gitt i avtalen.
«Behandlingsansvarlig» betyr den fysiske eller juridiske personen, offentlige myndighet, byrå eller annet organ som alene eller sammen med andre bestemmer formålene og metodene for behandling av personopplysninger;
«Kundes personopplysninger» betyr personopplysninger som tilhører eller innhentes av kunden eller deres
tilknyttede selskaper som behandles som del av tjenestene;
«Den registrerte» betyr en identifisert eller identifiserbar fysisk person;
«Databeskyttelseslovgivning» betyr alle gjeldende lover og forskrifter knyttet til behandling av personopplysninger som måtte eksistere i de relevante jurisdiksjonene, inkludert, men ikke begrenset til, EUs GDPR (EU-forordning 2016/679) (Personvernforordningen), UKs GDPR (GDPR som gjeldende som en del av britisk innenlandsk lov i kraft av paragraf 3 i EUs tilbaketrekkingslov av 2018 og som endret av Forordning for databeskyttelse, personvern og elektronisk kommunikasjon (Brexit-endringer osv.) 2019 (med endringer)), Databeskyttelsesloven 2018, FADP (den sveitsiske føderale loven om databeskyttelse) U.S. State Privacy Laws, LGPD (Brasils personvernlov), PIPL (Lov om beskyttelse av personlige opplysninger i Xxxxxxxxxxxxxxxx Xxxx) og enhver lovgivning og/eller forskrift som implementerer eller er laget i henhold til dem, eller som endrer, erstatter, gjeninnfører eller konsoliderer noen av dem, inkludert, der det er aktuelt, veiledning og retningslinjer for praksis utstedt av tilsynsmyndigheter;
«Personopplysninger» betyr all informasjon relatert til en registrert;
«Behandler» betyr en fysisk eller juridisk person, offentlig myndighet, etat eller annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige;
«Behandling» betyr enhver operasjon eller sett med operasjoner som utføres på personopplysninger eller på sett med personopplysninger, så som ved automatiserte metoder, som innhenting, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultasjon, bruk, offentliggjøring ved overføring, formidling eller på annen måte tilgjengeliggjøring, justering eller kombinasjon, begrensning, sletting eller ødeleggelse;
«Sikkerhetsbrudd» betyr enhver utilsiktet eller ulovlig skade, ødeleggelse, tap, endring eller uautorisert offentliggjøring av, eller tilgang til kundes personopplysninger som Iron Mountain, deres ansatte eller underleverandører behandler i løpet av leveringen av tjenestene;
«Tjenester» betyr alle tjenester levert av Iron Mountain eller deres tilknyttede selskaper til kunden eller deres tilknyttede selskaper i henhold til avtalen;
«U.S. State Privacy Laws» betyr alle amerikanske lover om personvern og databeskyttelse som gjelder for behandling av personopplysninger i henhold til avtalen, inkludert, uten begrensning, og som kan måtte være endret, avløst eller erstattet fra tid til annen: (1) California Consumer Privacy Act, som endret av California
27. juni 2023 1
Privacy Rights Act, og eventuelle implementeringsforskrifter knyttet til det samme (samlet, «CCPA»); (2) Colorado Privacy Act («CPA»), (3) Virginia Consumer Data Protection Act («CDPA») (4) Utah Consumer Privacy Act («UCPA»); og (5) Connecticut Data Privacy Act («CTDPA»).
2. OMFANG AV OG DETALJER FOR DATABEHANDLING
2.1 Denne DPA-en skal gjelde for kundes personopplysninger behandlet av Iron Mountain som behandler i forbindelse med levering av tjenestene i henhold til avtalen på vegne av kunden.
2.2 Iron Mountain kan innhente og behandle personopplysninger om kundens og dens tilknyttede selskapers ansatte som behandlingsansvarlig for legitime forretningsformål, for eksempel kontrakt- og kundeforholdsstyring, og i samsvar med databeskyttelseslovgivningen og Iron Mountains personvernmerknad som er tilgjengelig på Iron Mountains nettsteder og andre gjeldende retningslinjer for personvern. Iron Mountains forpliktelser fastsatt i denne DPA-en skal ikke gjelde for behandlingen av slike personopplysninger.
2.3 Emnet for behandlingen av personopplysninger er ytelse av tjenestene. Kundens og Iron Mountains rettigheter og forpliktelser er som angitt i denne DPA-en. Vedlegg 1 i denne DPA fastsetter arten, varigheten og formålet med behandlingen, typene av kunders personopplysninger Iron Mountain behandler og kategoriene av registrerte som det behandles personopplysninger om.
2.4 Når Iron Mountain behandler kunders personopplysninger under levering av tjenestene, vil Iron Mountain:
2.4.1 Behandle kundens personopplysninger kun i samsvar med dokumenterte instruksjoner fra kunden. Hvis Iron Mountain er pålagt å behandle kundens personopplysninger for andre formål i henhold til lovgivning som Iron Mountain er underlagt, vil Iron Mountain informere kunden om dette kravet først, med mindre slik(e) lov(er) forbyr dette av på grunnlag av viktige offentlige interesser; og
2.4.2 Til enhver tid overholde gjeldende databeskyttelseslovgivning og varsle kunden umiddelbart hvis, etter Iron Mountains mening, en instruks for behandling av kundens personopplysninger gitt av kunden krenker gjeldende databeskyttelseslovgivning.
2.5 Kundens instruksjoner vil være bindende for Iron Mountain med mindre fullføringen av instruksjonene krever levering av en tjeneste i henhold til avtalen, og kunden ikke samtykker i å betale tjenestegebyrene for slike tjenester.
2.6 Iron Mountain skal sørge for at personell som kreves for å få tilgang til kundens personopplysninger er underlagt bindende taushetsplikt med hensyn til slike kunders personopplysninger og iverksette rimelige tiltak for å sikre påliteligheten og kompetansen til Iron Mountains personell som har tilgang til kundens personopplysninger.
3. GI KUNDESTØTTE
3.1 Iron Mountain skal gi støtte til kunden, og skal alltid ta hensyn til behandlingens art:
3.1.1 ved passende tekniske og organisatoriske tiltak og i den grad det er mulig, for å oppfylle kundens forpliktelser til å svare på forespørsler fra registrerte som utøver sine rettigheter;
3.1.2 for å sikre overholdelse av kundens forpliktelser (for eksempel behandlingssikkerhet, varsling av brudd på personopplysninger til tilsynsmyndigheten, melding om brudd på personopplysninger til den registrerte, vurdering av innvirkning på databeskyttelse og forhåndskonsultasjon med tilsynsmyndigheter der behandlingen vil resultere i en høy risiko i fravær av tiltak tatt av den behandlingsansvarlige for å redusere risikoen), med hensyn til informasjonen som er tilgjengelig for Iron Mountain; og
3.1.3 ved å gjøre tilgjengelig for kunden all informasjon som kunden med rimelighet ber om for å la kunden demonstrere at forpliktelsene ved valg og utnevnelse av Iron Mountain er oppfylt.
4. SIKKERHETSTILTAK
4.1 Under hensyntaken til vanlige driftsprosedyrer, kostnadene ved implementering og arten, omfanget, konteksten og formålet med behandling, skal Iron Mountain implementere hensiktsmessige og rimelige tekniske og organisatoriske tiltak for å beskytte konfidensialiteten, integriteten, og tilgjengeligheten av kundens personopplysninger og for å beskytte kundens personopplysninger mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse, skade, endring, eller offentliggjøring. Iron Mountains sikkerhetsstandarder er fastsatt i vedlegg 2 til denne DPA.
4.2 Det er kundens eget ansvar å vurdere om disse tekniske og organisatoriske tiltakene oppfyller kundens krav.
5. ETTERLEVELSE AV LOVER
Kunden og deres tilknyttede selskaper skal: (i) behandle kundens personopplysninger i samsvar med databeskyttelseslovgivningen; (ii) være autorisert til å gi skriftlige instruksjoner til Iron Mountain om
behandling av kundens personopplysninger i forbindelse med tjenestene (inkludert på vegne av en tredjepartsenhet som er behandlingsansvarlig for kundens personopplysninger); og (iii) til enhver tid beholde kontrollen og myndigheten over kundens personopplysninger i forbindelse med behandlingen.
6. UNDERBEHANDLING
6.1 Kunden erkjenner og samtykker i at Iron Mountain kan engasjere sitt morselskap, sine tilknyttede selskaper og andre tredjeparts underbehandlere (inkludert tredjeparts underbehandlere engasjert av Iron Mountains tilknyttede selskaper eller morselskap) med det formål å behandle kundens personopplysninger under denne DPA-en underlagt klausul 6.2 nedenfor.
6.2 En liste over underbehandlere som er godkjent av kunden på datoen for denne DPA-en, er tilgjengelig her1. Iron Mountain kan når som helst erstatte eller utnevne en ny underbehandler, forutsatt at kunden gis femten (15) dagers skriftlig forhåndsvarsel, og kunden ikke protesterer mot slike endringer på beviselig grunnlag knyttet til databeskyttelse innen denne tidsrammen. For å motta disse e-postvarslene skal kunden abonnere på og administrere alle eksisterende abonnement på Iron Mountains varslingstjeneste via denne nettsiden2.
6.3 Hvis kunden ikke abonnerer på denne varslingstjenesten, skal Iron Mountain ikke være ansvarlig for manglende underbehandlervarsel, og alle slike avtaler skal anses å være autorisert av kunden. Hvis kunden protesterer skriftlig på påviselig grunnlag knyttet til databeskyttelse til utnevnelsen av en erstatning eller ny underbehandler innen varselsfristen på femten (15) dager, skal Iron Mountain gjøre rimelige anstrengelser for å gjøre en endring i tjenestene tilgjengelig for kunden eller anbefale en endring i kundens konfigurasjon eller bruk av tjenestene, i hvert tilfelle for å unngå behandling av kundens personopplysninger av underbehandleren det protesteres mot for kundens vurdering og godkjenning. Hvis kunden ikke godkjenner slike endringer foreslått av Iron Mountain innen femten (15) dager, kan Iron Mountain, ved å gi skriftlig varsel til kunden, umiddelbart avslutte tjenesten eller deler av tjenesten som ikke kan leveres av Iron Mountain uten bruk av underbehandleren det protesteres mot. Slik oppsigelse skal ikke berøre partenes påløpte rettigheter og ansvar, forutsatt at ingen oppsigelsesgebyrer, utgifter eller annen kompensasjon skal betales av Iron Mountain eller Iron Mountains tilknyttede selskaper i forbindelse med slik oppsigelse, og kunden skal umiddelbart ta i besittelse de aktiva de leverte til Iron Mountain som en del av de oppsagte tjenestene, underlagt vilkårene i avtalen og for kundens egen regning.
