Navn på virksomhet:

1.2 Databehandleravtalen fastsetter Partenes rettigheter og plikter når Databehandleren behandler personopplysninger på vegne av Behandlingsansvarlig som del av leveransene under Hovedavtalen.

1.3 Databehandleravtalen er inngått med henblikk på å overholde Gjeldende personvernregler og sikre beskyttelse av fysiske personers grunnleggende rettigheter og friheter.

1.4 Ved motstrid mellom Hovedavtalen og Databehandleravtalen, har Databehandleravtalen forrang når det gjelder forhold knyttet til behandling av personopplysninger.

1.5 Ved motstrid mellom den generelle avtaleteksten og bilagene i Databehandleravtalen, har bilagene forrang foran den generelle avtaleteksten.

1.6 Databehandleravtalen har forrang foran Databehandlerens eventuelle egne vilkår når det gjelder behandling av personopplysninger som skjer i henhold til Databehandleravtalen og Hovedavtalen.

2 DEFINISJONER

Gjeldende personvernregler: Den til enhver tid gjeldende versjon av EUs personvernforordning (2016/679) ("personvernforordningen"), samt lov om behandling av personopplysninger av 15.06. 2018 (personopplysningsloven) med tilhørende forskrifter mv.

Hovedavtalen: En eller flere avtaler mellom Behandlingsansvarlig og Databehandleren om levering av tjenester som innebærer behandling av personopplysninger. Databehandleravtalen kan gjelde flere underliggende avtaler.

Underleverandør: Annen virksomhet som benyttes av Databehandleren til behandling av personopplysninger under Hovedavtalen.

Tredjeland: Land som ikke er medlem av EU eller EØS.

Øvrige begreper: For personvernbegreper som ikke er definert i Databehandleravtalen gjelder definisjonene i personvernforordningen artikkel 4.

3 BEHANDLINGSANSVARLIGES PLIKTER OG RETTIGHETER

3.1 Denne avtalen gjelder når Kulturtanken er databehandler. I hovedavtalen punkt 11 angis hvem som er behandlingsansvarlige og hvilke behandlingsgrunnlag som kan være aktuelt for de enkelte formålene som begrunner behandlingen av personopplysninger i DKS-portalen.

3.2 Behandlingsansvarlig plikter å sørge for at behandlingen av personopplysninger skjer i samsvar med Gjeldende personvernregler.

3.3 Behandlingsansvarlig plikter å sørge for at behandlingen av personopplysninger er formålsbestemt og basert på et gyldig behandlingsgrunnlag.

3.4 Behandlingsansvarlig plikter å sørge for at de registrerte mottar nødvendig informasjon om behandlingen av personopplysninger.

3.5 Behandlingsansvarlig plikter å sørge for at det er gjennomført tilstrekkelige risikovurderinger.

3.6 Behandlingsansvarlig plikter å sørge for at Databehandleren til enhver tid har tilstrekkelige instrukser og informasjon til å oppfylle sine plikter i henhold til Databehandleravtalen.

3.7 Behandlingsansvarlig har rett og plikt til å bestemme hvilke hjelpemidler som skal brukes i behandlingen.

4 BEHANDLINGSANSVARLIGES INSTRUKSER TIL DATABEHANDLEREN

4.1 Databehandleren skal behandle personopplysninger i samsvar med Gjeldende personvernregler og Behandlingsansvarliges dokumenterte instrukser. Hvis annen behandling er nødvendig for å oppfylle forpliktelser som Databehandleren er underlagt i henhold til gjeldende rett, skal Databehandleren underrette Behandlingsansvarlig så langt det er tillatt ved lov.

4.2 Behandlingsansvarlig sine instrukser fremgår av Databehandleravtalen. Databehandleren skal omgående underrette Behandlingsansvarlig dersom Databehandleren mener at instruksene er i strid med Gjeldende personvernregler, jf. personvernforordningen artikkel 28 nr. 3 andre ledd.

4.3 Eventuelle endringer i instrukser skal varsles til Databehandleren gjennom oppdatering av Databehandleravtalen og loggføring av endringer i Bilag D, og skal implementeres av Databehandler innen det tidspunkt Partene avtaler, eller om ingen konkret frist er avtalt, innen rimelig tid.

Databehandleren kan kreve at Behandlingsansvarlig dekker dokumenterte kostander som påløper i forbindelse med implementeringen av slike endringer eller forholdsmessig justering av vederlaget under Hovedavtalen, dersom den endrede instruksen innebærer løpende ekstra kostander for Databehandleren. Det samme gjelder merkostnader som følge av endringer av Gjeldende personvernregler som gjelder Behandlingsansvarliges virksomhet.

5 KONFIDENSIALITET OG TAUSHETSPLIKT

5.1 Databehandleren kan kun gi tilgang til personopplysninger som behandles på Behandlingsansvarlige sine vegne til personer som er underlagt Databehandlerens instruksjonsmyndighet.

5.2 Databehandleren kan kun gi tilgang til personopplysningene til personer som trenger tilgang til personopplysninger for at Databehandleren skal kunne oppfylle sine forpliktelser etter Hovedavtalen, Databehandleravtalen og gjeldende rett. Tilgangen til personopplysningene skal gjennomgås forløpende, og den skal stenges dersom den ikke lenger er nødvendig.

5.3 Databehandleren skal sikre at personer som behandler personopplysningene er underlagt taushetsplikt gjennom avtale eller lov. Taushetsplikten skal bestå også etter avtalens og/eller ansettelsesforholdets opphør.

5.4 Databehandleren skal på anmodning fra Behandlingsansvarlig kunne dokumenterte hvem som har tilgang til personopplysningene og at personene er underlagt taushetsplikt gjennom avtale eller lov.

5.5 Ved opphør av Databehandleravtalen plikter Databehandleren å frata tilganger fra personell som har tilgang til personopplysninger som behandles under Databehandleravtalen.

6 BISTAND TIL DEN BEHANDLINGSANSVARLIGE

6.1 Idet det tas hensyn til behandlingens art og i den grad det er mulig, og ved hjelp av egnende tekniske og organisatoriske tiltak, skal Databehandleren bistå Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å svare på anmodninger som den registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III.

6.2 Databehandleren skal uten ugrunnet opphold videresende alle anmodninger som den registrerte eventuelt inngir med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III, til Behandlingsansvarlig. Slike anmodninger kan kun besvares av Databehandleren når dette er skriftlig godkjent av Behandlingsansvarlig.

6.3 Databehandleren skal, idet det tas hensyn til behandlingens art og den informasjon som er tilgjengelig for Databehandleren, bistå Behandlingsansvarlig med å overholde kravene i personvernforordningen artikkel 32-36, herunder:

a) Behandlingsansvarlig sin forpliktelse til å vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør og gjennomføre tiltak for å imøtegå disse risikoene.

b) Behandlingsansvarlig sin forpliktelse ved brudd på personopplysningssikkerheten til uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet på personopplysningssikkerheten til Datatilsynet, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter.

c) Behandlingsansvarlige sin forpliktelse til uten ugrunnet opphold å underrette den registrerte om bruddet på personopplysningssikkerheten når det er sannsynlig at bruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter.

d) Behandlingsansvarlig sin forpliktelse til, før behandlingen igangsettes, å foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for fysiske personers rettigheter og friheter (vurdering av personvernkonsekvenser).

e) Behandlingsansvarlig sin forpliktelse til å rådføre seg med Datatilsynet før behandlingen, dersom en vurdering av personvernkonsekvenser tilsier at behandlingen vil medføre en høy risiko dersom Behandlingsansvarlig ikke treffer tiltak for å redusere risikoen.

6.4 Behandlingsansvarlig kan fastsette nærmere instrukser om hvilken bistand Databehandleren skal gi i Databehandleravtalens Bilag C.

7 SIKKERHET VED BEHANDLINGEN

7.1 Databehandleren skal iverksette egnede tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå sett hen til behandlingens karakter og omfang, den tekniske utviklingen, implementeringskostnader og aktuelle risikoer for fysiske personers rettigheter og friheter. Databehandleren skal som minimum iverksette de tiltak som er spesifisert i Databehandleravtalens Bilag C.

7.2 Databehandleren skal foreta risikovurderinger for å sikre at et egnet sikkerhetsnivå opprettholdes til enhver tid. Databehandleren skal minimum årlig og ved større endringer analysere og vurdere sikkerhetstiltakene, særlig med hensyn til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i systemene hvor personopplysninger behandles, samt evne til å raskt gjenopprette tilgjengeligheten av personopplysninger ved hendelser.

7.3 Databehandleren skal dokumentere risikovurderingen og sikkerhetstiltakene, og gjøre dem tilgjengelig for Behandlingsansvarlig på forespørsel, samt gi adgang til slik revisjon som er avtalt mellom Partene, jf. Databehandleravtalen punkt 12 og Bilag C. Databehandleren skal gi tilgang til annen relevant informasjon for Behandlingsansvarlig, for å bistå sistnevnte med overholdelse av pliktene etter personvernforordningen artikkel 32.

8 Underretning om brudd på personopplysningssikkerheten

8.1 Databehandleren skal uten ugrunnet opphold skriftlig underrette Behandlingsansvarlig om eventuelle brudd på personopplysningssikkerheten, samt gi slik bistand og informasjon som er nødvendig for at Behandlingsansvarlig skal kunne melde bruddet til Datatilsynet i tråd med Gjeldende personvernregelverk.

8.2 Underretning etter punkt 8.1 skal meldes til Behandlingsansvarlige sitt kontaktpunkt i henhold til Databehandleravtalen punkt 17 og skal:

a) Beskrive arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt.

b) Inneholde navn på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes.

c) Beskrive de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten.

d) Beskrive de tiltak som Databehandleren har truffet og/eller foreslår truffet for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

Informasjonen kan, i den grad det er nødvendig, gis trinnvis uten ytterligere ugrunnet opphold.