6.4 Iron Mountain skal sørge for at enhver kontrakt med underbehandlere etter denne DPA-en inneholder bestemmelser som i alle vesentlige henseender er de samme som bestemmelsene i denne DPA-en og at de er som påkrevd av gjeldende databeskyttelseslovgivning. Når en Iron Mountain-underbehandler forårsaker at Iron Mountain bryter sine forpliktelser i henhold til denne DPA-en eller gjeldende databeskyttelseslovgivning, vil Iron Mountain forbli fullt ansvarlig overfor kunden for oppfyllelsen av Iron Mountains forpliktelser i henhold til disse vilkårene.
7. SIKKERHETSBRUDD
7.1 I tilfelle et mistenkt sikkerhetsbrudd, vil Iron Mountain:
7.1.1 iverksette tiltak umiddelbart for å undersøke det mistenkte sikkerhetsbruddet og for å identifisere, forhindre og redusere effektene av det mistenkte sikkerhetsbruddet og for å rette opp sikkerhetsbruddet;
7.1.2 varsle kunden uten unødig forsinkelse når det er rimelig sikkert at et sikkerhetsbrudd har skjedd og gi kunden en detaljert beskrivelse av sikkerhetsbruddet, inkludert informasjon som er rimelig nødvendig for at kunden skal kunne oppfylle rapporteringsforpliktelser i henhold til databeskyttelseslovgivningen.
7.2 Kunden samtykker i at Iron Mountain kan oppgi informasjonen i faser i henhold til klausul 7.1.2. I slike tilfeller når Iron Mountain ikke har tilgang til eller ikke kan gi visse opplysninger som er oppført i klausul
7.1.2 til kunden, vil Iron Mountain informere kunden om dette, og Iron Mountain skal ikke ha noe ansvar for å ikke oppgi slik informasjon.
8. REVISJONER
Iron Mountain vil tillate kunden og deres respektive revisorer eller autoriserte agenter, ved å gi minst ti
(10) virkedagers varsel til Iron Mountain, å gjennomføre revisjoner eller inspeksjoner i løpet av avtaleperioden, forutsatt at Iron Mountain ikke er pålagt å gi eller tillate tilgang til informasjon om: (i) andre kunder av Iron Mountain; (ii) noen av Iron Mountains ikke-offentlige eksterne rapporter; og (iii) eventuelle interne rapporter utarbeidet av Iron Mountains interne revisjons- eller samsvarsfunksjon.
1 xxxxx://xxx.xxxxxxxxxxxx.xxx/-/xxxxx/xxxxx/Xxxxxxx/Xxxxx/XXXXXX-Xxxxxxxx-Xxxx-Xxxxxxxxxxxxx-Xxxx.xxxx?xxxxx
2xxxxx://xxxxxxxxxx.xxxxxxxxxx.xxx/x0/xxx?xxxxxxx-0X xxxxx.xxxxxxxxxxxx.xxx_LegalSubprocessorSubscription&d=DwMFaQ&
c=jxhwBfk-KSV6FFIot0PGng&r=JTlzF2zjI-gYEq5GmWmZcbgd--hqyVuIeEIP9Eu7Nvw&m=NB4wIISphmYGgqvrtYNU-28S8Aa U6-YibdZ3Yg_2F68&s=xNzeKIzw6XbGZ_loyLbqEap2144HRDTflVtNiXKr6M4&e=
Formålet med en revisjon eller inspeksjon i henhold til denne klausulen skal være begrenset til å verifisere at Iron Mountain behandler kundens personopplysninger i samsvar med sine forpliktelser i henhold til denne DPA-en. Bortsett fra der et sikkerhetsbrudd har skjedd, skal ikke mer enn én slik revisjon utføres i en periode på tolv (12) måneder.
9. INTERNASJONALE DATAOVERFØRINGER (BEGRENSEDE OVERFØRINGER)
9.1 I den grad det er aktuelt, samtykker kunden herved til og autoriserer internasjonale overføringer av kundes personopplysninger til enheter som angitt i avsnitt 6.2 og i samsvar med vedlegg 3 for levering av tjenestene, og kunden og Iron Mountain samtykker i:
9.1.1 å overholde gjeldende databeskyttelseslovgivning med hensyn til slike overføringer;
9.1.2 at de har, tatt i betraktning, uten begrensning, i) kategoriene av kundens personopplysninger, ii) hvilke land som eventuelt ikke har nasjonale lover som gir et beskyttelsesnivå for personopplysninger som kan sammenlignes med EU/Storbritannias lover («tredjeland») i omfang, iii) de relevante tekniske og organisatoriske tiltakene som er fastsatt i avsnitt 7 og iv) de relevante partene som deltar i behandlingen av slike kundes personopplysninger, utført en vurdering av egnetheten til den relevante overføringsmekanismen som er vedtatt herunder der loven krever det, og har fastslått at en slik overføringsmekanisme er hensiktsmessig utformet for å sikre at personopplysninger som overføres i samsvar med denne DPA-en, gis et beskyttelsesnivå i destinasjonslandet som i hovedsak tilsvarer det som er garantert i henhold til databeskyttelseslovgivningen.
10. ANSVAR OG SKADESLØSHOLDELSE
10.1 Uansett om det motsatte er sagt i avtalen, hvis et sikkerhetsbrudd er direkte forårsaket av Iron Mountains brudd på sine forpliktelser etter denne DPA-en, skal Iron Mountain refundere kunden i den grad det er tillatt i henhold til gjeldende lov for direkte, verifiserbare, nødvendige og rimelig påløpte tredjepartskostnader for kunden for (a) etterforskning av slikt sikkerhetsbrudd, (b) utarbeidelse og utsendelse av meldinger til slike registrerte og tilsynsmyndigheter som påkrevd av databeskyttelseslovgivningen, (c) levering av kredittovervåkningstjenester til slike enkeltpersoner som påkrevd av loven i en periode som ikke overstiger tolv (12) måneder, og (d) betaling av delen av regulatoriske bøter, straffer, eller sanksjoner pålagt av en tilsynsmyndighet som tilsynsmyndigheten fastslår at Iron Mountain er direkte ansvarlig for.
-10.2 Hvis en registrert fremsetter et krav mot en av eller begge parter for påstått krenkelse av databeskyttelseslovgivningen («krav fra den registrerte») der dette er tillatt, skal hver part kontrollere sitt eget forsvar av slikt krav (eller deres del av forsvaret) og forbli eneansvarlig for sine egne kostnader, utgifter og forpliktelser knyttet til dette, inkludert advokatsalærer eller eventuelle beløp tilkjent mot dem av en domstol eller fastsatt i forlik, forutsatt at når hver part er ansvarlig for en del eller en av partene er ansvarlig for hele beløpet av skadene som en registrert lider for samme hendelse eller serie av hendelser, og den registrerte har fått full kompensasjon fra bare én part («kompenserende part»), da skal den kompenserende part ha rett til å kreve tilbake fra den andre parten den del av kompensasjonen som tilsvarer skaden forårsaket av den andre parten. Den kompenserende parten kan bare fremme sitt krav mot den andre parten innen 12 måneder etter hendelsen, i den grad det er tillatt etter gjeldende lov.
10.3 I den grad det er tillatt etter gjeldende lover, styrer ansvarsbegrensningene og eventuelle utelukkelser av skader som er angitt i avtalen det samlede ansvaret for alle kundekrav som oppstår fra eller er relatert til denne DPA-en, og/eller avtalen mot Iron Mountain. Disse ansvarsbegrensningene og utelukkelsene av skader gjelder for alle krav, enten de oppstår i henhold til kontrakt, erstatningsansvar utenfor kontrakt eller andre ansvarsprinsipper, og enhver henvisning til ansvaret til Iron Mountain betyr det samlede ansvaret til Iron Mountain og alle Iron Mountain-tilknyttede selskaper sammen for krav fra kunden og alle andre av kundens tilknyttede selskaper. I den grad det kreves av gjeldende lover, er dette avsnittet ikke ment å (i) endre eller begrense partenes ansvar for krav fra registrerte som er fremsatt mot en part der det foreligger solidarisk ansvar, eller (ii) begrense en av partenes ansvar for å betale straffer pålagt en slik part av en tilsynsmyndighet.
10.4 Klausulene 10.1 til 10.3 angir hver parts eneste og eksklusive rettsmiddel og hver parts eneste ansvar for tap, skade, utgift eller ansvar i forbindelse med denne DPA-en.
11. FORESPØRSLER FRA OFFENTLIGE MYNDIGHETER
11.1 I den grad det er lovlig og underlagt klausulene 11.2 til 11.5 nedenfor, forplikter Iron Mountain seg til å varsle kunden hvis selskapet:
11.1.1 mottar en juridisk bindende forespørsel fra en offentlig myndighet, inkludert rettsmyndigheter, i henhold til lovene i destinasjonslandet for offentliggjøring av kundens personopplysninger overført i henhold til avtalen; eller
11.1.2 blir oppmerksom på eventuell direkte tilgang fra offentlige myndigheter til kundens personopplysninger overført i henhold til avtalen i samsvar med lovene i destinasjonslandet .
11.2 Hvis Iron Mountain forbys å varsle kunden i henhold til lovene i destinasjonslandet, forplikter Iron Mountain seg til å gjøre sitt beste for å oppnå et unntak fra forbudet, med sikte på å meddele så mye informasjon som mulig, så snart som mulig.
11.3 Iron Mountain forplikter seg til å gjennomgå lovligheten av forespørselen om offentliggjøring, spesielt om den den anmodende offentlige myndighet har hjemmel til den, og å utfordre forespørselen hvis den konkluderer med at det er rimelig grunn til å vurdere at forespørselen er ulovlig i henhold til lovene i destinasjonslandet. De skal ikke offentliggjøre den forespurte kundens personopplysninger før det er nødvendig i henhold til gjeldende prosedyreregler.