8.3 Databehandleren plikter å gjennomføre alle de tiltak som med rimelighet kan kreves for å utbedre og unngå tilsvarende brudd på personopplysningssikkerheten. Databehandleren skal, så langt det er mulig, rådføre seg med Behandlingsansvarlig om de tiltak som skal gjennomføres, herunder vurdere Behandlingsansvarlig sine forslag til tiltak.

8.4 Behandlingsansvarlig er ansvarlig for å underrette Datatilsynet og de berørte registrerte om bruddet på personopplysningssikkerheten i tråd med Gjeldende personvernregler. Databehandleren skal ikke

informere tredjeparter om bruddet på personopplysningssikkerheten, med mindre noe annet er påkrevd etter gjeldende rett eller det uttrykkelig følger av skriftlig instruks fra Behandlingsansvarlig.

9 BRUK AV UNDERLEVERANDØRER

9.1 Databehandleren kan bare bruke Underleverandører som Behandlingsansvarlig på forhånd har godkjent skriftlig. Databehandleren skal be om slik godkjennelse minst 1 måned før den aktuelle Underleverandøren engasjeres. Listen over Underleverandører som den Behandlingsansvarlige har godkjent, fremgår av Bilag B.

9.2 Dersom Databehandleren engasjerer en Underleverandør for å utføre behandlingsaktiviteter på vegne av Behandlingsansvarlig, plikter Databehandleren å inngå skriftlig avtale med Underleverandør som pålegger denne tilsvarende forpliktelser med hensyn til vern av personopplysninger som Databehandleren selv er underlagt etter denne Databehandleravtalen.

9.3 Databehandleren skal kun engasjere Underleverandører som sikrer at behandlingen oppfyller kravene etter Gjeldende personvernregler. Databehandleren skal gjennomføre kontroller av Underleverandører for å verifisere at tilfredsstillende tiltak er iverksatt. Databehandleren skal på forespørsel kunne fremlegge rapporter fra slike kontroller for Behandlingsansvarlig.

9.4 Dersom Underleverandør ikke oppfyller sine forpliktelser etter Gjeldende personvernregler med hensyn til vern av personopplysninger, skal Databehandleren overfor Behandlingsansvarlig være fullt ut ansvarlig, på samme måte som om Databehandleren selv stod for behandlingen.

9.5 Databehandleren plikter å forelegge avtaler med Underleverandører for Behandlingsansvarlig når disse er inngått og på forespørsel fra Behandlingsansvarlig. Dette gjelder likevel bare de delene av avtalen som er relevant for behandlingen av personopplysninger og med de begrensinger som eventuelt måtte følge av lov eller forskrift. Rent kommersielle vilkår kan uansett ikke kreves fremlagt.

10 Overføring til Tredjeland og internasjonale organisasjoner

10.1 Overføring av personopplysninger til Tredjeland eller internasjonale organisasjoner kan kun finne sted dersom vilkårene i personvernforordningen kapittel V er oppfylt.

Ved overføring av personopplysninger mellom Partene skal det fremlegges dokumentasjon på, eller henvisning til dokumentasjon på etterlevelse av de forpliktelser som er pålagt i henhold til overføringsgrunnlaget og Gjeldende personvernregler. Dokumentasjon eller henvisning til dokumentasjon på etterlevelse angis i Bilag A punkt A.6.

10.2 Databehandleren kan kun overføre personopplysninger til Tredjeland eller internasjonale organisasjoner etter skriftlig godkjenning fra Behandlingsansvarlig, og slik overføring skal alltid skje i overensstemmelse med Gjeldende personvernregler.

10.3 Som overføring av personopplysninger regnes blant annet å:

a) behandle personopplysningene i datasentre o.l. som er lokalisert i et Tredjeland,

b) delegere behandling av personopplysninger til Underleverandør i et Tredjeland,

c) utlevere personopplysningene til en Behandlingsansvarlig i Tredjeland eller i en internasjonal organisasjon, eller

d) gi personell i Tredjeland tilgang til personopplysninger som befinner seg innenfor EU/EØS (ved fjerntilgang).

10.4 Databehandleren kan likevel overføre personopplysninger til Tredjeland eller internasjonale organisasjoner dersom dette kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett. I slike tilfeller skal Databehandleren underrette Behandlingsansvarlig så langt det er tillat ved lov.

10.5 Dersom en overføring av personopplysninger til et Tredjeland eller en internasjonal organisasjon finner sted innenfor rammene av denne Databehandleravtalen, skal følgende være inkludert i Databehandleravtalen Bilag B:

a) Behandlingsansvarliges skriftlige godkjennelse når det gjelder overføring av personopplysninger til Tredjeland eller internasjonale organisasjoner,

b) overføringsgrunnlaget i personvernforordningen kapittel V som overføringen er basert på, og

c) dokumentasjon eller henvisning til dokumentasjon på etterlevelse av de forpliktelser som er pålagt i henhold til overføringsgrunnlaget og Gjeldende personvernregler.

11 SLETTING OG TILBAKELEVERING AV OPPLYSNINGER

11.1 Ved opphør av Databehandleravtalen plikter Databehandleren å slette eller tilbakelevere og deretter slette alle personopplysninger som behandles på vegne av Behandlingsansvarlig under denne avtalen i samsvar med Bilag C punkt C.7. Dette gjelder også eventuelle sikkerhetskopier.

11.2 Behandlingsansvarlig bestemmer hvordan en eventuell tilbakelevering av personopplysninger skal skje. Behandlingsansvarlig kan kreve at tilbakelevering skjer på et strukturert og alminnelig maskinlesbart format. Behandlingsansvarlig skal dekke Databehandlerens dokumenterte kostnader til tilbakelevering, med mindre dette er inkludert i vederlaget under Hovedavtalen.

11.3 Hvis det skal benyttes delt infrastruktur eller backup der direkte sletting ikke er teknisk mulig, skal Databehandleren sørge for at personopplysningene gjøres utilgjengelige inntil de er overskrevet.

11.4 Databehandleren skal bekrefte skriftlig overfor Behandlingsansvarlig at sletting eller utilgjengeliggjøring er foretatt og skal på forespørsel dokumentere hvordan det er gjennomført.

11.5 Ved opphør av Databehandleravtalen skal Databehandleren tilrettelegge for og medvirke til overføring av Behandlingsansvarlig sine data i overgangen til en eventuell ny løsning eller leverandør.

11.6 Nærmere spesifisering av avtalevilkår om sletting og tilbakelevering fremgår av Bilag C.

12 REVISJON

12.1 Databehandleren skal på forespørsel gjøre tilgjengelig for Behandlingsansvarlig, all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i personvernforordningen artikkel 28, Gjeldende personvernregler og denne Databehandleravtalen er oppfylt.

12.2 Databehandler skal muliggjøre og bidra ved revisjoner som gjennomføres av eller på oppdrag fra Behandlingsansvarlig. Databehandleren skal også muliggjøre og bidra ved inspeksjoner fra aktuelle tilsynsmyndigheter.

12.3 Behandlingsansvarlig sin revisjon med eventuelle Underleverandører skal skje gjennom Databehandleren med mindre annet er særskilt avtalt.

12.4 Dersom en revisjon avdekker avvik fra forpliktelsene i personvernforordningen artikkel 28, Xxxxxxxxx personvernregler eller Databehandleravtalen, skal Databehandleren så snart som mulig utbedre avviket. Behandlingsansvarlig kan kreve at Databehandleren midlertidig stopper hele eller deler av behandlingen som skjer på vegne av Behandlingsansvarlig, frem til utbedringen er godkjent av Behandlingsansvarlig.

12.5 Hver Part dekker egne kostnader forbundet med årlig revisjon. Hvis en revisjon avdekker vesentlige brudd fra Databehandleren på forpliktelsene etter Xxxxxxxxx personvernregler, personvernforordningen artikkel 28 og/eller Databehandleravtalen, skal Databehandleren likevel dekke Behandlingsansvarlig sine rimelige kostander forbundet med revisjonen.

12.6 Nærmere spesifisering av avtalevilkår om revisjon fremgår av Bilag C.

13 MISLIGHOLD OG PÅLEGG OM STANS

13.1 Ved brudd på Databehandleravtalen og/eller Gjeldende personvernregler, kan Behandlingsansvarlig pålegge Databehandleren å stoppe hele eller deler av behandlingen av personopplysninger med øyeblikkelig virkning.

13.2 Dersom Databehandleren ikke overholder sine plikter i henhold til Databehandleravtalen og/eller Gjeldende personvernregler, vil dette anses som mislighold av Hovedavtalen. De plikter, frister, sanksjoner, ansvarsbegrensninger og andre misligholdsbeføyelser som følger av Hovedavtalens regulering av leverandørs mislighold, kommer til anvendelse, med mindre annet er uttrykkelig avtalt mellom Partene i Bilag D.

14 ERSTATNING

14.1 En Part har krav på erstatning for tap som følge av at den andre Parten ikke har overholdt sine forpliktelser i henhold til Databehandleravtalen.

Dette omfatter også Partens rett til å krevere regress ved en eventuell utbetalt erstatning til den skadelidte ved et solidarisk ansvar, og eventuelt overtredelsesgebyr eller lignende som Parten blir pålagt

av aktuelle tilsynsmyndigheter, i den grad erstatningen mv. kan tilbakeføres til forhold på den andre Parts hånd.

15 LOVVALG OG VERNETING

15.1 Avtalen er underlagt norsk rett. Tvister løses i samsvar med Hovedavtalens bestemmelser, herunder eventuelle bestemmelser om verneting.

16 IKRAFTTREDELSE OG OPPHØR

16.1 Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig kan begynne når Databehandleravtalen har trådt i kraft. Databehandleravtalen trer i kraft når den er signert av Partene.

16.2 Databehandleravtalen gjelder så lenge Databehandleren behandler personopplysninger på vegne av Behandlingsansvarlig. Databehandleravtalen gjelder også for eventuelle personopplysninger som måtte finnes hos Databehandleren eller noen av dennes Underleverandører etter Hovedavtalens opphør.