11.4 Iron Mountain forplikter seg til å gi den minste mengden informasjon som er tillatt når de svarer på en forespørsel om offentliggjøring, basert på en rimelig tolkning av forespørselen.
11.5 Iron Mountain forplikter seg til å bevare informasjonen i henhold til denne klausulen så lenge avtalen varer og gjøre den tilgjengelig for den kompetente tilsynsmyndigheten på forespørsel.
12. DIVERSE
12.1 Med forbehold om arten av tjenestene som leveres av Iron Mountain, skal Iron Mountain, ved oppsigelse/utløp av avtalen, basert på kundens spesifikke instruksjoner og underlagt vilkårene i avtalen, enten slette/ødelegge eller returnere til kunden eller til en tredjepart utpekt av kunden alle kundens personopplysninger. Eventuelle kunders personopplysninger som finnes i kundens aktiva lagret av Iron Mountain på vegne av kunden vil bli returnert til kunden i samsvar med en avtalt avslutnings- eller overgangsplan, og underlagt avtalte kostnader, som fastsatt i avtalen eller annet gjeldende kontraktsdokument. I alle andre tilfeller hvis avtalen ikke nevner slettingen/ødeleggelsen eller returen av kundens personopplysninger og kunden ikke gir noen instruksjoner om slettingen/ødeleggelsen eller returen av kundens personopplysninger innen femten (15) dager etter oppsigelsen/utløpet av avtalen, skal Iron Mountain sende et skriftlig varsel til kunden som ber om å motta innen 15 (femten) dager spesifikke instruksjoner om å slette/ødelegge eller returnere kundens personopplysninger og informere kunden om alle gjeldende sikre destruksjoner eller andre gebyrer som skal betales av kunden. Hvis kunden unnlater å gi skriftlige instruksjoner innen en slik femten (15) dagers tidsramme og betale de aktuelle gebyrene innen samme periode, autoriserer kunden herved Iron Mountain til å viderebehandle, slette, ødelegge alle kundens personopplysninger etter oppsigelse av avtalen etter Iron Mountains valg og for kundens regning.
12.2 Uansett klausul 12.1, vil Iron Mountain ikke bryte sine forpliktelser med hensyn til sletting av kundens personopplysninger som oppbevares på sikkerhetskopibånd så lenge slike sikkerhetskopibånd overstyres (og dermed kundens personopplysninger slettes) i normal forretningsdrift.
12.3 Med unntak av standardkontraktsklausulene (som definert i vedlegg 3 til denne DPA-en), er denne DPA-en og enhver tvist, krav eller kontrovers som oppstår som følge av eller relatert til denne DPA-en, eller bruddet, oppsigelsen eller gyldigheten derav, underlagt lovvalgbestemmelsene i avtalen; og enhver tvist, kontrovers eller krav som oppstår fra eller i forbindelse med denne DPA-en vil primært søkes løst gjennom en tvisteløsningsprosess som er definert i avtalen.
12.4 Hver part kan varsle den andre parten skriftlig fra tid til annen om eventuelle endringer i denne DPA-en som parten med rimelighet anser som nødvendig for å imøtekomme kravene i databeskyttelseslovgivningen eller enhver beslutning fra en tilsynsmyndighet eller kompetent domstol. Slike endringer skal bare tre i kraft hvis og i den grad det er angitt i en gjensidig avtalt endring av denne DPA som er effektuert av begge parter, unntatt når den ene parten informerer den andre parten om eventuelle nye juridiske krav og sender en slik endring som bare inkluderer de nødvendige endringene, og som kan aksepteres uten formelt å bli enige om dem, dvs. som ved å ikke fremme noen innvendinger innen en viss frist, anses som gjensidig avtalte endringer i denne DPA.
VEDLEGG 1
Detaljer om behandling og dataoverføring (hvis aktuelt)
A. LISTE OVER PARTER:
Partene i denne DPA-en og rollene til dataeksportøren og dataimportøren er angitt i avtalen og vedlegg 3 (internasjonale dataoverføringer), hvis aktuelt.
B. BESKRIVELSE AV BEHANDLING/OVERFØRING (hvis aktuelt):
Kategorier av registrerte hvis personopplysninger behandles/overføres:
Avhengig av arten av Iron Mountains tjenester og kundens virksomhet, kan kunden sende inn personopplysninger som tilhører ulike kategorier av registrerte til Iron Mountain, og omfanget av dette bestemmes og kontrolleres av kunden etter eget skjønn. Som sådan, kan kategorier av registrerte inkludere: tidligere og nåværende ansatte; tidligere og nåværende kontraherte eller konsulenter; byråleverte kontraherte eller konsulenter og eksterne utpekte; jobbsøkere og kandidater; studenter og frivillige; enkeltpersoner identifisert av ansatte eller pensjonister som begunstigede, ektefelle, husstands-/sivil partner, avhengige og nødkontakter; pensjonister; tidligere og nåværende styremedlemmer og ledere; aksjonærer; obligasjonsinnehavere; kontoinnehavere; sluttbrukere/forbrukere (voksne, barn); pasienter (voksne, barn); forbipasserende (overvåkningskameraer); og brukere av nettstedet.
Kategorier av personopplysninger som behandles/overføres:
Avhengig av arten av Iron Mountains tjenester og kundens virksomhet, kan kunden sende inn personopplysninger som tilhører ulike kategorier av personopplysninger til Iron Mountain, og omfang av dette bestemmes og kontrolleres av kunden etter eget skjønn. Kategorier kan derfor omfatte personopplysninger knyttet til kunden og/eller kundens egne kunder, ansatte osv.
Sensitive opplysninger overført (hvis aktuelt):
Avhengig av arten av Iron Mountains tjenester og kundens virksomhet, kan kunden sende inn sensitive opplysninger til Iron Mountain, og omfanget av dette bestemmes og kontrolleres av kunden etter eget skjønn.
Hvis aktuelt, hyppigheten av overføringen (f.eks. om opplysningene overføres én gang eller kontinuerlig):
Overføringen skjer kontinuerlig.
Behandlingens art:
Innhenting, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultasjon, bruk, offentliggjøring ved overføring, formidling eller på annen måte tilgjengeliggjøring, justering eller kombinasjon, begrensning, sletting eller ødeleggelse.
Formål med databehandling/-overføring (hvis aktuelt) og videre behandling:
Levering av tjenester som fastsatt i avtalen.
Oppbevaring av opplysninger:
Personopplysningene vil bli oppbevart av Iron Mountain så lenge tjenestene tilbys kunden og inntil slikt tidspunkt da personopplysningene blir returnert eller ødelagt som bestemt i samsvar med klausul 12.1 i denne DPA-en.
Hvis aktuelt, for overføringer til (under)-behandlere, også spesifisere emne, art og varighet av behandlingen:
Under hele avtalen med kunden tilbyr underbehandlere blant annet informasjonsteknologi (IT) og konsulenttjenester, inkludert global IT-støtte, hendelsesrapportering og administrasjonstjenester.
C. KOMPETENT TILSYNSMYNDIGHET
Som angitt i vedlegg 3 (internasjonale dataoverføringer), hvis aktuelt.
VEDLEGG 2
TEKNISKE OG ORGANISATORISKE TILTAK («SIKKERHETSTILTAK»)
1. INFORMASJONSSIKKERHETSPROGRAM OG RETNINGSLINJER
Iron Mountain skal opprettholde et informasjonssikkerhetsprogram med egnede fysiske, tekniske og administrative kontroller som er utformet for å oppfylle bransjestandarder. Informasjonssikkerhetsprogrammet skal omfatte:
1.1 Dokumentasjon, intern publisering og kommunikasjon av Iron Mountains retningslinjer for informasjonssikkerhet, standarder og prosedyrer;
1.2. Dokumentert, tydelig tildeling av ansvar og myndighet for etablering og vedlikehold av informasjonssikkerhetsprogrammet;
1.3 Regelmessig testing av nøkkelkontroller, systemer og prosedyrer i informasjonssikkerhetsprogrammet;
1.4 Administrative, tekniske og driftsmessige tiltak som er utformet for å beskytte alle kundens personopplysninger ved hjelp av praksis, prosedyrer og prosesser beskrevet i dette sikkerhetsvedlegget, i den grad de er relevante og gjeldende for formatet der kundens personopplysninger oppbevares.
2. RISIKOVURDERING
Iron Mountain skal opprettholde et risikovurderingsprogram for informasjonssikkerhet som er utformet for å identifisere og vurdere rimelig forutsigbare interne og eksterne risikoer og sårbarheter som kan påvirke sikkerheten, konfidensialiteten og/eller integriteten til kundens personopplysninger. Iron Mountain skal evaluere og oppdatere, der det er nødvendig, rimelig og hensiktsmessig, effektiviteten av det nåværende informasjonssikkerhetsprogrammet for å begrense slike risikoer, på årlig basis, eller når det er en vesentlig endring i risiko eller sårbarheter for kundens personopplysninger.
3. ADMINISTRASJON AV INFORMASJONSBEHANDLINGSRESSURSER OG FYSISKE MEDIER
3.1 Administrasjon av informasjonsbehandlingsressurser . Iron Mountain opprettholder et inventarstyringsprogram for aktiva for å administrere de fysiske, tekniske og administrative kontrollene angående Iron Mountains informasjonsbehandlingsressurser (som datamaskiner, servere, lagringsenheter, kommunikasjonsnettverk, personlige datamaskiner, bærbare datamaskiner og eksterne enheter).
Inventarstyringsprogrammet for aktiva inkluderer følgende:
3.1.1 Dokumentert tildeling av eierskap til Iron Mountain-personell for å sikre riktig klassifisering av informasjon, bestemmelse av tilgangsbegrensninger og gjennomgang av tilgangskontroller.
3.1.2 Sanering av aktiva før de avhendes i samsvar med NIST 800-88.
3.1.3 Krav til ledelsesautorisasjon før fjerning av utstyr eller programvare som ikke er tildelt en bestemt person fra Iron Mountains lokaler.