16.3 Reglene om oppsigelse i Hovedavtalen gjelder tilsvarende for Databehandleravtalen, så langt det passer. Databehandleravtalen kan ikke sies opp så lenge Hovedavtalen består med mindre den avløses av en ny databehandleravtale.

16.4 Partene har rett til å kreve at Databehandleravtalen reforhandles dersom det skjer endringer i Gjeldende personvernregler som får betydning for avtaleforholdet mellom Partene.

16.5 Underskrift

På vegne av Behandlingsansvarlig:

Navn:

Stilling:

Telefonnummer:

E-postadresse:

Dato

Underskrift:

På vegne av Databehandleren: Navn: Xxxxxxxx Xxx

Stilling: Avdelingsdirektør Telefonnummer: + 00 000 00 000

E-postadresse: xxx@xxxxxxxxxxxx.xx Dato: 18.09.2023

Underskrift:

17 KONTAKTPERSONER HOS BEHANDLINGSANSVARLIG OG

Databehandleren

17.1 Partene kan kontakte hverandre via nedenstående kontaktpersoner.

Kontaktperson Behandlingsansvarlig:

Navn:

Stilling:

Telefonnummer:

E-postadresse:

Kontaktperson Databehandleren:

Navn: Xxxxxx Xxxxxxx

Stilling: Strategisk ansvarlig, DKS-portalen Telefonnummer: + 00 000 00 000

E-postadresse: xx@xxxxxxxxxxxx.xx

17.2 Partene forplikter seg til å orientere hverandre løpende om endringer som gjelder kontaktpersoner.

BILAG A: OPPLYSNINGER OM BEHANDLINGEN

A.1 Formålet med behandlingen av personopplysninger

Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige er knyttet til å levere tjenester for å støtte kommunal sektor i håndtering av prosesser i Den kulturelle skolesekken, gjennom den digitale løsningen DKS-portalen. Tjenestene er regulert i Hovedavtalen. Med Hovedavtalen menes alle avtaler som er inngått mellom Behandlingsansvarlig og Databehandler om bruk av tjenesten, inkludert avtaleinngåelse som følge av at Behandlingsansvarlige har tatt DKS-portalen aktivt i bruk.

Behandlingen har følgende formål:

• Bruk av DKS-portalen til innsamling og behandling av opplysninger om Behandlingsansvarliges og tilknyttede skolers/andre virksomheters ansatte.

• Bruk av DKS-portalen til innsamling og behandling av opplysninger om enkeltpersoner og virksomheter som leverer forslag om kunstnerisk innhold til Behandlingsansvarlige.

• Bruk av DKS-portalen til innsamling og behandling av opplysninger om enkeltpersoner og virksomheter som engasjeres av Behandlingsansvarlige for å planlegge og/eller gjennomføre aktiviteter i tilknytning til Den kulturelle skolesekken.

• Bruk av DKS-portalen med Feide-ID tjeneste-ID 2161830 til opplæringsformål.

A.2 Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig (behandlingens art):

Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige omhandler:

• Registrering, organisering, oppbevaring og annen behandling av personopplysninger i DKS-portalen

• Generering av rapportdata og statistikk på bakgrunn av registrerte opplysninger

I forbindelse med bruk av Feide hentes følgende personopplysninger fra Feide. Denne listen viser hvilke attributt- grupper eller scope dette gjelder, samt begrunnelse for hvorfor denne informasjonen er nødvendig:

	Navn på attributtgruppe (scope)	Begrunnelse for bruk av attributtgruppe (scope)	Oppdaterings- frekvens
☒	Navn (userinfo-name)
☒	Brukeridentifikatorer hos organisasjonen (userid-feide)	å sikre entydig brukerautentisering og for å unngå duplikater
☒	E-post (email)
☒	Mobiltelefon (userinfo-mobile)
☐	Foretrukket språk (userinfo- language)
☒	Fødselsnummer (userid-nin)
	Sikkerhetsnivå for innlogging (userinfo- assurance)
☒	Organisasjonstilhørighet (groups-org)	groups-org trengs for å koble pålogget bruker til riktig skole/utdanningsenhet i DKS-portalen. Uten denne funksjonen må pålogget bruker selv søke opp relevant informasjon fra nasjonal løsning, og nytteverdien for lærere og andre skoleansatte vil reduseres kraftig	oppdatering ved endret tilknytning


☐	Gruppetilhørigheter for undervisning (groups-edu)
☐	Gruppemedlemsidentifikatorer (groups- memberids)
☐	Andre gruppetilhørigheter (groups- other)
☐	Fødselsdato (userinfo-birthdate)
☐	Tittel (userinfo-title)
☐	Andre telefonnumre (userinfo- phone)
☐	Foto (userinfo-photo)
☐	Lokalt ID-nummer (userid-lin)
☐	ORCID forsker-ID (userid-orcid)
☐	Guardian API (gk_guardianapi)

Egengenererte data:

Type

Beskrivelse

Påmeldinger

Lærer har tilgang for å kunne bestille arrangementer eller gjennomføre påmelding for klassen.

Kulturkontakt (som normalt er en lærer eller administrativt ansatt) har rettigheter til å redigere skoleinformasjon (timeplan/ringetider, elevtall pr klasse/gruppe, terminlister, skolens arenaer).

A.3 Behandlingen omfatter følgende typer av personopplysninger om den registrerte:

Kategori:

Brukerrolle

Beskrivelse:

Personopplysninger som inngår:

Brukerdata

Alle innloggede brukere

Brukes for innlogging og mer generell identifisering av brukerne, ved oppretting av profil, loggføring og feilsøking. Denne brukerinformasjonen kobles til flere av tjenestene og

komponentene i DKS- portalen.

• Fødselsnummer (Feide og ID- porten)

• Passord

• Kode som generes gjennom autentiseringsløsning

• Navn

• Mobiltelefonnummer

• E-post

• Adresse

• Bilde

• Språk

• Førerkort (hvis relevant)

• Organisasjonsnummer

• Rolle (for rollebasert tilgangsstyring)

• Logg over brukeraktivitet

Kontraktinngåelse/- oppfyllelse

Utøvere som skal kontraheres

I modul for planlegging kan fylke/kommune velge ut og prioritere prosjektene de ønsker å tilby i DKS-ordningen for påfølgende skoleår. I modulen inngår det en

dokumentgenerator hvor

• Kontonummer

• Honorar

• Utøverrolle

• Betingelser

• Poster for budsjett pr. produksjon

• Organisasjonsnummer

		betalingsinformasjon mv. oppgis.	• Organisasjonsnavn
Fritekstfelt i meldingssystemet	Planleggere, kommunekontakter, kulturkontakter, utøvere, ansatte på kulturinstitusjoner og kontaktpersoner for forslaget	Kommunikasjon mellom planleggere, utøver og skolen.	• Navn • Kontaktinformasjon • Opplysninger om prosjektet • Opplysninger om utøvernes reise og lokasjon • Opplysninger om gjennomføringen av arrangementet, herunder forfall pga. sykdom om relevant • Øvrig informasjon som kommuniseres gjennom fritekstfeltet
Fritekstfelt og fildeling i forslagsmodul	Utøvere, ansatte på kulturinstitusjoner og kontaktpersoner for forslaget	Beskrive forslag, navngi forslag etc. og innsamling av CV og andre relevante vedlegg som beskriver prosjektet eller tilsvarende.	• Navn • Kontaktinformasjon • Opplysninger om forslaget • CV • Andre vedlegg • Øvrig informasjon som kommuniseres gjennom fritekstfeltet
Fritekstfelt i planleggingsmodul	Utøvere, ansatte på kulturinstitusjoner og kontaktpersoner for forslaget	Planlegging av prosjekter.	• Navn • Kontaktinformasjon • Opplysninger om prosjektet • Betingelser • Øvrig informasjon som kommuniseres gjennom fritekstfeltet
Fritekstfelt i modul for turnéplanlegging	Utøvere, ansatte på kulturinstitusjoner, kontaktpersoner for produksjon og andre personer som er relevante i forbindelse med gjennomføring (transport, hotell o.l.)	Planlegging av turné.	• Navn • Kontaktinformasjon • Opplysninger om prosjektet/prosjektene og turnéen • Opplysninger om utøvernes reise og lokasjon • Øvrig informasjon som kommuniseres gjennom fritekstfeltet
Fritekstfelt modul for evaluering	kulturkontakter, skoleansatte utøvere, ansatte på kulturinstitusjoner og kontaktpersoner for forslaget	Tilbakemeldinger fra skole og utøver.	• Navn • Kontaktinformasjon • Vurderinger av utøveren • Vurderinger av prosjektet/turnéen • Øvrig informasjon som kommuniseres gjennom fritekstfeltet
Fritekstfelt for publiseringsmodul	Planlegger, utøver og produsent.	Kommentarer til turné når disse publiseres.	• Navn • Opplysninger om utøvers reise og/eller lokasjon • Opplysninger om prosjektet/prosjektene og turnéen • Øvrig informasjon som kommuniseres gjennom fritekstfeltet

A.4 Behandlingen omfatter følgende kategorier av registrerte:

Ansatte hos Behandlingsansvarlig eller tilknyttede virksomheter.

Personer som leverer forslag med kunst-/kulturfaglig innhold til DKS-ordningen eller ansatte i virksomheter som leverer slike forslag (kulturinstitusjoner, orkester, management osv.)

Personer som på annen måte er involvert i produksjon og/eller gjennomføring av kunstnerisk/kulturelt innhold i ordningen

A.5 Behandlingen har følgende varighet:

☒

Behandlingen er ikke tidsbegrenset, og varer frem til behovet for registrering av personopplysninger for bruk for Behandlingsansvarlig i Den kulturelle skolesekken opphører. Personopplysninger som inngår i saker der Behandlingsansvarlig har et saksbehandlingsansvar, vil

kunne overføres til Behandlingsansvarliges arkivsystemer eller depoarkiv.