3.2 Kontroller. Iron Mountain-kontroller inkluderer følgende:
3.2.1 Bruksprosedyrer og tekniske kontroller som er utformet for å beskytte dokumenter, datamedier, inndata/utdata/sikkerhetskopieringsdata og systemdokumentasjon mot uautorisert offentliggjøring, endring og ødeleggelse.
3.2.2 Prosedyrer for sikker avhending av elektroniske eller fysiske medier som inneholder kundens personopplysninger.
3.2.3 En etablert prosess for å spore alle kundens fysiske medier fra første Iron Mountain-forvaring til permanent tilbaketrekking eller ødeleggelse.
4. SIKKERHETSTILTAK FOR ARBEIDSSTYRKEN
4.1 Konfidensialitet. Iron Mountain skal med rimelighet kreve at alle Iron Mountain-ansatte, inkludert midlertidige ansatte og kontraktsansatte, samtykker i å opprettholde konfidensialiteten til kunders personopplysninger og overholder Iron Mountains interne krav til informasjonssikkerhet og akseptabel bruk.
4.2 Retningslinjer for bakgrunnsundersøkelse. Iron Mountain har retningslinjer for bakgrunnsundersøkelser og retningslinjer for narkotikatesting (kun USA) som gjelder for sine ansatte. Iron Mountain vil fortsette å opprettholde slike retningslinjer for avtaleperioden. Kravene til retningslinjene inkluderer, men er ikke begrenset til, narkotikascreening (kun USA), verifisering av personellets identitet, søk i strafferegister, ansettelsesverifiseringer, søk i overvåkningslister for myndigheter/terrorister, samt utdanningsverifiseringer for visse ansatte og førerkort- og bruddhistorikk for sjåførkandidater og eksisterende sjåfører. Når nedsettende informasjon identifiseres på en bakgrunnssjekk, utfører Iron Mountain en individualisert vurdering, i samsvar med gjeldende arbeidslover og beste praksis.
4.3 Arbeid med underleverandører. Iron Mountain skal kreve at enhver underleverandør som utfører tjenester i henhold til avtalen overholder lignende begrensninger som de som er angitt i dette avsnittet med hensyn til eventuelle underleverandørpersonell som skal utføre tjenester i henhold til avtalen som involverer behandling av kunders personopplysninger.
4.4 Opplæring i sikkerhetsbevissthet. Minst én gang i året skal Iron Mountain gjennomføre generell opplæring i sikkerhetsbevissthet og spesifikk rolleanvendelig sikkerhetsopplæring for alle Iron Mountain-ansatte med tilgang til kunders personopplysninger. Iron Mountain skal føre registre som viser navnene på slike Iron Mountain-ansatte som er til stede og datoen for hver sikkerhetsopplæring. Iron Mountain skal rutinemessig gjennomgå og oppdatere sitt opplæringsprogram for sikkerhetsbevissthet.
4.5 Fjerning av Iron Mountain-personell. Iron Mountain opprettholder en disiplinærprosess som gjelder for Iron Mountain-ansatte som bryter sikkerhetskravene heri.
4.6 Avslutning av tilgang ved oppsigelse/omplassering. Ved oppsigelse eller overføring til en rolle som ikke krever tilgang til kunders personopplysninger, skal en Iron Mountain-ansatts tilgang til kunders personopplysninger tilbakekalles umiddelbart.
5. FYSISK OG MILJØMESSIG SIKKERHET
5.1 Fysiske sikkerhetskontroller. Iron Mountains anlegg bruker fysiske kontroller som med rimelighet begrenser tilgangen til kunders personopplysninger, inkludert, i den utstrekning Iron Mountain anser det hensiktsmessig, adgangskontrollprotokoller, fysiske barrierer som låste fasiliteter og områder, adgangsskilt for ansatte, besøkslogger, adgangsskilt for besøkende, kortlesere, videoovervåkningskameraer og alarmer for innbruddsdeteksjon. Alle besøkende må logge inn og bli eskortert til enhver tid.
5.2 Støttende nytteverktøy. Iron Mountain skal iverksette tiltak som er utformet for å beskytte sine anlegg som inneholder kunders personopplysninger og systemer mot svikt i strøm, telekommunikasjon, vannforsyning, kloakk, oppvarming, ventilasjon og klimaanlegg, etter behov.
5.3 Sikkerhet for overføringssystem. Iron Mountain skal iverksette tiltak for å beskytte den fysiske sikkerheten til nettverksinfrastrukturen og telekommunikasjonssystemene mot overføringsavlytting og skade.
5.4 Eksternt utstyr. I tilfelle Iron Mountain tjenesteutsetter funksjoner som krever bruk av eksternt utstyr til støtte for tjenester, skal alt eksternt utstyr som lagrer kunders personopplysninger beskyttes av sikkerhet tilsvarende det som brukes til utstyr på stedet som brukes til samme formål.
5.5 Fysisk tilgang til ressurser for behandling av opplysninger. Iron Mountain skal oppbevare registre over Iron Mountain-ansatte som er autorisert til å ha fysisk tilgang til Iron Mountain-kontrollerte datamiljø(er) som brukes av Iron Mountain til å levere tjenester i ett år, og på forespørsel fra kunden knyttet til et sikkerhetsbrudd, og underlagt Iron Mountains sikkerhetsretningslinjer, gi kunden tilgang for å se kontrollerbare registre over slike Iron Mountain-ansatte.
5.6 Fysisk tilgang begrenset. Iron Mountain skal begrense fysisk tilgang til Iron Mountain-kontrollerte anlegg som behandler kunders personopplysninger til de Iron Mountain-ansatte og autoriserte enkeltpersoner som har et forretningsbehov for slik tilgang. Iron Mountain skal ha en godkjenningsprosess for autorisering og sporing av forespørsler om fysisk tilgang til slike anlegg.
5.7 Reparasjoner og modifikasjoner. Iron Mountain skal registrere alle sikkerhetsrelaterte reparasjoner og modifikasjoner på alle fysiske komponenter, inkludert maskinvare, vegger, dører og låser på sikre områder i anlegg der kunders personopplysninger lagres.
5.8 Registre. Opprettholde et register over bevegelsene til maskinvare og elektroniske medier og enhver person som er ansvarlig for dette.
6. ADMINISTRASJON AV KOMMUNIKASJON OG INFORMASJONSBEHANDLINGSOPERASJONER
6.1 Konfigurasjonsstandarder for enhet. Iron Mountain skal opprette, implementere og vedlikeholde systemadministrasjonsprosedyrer som oppfyller bransjestandarder, inkludert, men ikke begrenset til, systemherding, system- og enhetspatching (operativsystem og applikasjoner) og riktig antivirusinstallasjon og -oppdateringer.
6.2 Endringskontroll for informasjonssystemer. Iron Mountain skal ha en intern formell prosess for endringskontroll på plass for informasjonsbehandling og kommunikasjonsnettverkssystemer, og Iron Mountains endringsforespørsler skal dokumenteres, testes og godkjennes før implementering av nye informasjonsbehandling- eller nettverkskommunikasjonsfunksjoner, systemoppdateringer eller endringer i eksisterende systemer.
6.3 Segregering av plikter. Iron Mountain skal segregere plikter og ansvarsområder slik at ingen person alene har mulighet til å endre informasjonsbehandlingssystemer som har tilgang til kunders personopplysninger.
6.4 Separasjon av utviklings- og produksjonsmiljøer. Iron Mountains utviklings-, test- og produksjonsmiljøer for informasjonsbehandlingssystemer må skilles logisk eller fysisk.
6.5 Administrasjon av teknisk arkitektur. Iron Mountain skal etablere en konfigurasjonsstyringsprosess for å definere, administrere og kontrollere komponentene i informasjonsbehandlingssystemet som brukes til å levere tjenestene og den tekniske infrastrukturen til slike komponenter.
6.6 Innbruddsdeteksjon. Iron Mountain skal kontinuerlig overvåke datasystemer og prosesser for forsøk på eller faktiske sikkerhetsinntrenginger eller brudd og varsle kunden om uautorisert tilgang til kundens personopplysninger.
6.7 Nettverkssikkerhet. Iron Mountain skal sørge for at følgende er på plass:
6.7.1 Når det gjelder Iron Mountain-vertsmiljø(er) som brukes til å levere tjenestene, varslingshendelser for nettverksinntrengingsdeteksjonssystem («IDS») og innbruddsforebyggingssensorer («IPS») som logges, med daglige rapporter utstedt for gjennomgang (samlet kjent som «IDS/IPS»);
6.7.2 Når det gjelder Iron Mountain-vertsmiljø(er) som brukes til å levere tjenestene, IDS/IPS som oppdateres ikke sjeldnere enn ukentlig, men så snart som rimelig mulig etter at oppdateringene er mottatt, og rask kjøring av de nyeste trusselsignaturene eller -reglene;
6.7.3 Høyrisikoporter på eksternt vendte systemer er ikke tilgjengelige fra Internett;
6.7.4 Iron Mountains nettverkstilkoblinger logges og registreres i loggfiler;
6.7.5 Distribusjon av brannmur(er) utformet for å beskytte og inspisere all innkommende og utgående nettverkstjenestetrafikk mellom definerte nettverkspunkter;
6.7.6 Strengere retningslinjer for å definere innkommende og utgående nettverksporter eller tjenestetrafikk for alle Iron Mountain-eide eller -administrerte systemer som er dokumentert og autorisert i informasjonssikkerhetsprogrammet;
6.7.7 Nettverks- og diagnoseporter som er forsvarlig sikret; og
6.7.8 Retningslinjer, prosedyrer og tekniske kontroller som er utformet for å forhindre, oppdage og fjerne ondsinnet kode eller kjente angrep på Iron Mountains informasjonssystemer.
6.8 Kryptert autentiseringslegitimasjon. Iron Mountain skal sørge for at autentiseringslegitimasjon som overføres over Iron Mountains nettverksenheter krypteres i transitt.
6.9 Administrasjon av sikkert nettverk. Iron Mountain-nettverk skal administreres og kontrolleres på en rimelig måte for å beskytte mot kjente trusler, og for å opprettholde sikkerheten for alle Iron Mountain-administrerte applikasjoner og data på nettverket eller i transitt over nettverket. Tekniske kontroller og sikre kommunikasjonsprotokoller skal implementeres for å forby ubegrensede tilkoblinger til upålitelige nettverk eller offentlig tilgjengelige servere.