☐

Behandlingen er tidsbegrenset, og gjelder frem til <dato eller kriterium for avslutning>

A.6 Overføring av personopplysninger etter personvernforordningen kapittel V:

☒

Behandlingen av personopplysninger medfører overføring av personopplysninger til Tredjeland eller internasjonal organisasjon etter personvernforordningen kapittel V

☐

Behandlingen av personopplysninger medfører ikke overføring til Tredjeland eller internasjonal

organisasjon etter personvernforordningen kapittel V

Overføringsgrunnlaget etter personvernforordningen kapittel V for overføring av personopplysninger mellom Behandlingsansvarlig og Databehandler er: EUs standardavtale for overføringer (SCC) samt adekvansbeslutning for Canada, som nærmere beskrevet på leverandørens nettsider: xxxxx://xx x.xxxxxxxxxxxx.xxx/xx/xxxxx/xxxxxxxxxxxx-xxxx/.

I henhold til punkt 10.1 må Partene fremlegge dokumentasjon på, eller henvisning til dokumentasjon på etterlevelse av de forpliktelser som er pålagt i henhold til overføringsgrunnlaget og Gjeldende personvernregler: Leverandørens vurderinger er nærmere beskrevet på deres nettsider: xxxxx://xx x.xxxxxxxxxxxx.xxx/xx/xxxxx/xxxxxxxxxxxx-xxxx/.

Ved inngåelse av Databehandleravtalen godkjenner Behandlingsansvarlig bruk av de Underdatabehandlere som er oppført i punkt B.1. Merk at også mor-, søster- og datterselskaper til Databehandleren regnes som Underdatabehandlere hvis de bidrar til leveransen og behandler personopplysninger.

For endringer i bruk av Underdatabehandlere er det i tillegg avtalt følgende:

Databehandleren kan benytte Underdatabehandler som i samme konsern (mor- søster- eller datterselskap) som er etablert i et land innenfor EØS-området. Databehandleren skal på forhånd informere Behandlingsansvarlige om bruken av slik Underdatabehandler.

Databehandler kan gjennomføre endringer i bruken av Underdatabehandlere forutsatt at den Behandlingsansvarlige underrettes og gis mulighet til å motsette seg endringene. En slik underretning skal være mottatt av Behandlingsansvarlig senest 1 måned før endringen trer i kraft, med mindre annet er avtalt skriftlig mellom Partene. Merk at endringer som medfører overføring av personopplysninger til land utenfor EØS- området (Tredjestater) uansett krever skriftlig godkjenning etter Databehandleravtalens punkt 10.

Hvis Behandlingsansvarlig motsetter seg endringen skal Databehandler underrettes så snart som mulig. Den behandlingsansvarlige kan ikke motsette seg endringen uten saklig grunn.

BILAG B: BETINGELSER FOR DATABEHANDLEREN SIN BRUK OG ENDRING AV EVENTUELLE UNDERLEVERANDØRER

B.1 Godkjente Underleverandører

Behandlingsansvarlig har godkjent bruk av følgende Underleverandører:

Navn	Xxx.xx.	Adresse	Beskrivelse av behandlingen	Behandlingssted (lokasjon)	Overføringsgrunnlag	Kontaktinformasjon	Særlige kategorier av personopplysninger
Netpower AS	990058288	Xxxxxxxxxxxxxx 00, 0000 Xxxxxxx	Xxxxxxx xxxxxxxxxx xx xxxxxxxxx	XX/XXX (Xxxxxxx)	Ikke relevant	xxxxxxx@xxxxxxxx.xx	Nei
Fotoware	978715753	Xxxxxxxxxx 00, 0000 Xxxx	Lagring og indeksering av mediefiler i tilknytning til DKS- portalen	EU/EØS	Ikke relevant		Nei
Momentive Europe UC / SurveyMonkey	Selskapet har ikke norsk organisasjons- nummer	2 SHELBOURNE BUILDINGS, D04 W3V6 Dublin 4	Lagring av spørreundersøkelser	USA, Finland, Australia, Canada og Filippinene	Tekniske tiltak er gjennomført for å sikre at direkte identifiserbare personopplysninger ikke samles inn gjennom leverandøren		Nei

BILAG C: INSTRUKS FOR BEHANDLING AV PERSONOPPLYSNINGER

C.1 Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlige skjer ved at Databehandleren utfører følgende:

Databehandleren leverer tjenester som angitt i Hovedavtalen og denne Databehandleravtalen.

C.2 Behandlingens omfang og formål

C.2.1 Personopplysningene skal utelukkende behandles i det omfang og for de formål som er beskrevet i Hovedavtalen og Databehandleravtalen.

C.2.2 Databehandleren har ikke råderett over personopplysningene utover det som er nødvendig for å oppfylle sine forpliktelser etter Databehandleravtalen, og kan ikke behandle disse til egne formål.