6.10 Virusbeskyttelse. Iron Mountain skal implementere og opprettholde et antivirusprogram, inkludert beskyttelse mot skadelig programvare, oppdaterte signaturfiler eller alternativ beskyttelse mot nye trusler, patcher og virusdefinisjoner, for Iron Mountain-administrerte servere og arbeidsstasjoner som brukes til å oppbevare eller få tilgang til kunders personopplysninger.
6.11 Nettsted – Klientkryptering. Iron Mountain skal sørge for at Secure Sockets Layering (SSL) for hvert av sine nettsteder er aktivert og inneholder et gyldig SSL-sertifikat som krever konfidensialitets-, autentiserings- eller autorisasjonskontroll.
6.12 Sikkerhetskopiering av informasjon. Iron Mountain skal opprette passende sikkerhetskopier av systemfiler. I tillegg skal Iron Mountain utvikle og opprettholde prosedyrer for gjenoppretting etter katastrofer. Se avsnittet «Katastrofegjenoppretting» nedenfor for mer informasjon.
6.13 Elektronisk informasjon i transitt. Iron Mountain skal bruke kryptering med en bransjestandardalgoritme med en minimum nøkkellengde på 128 bit for å beskytte kundens personopplysninger som overføres over offentlige nettverk når de kommer fra Iron Mountains vertsbaserte infrastruktur.
6.14 Kryptografiske kontroller. Iron Mountain skal følge dokumenterte retningslinjer for bruk av kryptografiske kontroller. Iron Mountains kryptografiske kontroller skal:
6.14.1 Være utformet for å beskytte konfidensialiteten og integriteten til kunders personopplysninger som behandles, overføres eller lagres av Iron Mountain i alle delte nettverksmiljøer i samsvar med vilkårene i avtalen;
6.14.2 Brukes, i Iron Mountain-vertsmiljø(er) som brukes til å levere tjenester, til kunders personopplysninger i transitt over eller til «ubetrodde» nettverk (dvs. nettverk som Iron Mountain ikke har juridisk kontroll over), inkludert de som brukes til å sende data til kundens bedriftsnettverk fra Iron Mountains nettverk, underlagt, i hvert tilfelle, kundens samarbeid i administrasjon av krypteringsnøkler som er nødvendige for å dekryptere overføringer mottatt av kunden; og
6.14.3 Inkludere dokumentert praksis for administrasjon av krypteringsnøkler for å støtte sikkerheten til kryptografiske teknologier.
6.14.4 Inkludere kryptering av alle kundens personopplysninger på bærbare datamaskiner eller andre bærbare enheter.
6.15 Påloggingskrav. Iron Mountain skal sikre følgende:
6.15.1 Betydelige sikkerhets- og systemhendelser logges og gjennomgås;
6.15.2 Revisjonslogger oppbevares i minst ett år for systemer i Iron Mountain-vertsmiljø(er) som brukes av Iron Mountain til å levere tjenester;
6.15.3 Systemrevisjonslogger gjennomgås for avvik; og
6.15.4 Logganlegg og systeminformasjon er rimelig beskyttet mot manipulering og uautorisert tilgang.
6.16 Nettverkstidssynkronisering. Iron Mountain skal synkronisere systemklokkene til alle informasjonsbehandlingssystemer ved hjelp av en felles autoritativ tidskilde.
6.17 Segregering på nettverk. Iron Mountain skal hensiktsmessig skille relaterte grupper av informasjonstjenester, brukere og informasjonssystemer på nettverk.
7. TILGANGSKONTROLL
7.1 Retningslinjer for tilgangskontroll. Iron Mountain opprettholder retningslinjer for tilgangskontroll med hensyn til informasjonsbehandlingsressurser som Iron Mountain formelt godkjenner, publiserer og implementerer.
7.2 Autorisasjon for logisk tilgang. Iron Mountain skal ha en godkjenningsprosess for logiske tilgangsforespørsler til kunders personopplysninger og forespørsler om tilgang til Iron Mountain-systemer dedikert til bruk i tjenestene.
7.3 Gjennomgang av tilgangskontroll og tilgang. Iron Mountain skal kun gi tilgang til kunders personopplysninger til aktive Iron Mountain-ansatte, inkludert midlertidige og kontraktsansatte, og aktive brukerkontoer som trenger slik tilgang for å utføre sin jobbfunksjon. All privilegert tilgang må
gjennomgås og bekreftes å være i samsvar med gjeldende jobbrolle og dokumenteres minst jvert kvartal.
7.4 Kontroll av tredjepartstilgang. Før eksterne parter gis tilgang til Iron Mountains informasjonssystemer som gir tilgang til kunders personopplysninger, skal Iron Mountain sørge for at hensiktsmessige kontroller er på plass.
7.5 Tilgangskontroll for operativsystemer. Iron Mountain skal kontrollere tilgangen til operativsystemer (både programvare- og maskinvarebaserte operativsystemer) ved å kreve en sikker påloggingsprosess som unikt identifiserer personen som har tilgang til operativsystemet.
7.6 Mobile databehandlingsenheter. Iron Mountain vil ha retningslinjer eller prosedyrer på plass som er utformet for å beskytte Iron Mountains mobile databehandlingsenheter mot uautorisert tilgang. Slike retningslinjer eller prosedyrer skal ta for seg fysisk beskyttelse, tilgangskontroll og sikkerhetskontroller som kryptering, virusbeskyttelse og sikkerhetskopiering av enheter.
7.7 Isolering av kundesystemer. Iron Mountain skal, innenfor sitt vertsmiljø(er) som brukes til å levere tjenestene, logisk separere og segregere kunders personopplysninger fra all annen informasjon.
7.8 Kontoer. Iron Mountain skal gjøre følgende med hensyn til kontoer:
7.8.1 Kreve autentisering av identiteten til hver Iron Mountain-ansatt som søker tilgang til Iron Mountain-systemer som behandler kunders personopplysninger og forby bruk av delte brukerkontoer eller brukerkontoer med generisk legitimasjon (dvs. ID-er), for å få tilgang til kundepersonopplysninger eller -systemer.
7.8.2 Kreve at alle brukerkonto-ID-er, inkludert privilegerte kontoer, knyttes direkte til en person (i motsetning til en stilling).
7.8.3 Hvis standard administrasjonskontoer ikke er deaktivert eller fjernet, kreve bruk av midlertidige passord, utsjekkings-ID-er eller lignende kontroller for standard administrasjonskontotilgang.
7.8.4 Kreve at inaktive ordinære kontoer blir låst eller deaktivert etter 90 dager uten aktivitet.
7.8.5 Forby tilgang til en konto etter flere mislykkede tilgangsforsøk.
7.8.6 Kreve unike identifikatorer og sterke passord som minst inkluderer følgende: minimum 8 tegn; må endres hver 90. dag; og har kompleksitetskrav.
7.8.7 Forby ansatte å dele eller skrive ned passord.
7.9 Kontroller for systemer uten tilsyn. Iron Mountain skal bruke en passordbeskyttet skjermsparer for alle systemer som er uten tilsyn og som ikke har hatt aktivitet på 30 minutter.
8. UTVIKLING OG VEDLIKEHOLD AV INNKJØP AV INFORMASJONSSYSTEMER
8.1 Systemutviklingssikkerhet. Iron Mountain skal sørge for at sikkerhet er en del av all utvikling og drift av informasjonssystemer, og skal publisere og overholde interne metoder for sikker koding basert på sikkerhetsstandarder for applikasjonsutvikling.
8.2 Programvaresikkerhetsadministrasjon. Iron Mountains informasjonssystemer (inkludert operativsystemer, infrastruktur, forretningsapplikasjoner, tjenester og brukerutviklede applikasjoner) skal utformes for å være i samsvar med standarder for informasjonssikkerhet.
8.3 Nettverksdiagrammer. Iron Mountain skal utvikle, dokumentere og opprettholde fysiske og logiske diagrammer over nettverksenheter og trafikk.
8.4 Applikasjonssårbarhetsvurderinger / etisk hacking. Iron Mountain skal minst årlig utføre sårbarhetsvurderinger på applikasjoner i sitt/det vertsbaserte miljø(er) som brukes til å levere tjenester som behandler kunders personopplysninger. Detaljerte resultater er konfidensiell og rettighetsbeskyttet informasjon fra Iron Mountain og vil ikke bli oppgitt.
8.5 Endringstesting og -gjennomgang. Iron Mountain skal gjennomgå og teste endringer i applikasjoner og operativsystemer før distribusjon for å sikre at det ikke er noen negativ effekt på kunders personopplysninger eller -systemer.
9. KATASTROFEGJENOPPRETTING
Iron Mountain skal opprettholde en plan for gjenoppretting etter katastrofer, inkludert reproduksjon av systemer og elektroniske data som brukes til å støtte tjenestene til et datasenter for sikkerhetskopiering. Reproduksjon av systemer og elektroniske data inkluderer ikke kunders personopplysninger som er fysisk lagret i et Iron Mountain-anlegg. Iron Mountain vil opprettholde en forretningskontinuitetsplan for gjenoppretting av kritiske forretningsfunksjoner. Iron Mountain vil utføre katastrofegjenopprettingstesting ikke sjeldnere enn en gang hver tolvte (12) måned.
10. EKSTERNE REVISJONER OG VURDERINGER
Iron Mountains sikkerhetsprotokoller er utformet for å være i samsvar med bransjestandarder. Iron Mountain vil gi kunden eventuelle tredjeparts uavhengige revisjonsrapporter de har bestilt (f.eks. PCI, ISO27001, SOC2 osv.) som er relevante for tjenestene i regionen slike tjenester leveres («revisjonsrapport»). Iron Mountain vil levere alle slike rapporter bestilt med den hensikt å være kundevendt, uavhengig av resultatene av rapporten. Iron Mountain vil ikke bli pålagt å oppgi interne revisjonsresultater eller resultater fra andre uavhengige vurderinger som er blitt bestilt med den hensikt å være konfidensielle for Iron Mountain. Kunden og deres eksterne revisorer
vil på forespørsel få kopier av revisjonsrapporten. Enhver revisjonsrapport eller annet resultat generert gjennom testene eller revisjonene som kreves av dette avsnittet, vil bli ansett som konfidensiell informasjon om Iron Mountain. Kunden skal ha rett til å gi en kopi av en slik revisjonsrapport til alle aktuelle kunder eller
reguleringsmyndigheter for kunden, underlagt taushetspliktsbestemmelser som er like restriktive som dem heri. På kundens forespørsel skal Iron Mountain bekrefte skriftlig at det ikke har vært noen endringer i relevante retningslinjer, prosedyrer og internkontroller siden fullføringen av en slik revisjonsrapport, som ikke skal strekke seg mer enn tre måneder fra slutten av rapporteringsperioden for revisjonsrapporten.
VEDLEGG 3
Internasjonale dataoverføringer
1. DEFINISJONER
«2021 EUs standard kontraktsklausuler» betyr standard kontraktsklausuler for overføring av personopplysninger til tredjeland i henhold til Personvernfordordningen (GDPR), vedtatt av EU-kommisjonen under kommisjonens implementeringsbeslutning (EU) 2021/914, tilgjengelig her3 .
«EU-kunders personopplysninger» betyr behandlingen av kunders personopplysninger som EUs, eller et EU- eller EØS-lands personvernovgivning var gjeldende for før Iron Mountains behandling;
«Beskyttet område» betyr:
i. når det gjelder EU-kunders personopplysninger, medlemslandene i EU og EØS og ethvert land, territorium, sektor eller internasjonal organisasjon som er omfattet av en tilstrekkelighetsbeslutning etter art. 45 i GDPR;
ii. når det gjelder britiske kunders personopplysninger, Storbritannia og ethvert land, territorium, sektor eller internasjonal organisasjon som det foreligger en tilstrekkelighetsbeslutning om i henhold til Storbritannias tilstrekkelighetsforskrifter;
iii. når det gjelder sveitsiske kunders personopplysninger, ethvert land, territorium, sektor eller internasjonal organisasjon som er anerkjent som tilstrekkelig i henhold til lovene i Sveits;
iv. i tilfelle av annen kundes personopplysninger overført ut av en jurisdiksjon som tilbyr lignende beskyttelse som de fra EU-kunders, eller britiske eller sveitsiske kunders personopplysninger, ethvert land, territorium, sektor eller internasjonal organisasjon som er anerkjent som tilstrekkelig i henhold til lovene i en slik jurisdiksjon;
«Standard kontraktsklausuler» betyr samlet EUs standard kontraktsklausuler av 2021 og UK Addendum 2022.
«Sveitsisk kundes personopplysninger» betyr behandlingen av kunders personopplysninger som lovene om databeskyttelse i Sveits var gjeldende for før behandlingen av Iron Mountain;
«Britiske kunders personopplysninger» betyr behandlingen av kunders personopplysninger som lovene om databeskyttelse i Storbritannia var gjeldende for før behandlingen av Iron Mountain;
2. DIVERSE
2.1 Dette vedlegg 3 inkluderer følgende deler: (i) Del A – Overføringer av EU-kunders personopplysninger;
(ii) Del B – Overføringer av sveitsiske kunders personopplysninger; (iii) Del C – Overføring av britiske kunders personopplysninger, som skal gjelde når det er relevant for Iron Mountains overføring av kunders personopplysninger i forbindelse med tjenestene.
2.2 Standardklausulene skal gjelde for Iron Mountain og deres tilknyttede selskaper som «dataimportører» og for kunden og deres tilknyttede selskaper som «dataeksportører».
2.3 Underskriften til og dateringen av avtalen skal utgjøre alle nødvendige signaturer og datoer for standardkontraktsvilkårene.
2.4 I tilfelle partene overfører EU-kunders, eller britiske eller sveitsiske kunders personopplysninger utenfor det beskyttede området og en relevant EU-kommisjons beslutning eller annen gyldig tilstrekkelighetsmetode etter gjeldende databeskyttelseslovgivning som Iron Mountain har basert seg på for dataoverføringen anses å være ugyldig, eller at en tilsynsmyndighet krever overføring av personopplysninger som er gjort i henhold til en slik beslutning, skal partene samarbeide og legge til rette for bruk av en alternativ overføringsmekanisme. Partene er også enige om at de egnede sikkerhetstiltakene som brukes for å lette internasjonale overføringer i dette vedlegg 3 ikke er eksklusive, og at partene kan anvende ytterligere overføringsmekanismer, som EU-USA. Rammeverk for personvern.
3 xxxxx://xxx-xxx.xxxxxx.xx/xxx/xxx_xxxx/0000/000/xx
4 xxxxx://xxx.xxx.xx/xxxxx/xxx-xxxxxxxxxxxxx/xxxxxxxxx/0000000/xxxxxxxxxxxxx-xxxx-xxxxxxxx-xxxxxxxx.xxx
DEL A – OVERFØRING AV EU-KUNDERS PERSONOPPLYSNINGER
Hvis og i den grad kunden eller kundens tilknyttede selskaper overfører EU-kunders personopplysninger utenfor det beskyttede området til Iron Mountain eller dets tilknyttede selskaper i forbindelse med Iron Mountains tjenester etter avtalen, skal denne del A av vedlegg 3 gjelde, og partene samtykker i følgende:
1. Valg av standard kontraktsklausuler. Teksten fra MODUL TO av EUs standardkontraktsklausuler for 2021 skal gjelde der kunden eller noen av deres tilknyttede selskaper er en behandlingsansvarlig, og Iron Mountain eller noen av deres tilknyttede selskaper er en behandler; teksten fra MODUL TRE av EUs standardkontraktsklausuler for 2021 skal gjelde der kunden eller noen av deres tilknyttede selskaper er en behandler, og Iron Mountain eller noen av deres tilknyttede selskaper er underbehandler. De relevante bestemmelsene i EUs standard kontraktsklausuler for 2021 er innlemmet ved henvisning i denne DPA-en og er en integrert del av denne DPA-en. Ingen andre moduler eller klausuler merket som valgfrie i EUs standardkontraktsklausuler for 2021 skal gjelde. Informasjonen som kreves med henblikk på vedleggene til EUs standardkontraktsklausuler for 2021 er angitt i vedlegg 1 – Beskrivelse av behandlingen/overføringen, vedlegg 2 – Tekniske og organisatoriske tiltak, og klausul 6.2 i DPA – Liste over underbehandlere.
2. Bruk av underbehandlere. Med henblikk på klausul 9 i EUs standardkontraktsklausuler for 2021, skal alternativ 2 (Generell skriftlig autorisasjon) for bruk av underbehandlere for utførelsen av tjenestene gjelde. Kunden erkjenner og samtykker i at Iron Mountain kan engasjere nye underbehandlere gjennom mekanismen som er avtalt i klausul 6 i denne DPA-en, og at tidsfristen for å sende inn forespørsler om endringer av underbehandlere skal være femten (15) dager.
3. Gjeldende lov og valg av forum. Med henblikk på klausul 17 i EUs standardkontraktsklausuler for 2021 (Styrende lov), skal alternativ 2 styrende love gjelde, og disse klausulene skal styres av loven i EU-medlemsstaten der dataeksportøren er etablert, i den grad det tillater tredjepartsbegunstigedes rettigheter. Med henblikk på klausul 18 i EUs standardkontraktsklausuler for 2021 (valg av forum og jurisdiksjon) skal disse være domstolene i EU-medlemsstaten der dataeksportøren er etablert.
4. Sertifisering av sletting. Med henblikk på klausul 8.5 og 16(d) i EUs standardkontraktsklausuler for 2021, skal en sertifisering av sletting av personopplysninger kun gis av Iron Mountain til kunden på kundens skriftlige forespørsel.
5. Brudd på personopplysninger. Med henblikk på klausul 8.6(c) i EUs standardkontraktsklausuler for 2021, skal brudd på personopplysninger håndteres i samsvar med mekanismen som er avtalt i klausul 7 i DPA.
6. Revisjoner. Med henblikk på klausul 8.9 i EUs standardkontraktsklausuler for 2021, skal revisjoner av disse klausulene utføres i samsvar med revisjonsmekanismen som er avtalt i avtalen.
7. Klager. Med henblikk på klausul 11 i EUs standardkontraktsklausuler for 2021, skal Iron Mountain informere kunden hvis de mottar en klage fra en registrert med hensyn til EU-kunders personopplysninger og skal gi beskjed om klagen til kunden i samsvar med mekanismen som er avtalt i avtalen.
8. Tilsynsmyndighet. For EUs standardkontraktsklausuler for 2022 skal den relevante kompetente tilsynsmyndigheten fastsettes i samsvar med klausul 13 i EUs standardkontraktsklausuler.
DEL B – OVERFØRING AV SVEITSISKE KUNDERS PERSONOPPLYSNINGER
Hvis og i den grad kunden eller kundens tilknyttede selskaper overfører sveitsisk kunders personopplysninger utenfor det beskyttede området til Iron Mountain eller dets tilknyttede selskaper i forbindelse med Iron Mountains tjenester etter avtalen, skal denne del B av vedlegg 3 gjelde, og partene samtykker i følgende:
1. Valg av standard kontraktsklausuler. EUs standard kontraktsklausuler for 2021 og relevante bestemmelser under del A skal gjelde der kunden eller noen av kundens tilknyttede selskaper er en behandlingsansvarlig, og Iron Mountain eller noen av deres tilknyttede selskaper er en behandler, og/eller kunden eller noen av deres tilknyttede selskaper er en behandler, og Iron Mountain eller noen av deres tilknyttede selskaper er en underbehandler, bortsett fra at:
a. den kompetente tilsynsmyndigheten under klausul 13 i EUs standardkontraktsklausuler for 2021 skal være den sveitsiske føderale datavern- og informasjonskommisjonen;
b. gjeldende lov for kontraktsmessige krav i henhold til klausul 17 i EUs standardkontraktsklausuler for 2021 skal være sveitsisk lov og jurisdiksjonen for handlinger mellom partene i henhold til klausul 18 (b) skal være de sveitsiske domstolene.
2. Henvisninger til EU GDPR i EUs standard kontraktsklausuler for 2021 skal forstås som henvisninger til FADP.
3. Begrepet «medlemsstat» i EUs standardkontraktsklausuler for 2021 skal ikke tolkes på en slik måte at de utelukker registrerte i Sveits fra muligheten til å saksøke for sine rettigheter på deres bosted (Sveits) i samsvar med klausul 18 (c) i EUs standardkontraktsklausuler for 2021.
DEL C – OVERFØRING AV BRITISKE KUNDERS PERSONOPPLYSNINGER
Hvis og i den grad kunden eller kundens tilknyttede selskaper overfører britiske kunders personopplysninger utenfor det beskyttede området til Iron Mountain eller deres tilknyttede selskaper i forbindelse med Iron Mountains tjenester i henhold til avtalen, skal denne del A av vedlegg 3 gjelde, og partene samtykker i følgende:
1. Valg av standard kontraktsklausuler. EUs standardkontraktsklausuler for 2021, relevante bestemmelser under del A og 2022 UK Addendum skal gjelde der kunden eller noen av deres tilknyttede selskaper er en behandlingsansvarlig, og Iron Mountain eller noen av deres tilknyttede selskaper er en behandler, og/eller kunden eller noen av deres tilknyttede selskaper er en behandler, og Iron Mountain eller noen av deres tilknyttede selskaper er en underbehandler.
2. Del 1: Tabell 1–3 i 2022 UK Addendum: Informasjon om partene – Tabell 1; Utvalgte SCC-er, moduler og valgte klausuler; og Vedleggsinformasjon, inkludert vedlegg 1A: Liste over parter, vedlegg 1B : Beskrivelse av overføring og vedlegg 1C: Tekniske og organisatoriske tiltak for å sikre sikkerheten til data – tabell 3, skal anses som fullført ved henvisning til dette vedlegg 3, inkludert del A. Tabell 4 i UK Addendum: Kunden og Iron Mountain erkjenner og samtykker i at UK Addendum kan sies opp av en av partene.
3. Del 2: Obligatoriske klausuler i UK Addendum: Kunden og Iron Mountain erkjenner og godtar de obligatoriske klausulene i UK Addendum.
4. Tilsynsmyndighet. UK Information Commissioner's Office skal fungere som kompetent tilsynsmyndighet.
DEL D – OVERFØRING AV ANNEN KUNDES PERSONOPPLYSNINGER
Hvis og i den grad kunden eller deres tilknyttede selskaper overfører kunders personopplysninger som ikke dekkes av DEL A–C til Iron Mountain eller deres tilknyttede selskaper i forbindelse med Iron Mountains tjenester i henhold til avtalen, skal del A av vedlegg 3 gjelde i den grad det er relevant og gjeldende i henhold til gjeldende datavernlovgivning. Ellers, i den grad eventuelle erstatninger eller ytterligere egnede sikkerhetstiltak eller overføringsmekanismer under databeskyttelseslovgivningen er pålagt å overføre kunders personopplysninger til et land som ikke gir tilstrekkelig beskyttelsesnivå for personopplysninger fra dataeksportørens perspektiv, forplikter partene seg til å implementere det samme så snart som praktisk mulig og dokumentere slike krav til implementering i et vedlegg til denne DPA-en.
VEDLEGG 4
HIPAA – Forretningsforbindelsesavtale («BAA»)
Denne BAA-en supplerer og endrer alle gjeldende eller fremtidige avtaler inngått mellom Iron Mountain og deres tilknyttede selskaper og kunden og deres tilknyttede selskaper når Iron Mountain eller deres tilknyttede selskaper leverer visse tjenester til kunden eller deres tilknyttede selskaper, og slike tjenester krever at forretningsforbindelsen bruker og/eller offentliggjør PHI på vegne av den dekkede enheten. Unntatt i den grad de er endret i denne BAA-en, skal alle vilkår og betingelser som er angitt i avtalen forbli fullt gjeldende og styre tjenestene som leveres av Iron Mountain til kunden.
Iron Mountain og kunden inngår denne BAA-en for at begge parter skal kunne oppfylle sine respektive forpliktelser etter hvert som de trer i kraft og er bindende for partene under HIPAA-personvern, Sikkerhet, og regler for bruddvarsling sammen med eventuelle implementeringsforskrifter, inkludert de som er implementert som en del av Omnibus-regelen (samlet referert til som «HIPAA-reglene»), hvor kunden og deres tilknyttede selskaper er en
«dekket enhet» eller «forretningsforbindelse» og Iron Mountain og deres tilknyttede selskaper er en
«forretningsforbindelse» av kunden. I forbindelse med denne avtalen skal eventuelle henvisninger heretter til forretningsforbindelser anses som henvisninger til Iron Mountain eller deres aktuelle tilknyttede selskap.
1. DEFINISJONER
Begreper med stor forbokstav som brukes, men som ikke på annen måte er definert i denne BAA-en, skal ha samme betydning som tilskrevet disse begrepene i HIPAA-reglene eller i avtalen, der det er aktuelt.
«Regel for bruddvarsel» skal xxxx regelen for bruddvarsel for usikret beskyttet helseinformasjon i 45 CFR §164 underdel D.
«Forretningsforbindelse» skal bety den forretningsforbindelsesenheten som er identifisert ovenfor i den grad den mottar, opprettholder eller overfører beskyttet helseinformasjon ved levering av tjenester til kunder.
«HIPAA» skal bety Health Insurance Portability and Accountability Act of 1996.
«HITECH Act» skal bety de gjeldende bestemmelsene i Health Information Technology for Economic and Clinical Health Act, slik den er inkorporert i American Recovery and Reinvestment Act fra 2009, og inkludert eventuelle iverksettingsforskrifter.
«Personvernregel» skal bety standardene for personvern for individuelt identifiserbar helseinformasjon i 45 CFR
§160 og §164, underdel A og E.
«Beskyttet helseinformasjon» eller «PHI» skal ha samme betydning som begrepet «beskyttet helseinformasjon» i 45 CFR §160.103 og skal være begrenset til PHI opprettet av forretningsforbindelse på vegne av kunden eller mottatt fra eller på vegne av kunden i henhold til avtalen.
«Sikkerhetsregel» skal bety sikkerhetsstandardene for beskyttelse av elektronisk beskyttet helseinformasjon i 45 CFR §160 og §164, underavsnitt A og C.
2. FORRETNINGSFORBINDELSES FORPLIKTELSER OG AKTIVITETER
2.1. Forretningsforbindelsen forplikter seg til ikke å bruke eller videre offentliggjøre PHI ut over det som er tillatt eller påkrevd av denne BAA-en eller som påkrevd av loven.
2.2. Forretningsforbindelsen forplikter seg til å ta i bruk egnede sikkerhetstiltak, og rette sef etter, der det er aktuelt, underdel C av 45 CFR §164 med hensyn til elektronisk PHI, for å forhindre bruk eller utlevering av PHI ut over det som er fastsatt i denne BAA-en eller avtalen; imidlertid erkjenner og samtykker partene i at det skal være kundens og ikke forretningsforbindelsens ansvar å overholde kravene i 45 CFR §164.312 for å implementere krypterings- eller dekrypteringsmekanismer for elektronisk PHI opprettholdt på fysiske medier (f.eks. kassetter) lagret av kunden med forretningsforbindelse.
2.3. Forretningsforbindelsen forplikter seg til umiddelbart å rapportere til kunden enhver sikkerhetshendelse, brudd eller annen bruk eller utlevering av PHI som de blir oppmerksom på som ikke er tillatt eller påkrevd av denne BAA-en eller avtalen. Ved brudd skal slik varsling gjøres i samsvar med og som påkrevd av en forretningsforbindelse i henhold til HIPAA-reglene, inkludert uten begrensning i henhold til
45 CFR 164.410, men ikke under noen omstendighet mer enn tre (3) virkedager etter at forretningsforbindelsen har fullført sin interne etterforskning og bekreftet at et brudd har skjedd. Forretningsforbindelsen vil sørge for rimelig assistanse og samarbeid i etterforskningen av et slikt brudd og skal dokumentere de spesifikke innskuddene som er kompromittert, identiteten til enhver uautorisert tredjepart som kan ha fått tilgang til eller mottatt PHI, hvis kjent, og eventuelle tiltak som er iverksatt av forretningsforbindelsen for å redusere effektene av slikt brudd.
2.4. Forretningsforbindelsen skal, i samsvar med 45 CFR 164.502(e)(1)(ii) og 164.308(b)(2), der det er aktuelt, sikre at enhver forretningsforbindelse som er en underleverandør som oppretter, mottar, vedlikeholder eller overfører PHI på vegne av forretningsforbindelsen med sikte på å bistå i å levere
tjenester i henhold til avtalen, godtar de samme begrensningene, betingelsene og kravene som gjelder for forretningsforbindelsen med hensyn til slik PHI gjennom denne BAA-en.
2.5. Hvis forretningsforbindelsen PHI i forvaring i et utpekt journalsett med hensyn til enkeltpersoner, og hvis kunden ber om det, samtykker forretningsforbindelse i å gi kunden tilgang til slik PHI ved å hente og levere slik PHI i samsvar med vilkårene og betingelsene i avtalen, slik at kunden kan svare en person for å oppfylle kravene i 45 CFR §164.524.
2.6. Forretningsforbindelsen samtykker i at hvis en endring av PHI i et utpekt journalsett i forretningsforbindelsens forvaring er nødvendig, og hvis kunden instruerer forretningsforbindelse om å hente slik PHI i samsvar med avtalen, skal forretningsforbindelsen utføre en slik tjeneste slik at kunden kan gjøre enhver endring i slik PHI som måtte kreves av enten kunden eller en person i henhold til 45 CFR §164.526.
2.7. Forretningsforbindelsen forplikter seg til å dokumentere og gjøre tilgjengelig for kunden informasjonen som kreves for å sørge for registrering av offentliggjøringer av PHI, forutsatt at kunden har gitt forretningsforbindelsen tilstrekkelig informasjon til å gjøre det mulig for forretningsforbindelsen å bestemme hvilke oppføringer eller data mottatt fra eller på vegne av forretningsforbindelsens kunde som inneholder PHI. Dokumentasjonen av opplysninger skal inneholde slik informasjon som kreves for at kunden skal kunne svare på en forespørsel fra en enkeltperson for oversikt over offentliggjøring av PHI i samsvar med 45 CFR §164.528 eller andre bestemmelser i HIPAA-reglene.
2.8. Med mindre noe annet er uttrykkelig avtalt i avtalen, skal forretningsforbindelsen umiddelbart varsle kunden om eventuelle forespørsler fra enkeltpersoner om tilgang til eller kunnskap eller korrigering av BHI, uten å svare på slike forespørsler, og kunden skal være ansvarlig for å motta og svare på slike individuelle forespørsler.
2.9. I den grad forretningsforbindelsen skal utføre én eller flere av kundens forpliktelser(r) i henhold til underdel E i 45 CFR §164, skal forretningsforbindelsen overholde kravene i underdel E som gjelder for kunden i utførelsen av slike forpliktelser.
2.10. Forretningsforbindelser samtykker i å gjøre sin interne praksis, regnskap og registre tilgjengelig for sekretæren med det formål å fastslå overholdelse av HIPAA-reglene.
3. TILLATT BRUK OG OFFENTLIGGJØRING AV FORRETNINGSFORBINDELSE
3.1. Forretningsforbindelsen kan bruke eller utlevere PHI etter behov for å utføre tjenestene som er angitt i avtalen.
3.2. Forretningsforbindelsen kan bruke eller offfentliggjøre PHI som påkrevd av loven.
3.3. Forretningsforbindelsen forplikter seg til å gjøre rimelige anstrengelser for å begrense PHI til det minimum som er nødvendig for å oppnå det tiltenkte formålet med bruk, offentliggjøring eller forespørsel.
3.4. Forretningsforbindelsen kan ikke bruke eller utlevere PHI på en måte som bryter med underdel E i 45 CFR §164 hvis dette gjøres av kunden.
3.5. Forretningsforbindelsen kan offentliggjøre PHI for riktig styring og administrasjon av forretningsforbindelsen eller for å utføre forretningsforbindelsens juridiske ansvar, forutsatt at offentliggjøring er påkrevd ved lov, eller forretningsforbindelsen innhenter rimelige forsikringer fra personen som informasjonen offentliggjøres til, om at informasjonen vil forbli konfidensiell og brukes eller offentliggjøres ytterligere kun som påkrevd av loven eller for de formålene den ble offentliggjort til personen, og personen varsler forretningsforbindelsen om eventuelle tilfeller den er klar over hvor konfidensialiteten til informasjonen har blitt brutt.
4. KUNDENS FORPLIKTELSER
4.1. Kunden skal ikke be forretningsforbindelsen om å handle på en måte som ikke ville være i samsvar med HIPAA-reglene.
4.2. Kunden skal varsle forretningsforbindelsen om eventuelle begrensninger(er) i kundens varsel om personvernpraksis i samsvar med 45 CFR §164.520, i den grad en slik begrensning kan påvirke forretningsforbindelsens bruk eller offentliggjøring av PHI.
4.3. Kunden skal varsle forretningsforbindelsen om eventuelle endringer i, eller tilbakekalling av, en enkeltpersons tillatelse til å bruke eller offentliggjøre sin PHI, i den grad slike endringer kan påvirke forretningsforbindelsens bruk eller offentliggjøring av PHI.
4.4. Kunden skal varsle forretningsforbindelsen skriftlig om enhver begrensning i bruk eller offentliggjøring av PHI som kunden har samtykket til etter 45 CFR §164.522, i den grad slik begrensning kan påvirke forretningsforbindelsens bruk eller offentliggjøring av PHI.
5. VARIGHET OG OPPSIGELSE
5.1. Varigheten av denne BAA-en skal starte fra og med ikrafttredelsesdatoen og skal opphøre automatisk ved utløpet av (i) avtalen, eller (ii) når all PHI som gis av kunden til forretningsforbindelsen ødelegges eller returneres til kunden.
5.2. Etter en part får kjennskap til et vesentlig brudd på BAA av den andre parten, skal den ikke-brytende parten gi den misligholdende parten en mulighet til å rette opp bruddet. Hvis den misligholdende parten ikke retter opp bruddet innen tretti (30) dager, etter at den misligholdende parten har mottatt et skriftlig varsel fra den ikke-brytende parten som angir detaljene om slikt vesentlig brudd, skal den ikke-brytende
parten ha rett til å si opp denne BAA-en og avtalen i henhold til vilkårene i avtalen, eller, hvis oppsigelse ikke er mulig, skal problemet rapporteres til sekretæren eller annen kompetent myndighet.
5.3. Virkning av oppsigelse:
5.3.1.1. Med unntak av det som er angitt i 5.3.2 nedenfor, skal forretningsforbindelser ved avslutning av denne BAA-en av hvilken som helst grunn returnere eller ødelegge all PHI mottatt fra kunden i samsvar med avtalen. Denne bestemmelsen skal gjelde for PHI som er i underleverandørers eller agenter for forretningsforbindelses besittelse. Forretningsforbindelsen skal ikke beholde noen kopier av PHI.
5.3.1.2. I tilfelle forretningsforbindelsen fastslår at retur eller ødeleggelse av PHI er umulig, skal forretningsforbindelsen gi kunden varsel om forholdene som gjør retur eller ødeleggelse umulig. Ved varsel til kunden skal forretningsforbindelsen utvide beskyttelsen av denne BAA-en til slik PHI og begrense videre bruk og offentliggjøring av slik PHI til de formål som gjør retur eller ødeleggelse umulig, så lenge forretningsforbindelsen opprettholder slik PHI i henhold til vilkårene i avtalen.
6. DIVERSE
6.1. Skadesløsholdelse. Forretningsforbindelse forplikter seg til å holde kunden skadesløs fra og mot eventuelle bøter eller straffer pålagt kunden som følge av enhver håndhevelsesprosess som påbegynnes av sekretæren eller eventuelle søksmål som fremmes av en statsadvokat mot kunden, hvor rettergangen eller søksmålet følger direkte og utelukkende fra handling eller unnlatelse fra forretningsforbindelsen som enten er et brudd på HIPAA-reglene eller et vesentlig brudd på denne BAA-en («krav»). Forretningsforbindelsen skal ikke være forpliktet til å holde kunden skadesløs for noen del av slike bøter eller straffer som følge av (i) kundens brudd på HIPAA-reglene eller denne BAA-en, eller (ii) uaktsomme eller forsettlige handlinger eller utelatelser fra kunden. Den foregående forpliktelsen til skadesløsholdelse er uttrykkelig betinget av at kunden gir forretningsforbindelsen retten etter forretningsforbindelsens valg og kostnad, og med råd om eget valg, til å kontrollere eller delta i forsvaret av et slikt krav, forutsatt imidlertid at i den grad et slikt krav er en del av en større prosess eller søksmål, skal forretningsforbindelsens rett til å kontrollere eller delta begrenses til kravet, og ikke til den større saken eller søksmålet I tilfelle forretningsforbindelsen utøver sin mulighet til å kontrollere forsvaret, skal
(i) forretningsforbindelse ikke gjøre opp noe krav som krever innrømmelse av feil fra kundens side uten skriftlig forhåndssamtykke, (ii) kunden skal ha rett til å delta, for egen regning, i kravet eller søksmålet og (iii) kunden skal samarbeide med forretningsforbindelsen som kan bli forespurt. Det foregående angir kundens eneste og eksklusive rettsmiddel og forretningsforbindelsens eneste ansvar for tap, skade, kostnad eller ansvar for kunden for eventuelle krav i forbindelse med denne BAA-en.
6.2. Forføyning. Forretningsforbindelsen anerkjenner at enhver uautorisert bruk eller offentliggjøring av PHI av forretningsforbindelsen kan forårsake uopprettelig skade på kunden og at kunden skal ha rett til, hvis den velger det, å søke midlertidig forføyning eller annet rimelighetsbasert rettsmidddel.
6.3. Regulatoriske referanser. En henvisning i denne BAA-en til en del av HIPAA-reglene skal bety det avsnittet av HIPAA, personvernregelen, sikkerhetsregelen, HITECH ACT eller de endelige Omnibus-reglene som endret og i kraft, og som det kreves etterlevelse av.
6.4. Endring. Partene er enige om i god tro å forhandle om eventuelle endringer i denne BAA-en som kan kreves fra tid til annen som er nødvendig for at kunden eller forretningsforbindelsen skal overholde kravene i HIPAA-reglene. Hvis partene ikke kan oppnå gjensidig avtale om vilkårene i en slik endring innen seksti (60) dager etter datoen for mottak av en slik skriftlig forespørsel fra kunden til forretningsforbindelsen, skal hver av partene ha rett til å si opp denne BAA-en og avtalen ved å gi minst tretti (30) dagers skriftlig varsel til den andre parten.
6.5. Ingen tredjeparts begunstigede. Ingenting uttrykt eller underforstått i denne BAA-en er ment å overdra, og heller ikke skal noe heri overdras, til noen annen person enn kunden, forretningsforbindelsen og deres respektive etterfølgere eller stedfortredere, noen rettigheter, rettsmidler, forpliktelser eller ansvar overhodet.
6.6. Uavhengig kontrahert. Forretningsforbindelsen, inkludert styremedlemmer, ledere, ansatte og agenter, er en uavhengig kontrahent og ikke en agent (som definert i lovbestemmelser om fullmaktsforhold) for kunden eller et medlem av deres arbeidsstyrke. Uten å begrense allmenngyldigheten av det foregående, skal kunden ikke ha noen rett til å kontrollere, dirigere eller på annen måte påvirke forretningsforbindelsens atferd i løpet av utførelsen av tjenestene, annet enn gjennom håndheving av denne BAA-en eller avtalen, eller gjensidig endring av disse.
6.7. Presedens; Hele avtalen . Enhver tvetydighet i denne BAA-en skal løses for å tillate partene å overholde HIPAA-reglene. Denne BAA-en utgjør hele avtalen mellom partene med hensyn til innholdet heri, og skal erstatte all tidligere kommunikasjon, fremstillinger, avtaler og forståelser knyttet til HIPAA-reglene, inkludert alle tidligere forretningsforbindelsesavtaler mellom partene.