C.3 Sikkerhet ved behandlingen (informasjonssikkerhet)

C.3.1 Angivelse av sikkerhetsnivå

Ut fra en vurdering av omfanget av personopplysningene som blir behandlet, typen personopplysninger som blir behandlet og arten av behandlingen, er det, basert på en konkret risikovurdering, fastsatt at behandlingen:

☐ Krever et høyt sikkerhetsnivå

☒ Ikke krever et høyt sikkerhetsnivå

Behandlingen skal bare omfatte opplysninger av ikke-sensitiv karakter. Tjenesten innhenter ikke personopplysninger om elever eller andre sårbare grupper.

C.3.2 Styringssystem for informasjonssikkerhet

Databehandleren skal ha et egnet styringssystem for informasjonssikkerhet. Databehandleren skal etablere og forvalte tilstrekkelig sikkerhet for å ivareta informasjonssikkerheten for behandlingen av personopplysninger, herunder:

☒	Sikkerhetskrav som beskrevet i Hovedavtalen:
☐	Sikkerhetskrav som beskrevet nedenfor:

C.4 Innebygd personvern og personvern som standardinnstilling

Databehandleren skal så langt det er rimelig og forholdsmessig ivareta kravene til innebygd personvern og personvern som standardinnstilling i løsninger/tjenester som Databehandleren utvikler/benytter i behandlingen av personopplysninger.

C.5 Dokumentasjon

Databehandleren skal dokumentere de rutiner og tiltak som er iverksatt for å oppfylle kravene som fremkommer av Gjeldende personvernregler og Databehandleravtalen. Slik dokumentasjon skal oppbevares og ajourholdes så lenge Databehandleravtalen består, og gjøres tilgjengelig for Behandlingsansvarlig på forespørsel.

C.6 Lokasjon for behandling

Med lokasjon menes:

• Sted det er mulig å få tilgang til personopplysningene fra (aksessering).

• Sted hvor personopplysningene behandles.

Behandlingen av personopplysninger som omfattes av Databehandleravtalen kan ikke uten skriftlig godkjenning finne sted på andre lokasjoner enn de(n) som er godkjent for den aktuelle Underleverandør i henhold til Bilag B punkt B.1.

C.7 Sletting og tilbakelevering av personopplysninger

Partene har avtalt følgende om sletting/tilbakelevering av personopplysninger:

☐	Alle personopplysninger som behandles under denne Databehandleravtale skal slettes uten ugrunnet opphold og senest innen 90 kalenderdager etter opphør av Hovedavtalen.

☐

Alle personopplysninger som Databehandleren behandler på vegne av Behandlingsansvarlig skal tilbakeleveres ved opphør av Hovedavtalen.

Etter tilbakelevering har skjedd, plikter Databehandleren å slette alle personopplysninger som forvaltes på vegne av Behandlingsansvarlig innen 30 kalenderdager.

Tilbakelevering skal skje på følgende måte:

☒

Personopplysninger som behandles under denne Databehandleravtale vil overføres til Behandlingsansvarliges arkivsystemer eller depoarkiv.

C.8 Rutiner for revisjon

For å kontrollere etterlevelse av Xxxxxxxxx personvernregler og Databehandleravtalen er det avtalt følgende:

☒

Behandlingsansvarlig har rett til å utføre revisjon på Databehandlerens forretningssted for å verifisere Databehandlerens etterlevelse av sine plikter i henhold til denne Databehandleravtalen eller Gjeldende personvernregler.

Slike revisjoner skal:

• Gjennomføres etter rimelig forhåndsvarsel og maksimalt én gang i året, med mindre sikkerhetsbrudd eller andre særlige forhold gir grunn for hyppigere revisjoner.

• Foregå innenfor normal arbeidstid og ikke forstyrre Databehandlerens virksomhet unødvendig.

• Utføres av ansatte hos Behandlingsansvarlig eller av tredjepart som er godkjent av Partene og som er underlagt taushetsplikt.

Databehandleren plikter å stille til rådighet de ressurser som med rimelighet kan kreves for å gjennomføre revisjonen.

Behandlingsansvarlig skal dekke kostander for eventuelle tredjeparter som benyttes til å gjennomføre revisjonen. For øvrig dekker Partene sine egne kostander ved gjennomføring av

revisjonen. Dersom revisjonen avdekker vesentlige brudd på Databehandlerens forpliktelser etter Xxxxxxxxx personvernregler eller Databehandleravtalen, skal Databehandleren dekke

Behandlingsansvarlig sine rimelige kostnader ved revisjonen.

☐

Databehandleren skal benytte ekstern revisor til å attestere at sikkerhetstiltak er etablert og virker etter hensikten.

Slik revisjon skal:

• Gjennomføres én gang årlig.

• Utføres i henhold til anerkjente attestasjonsstandarder, for eksempel ISAE 3402.

• Utføres av en uavhengig tredjepart med tilstrekkelig kunnskap og erfaring.

Når ekstern revisor har ferdigstilt revisjonsrapport, skal den oversendes Behandlingsansvarlig.

Databehandleren skal i tillegg gi slik informasjon og bistand som er nødvendig for at Behandlingsansvarlig kan etterleve sine forpliktelser etter Xxxxxxxxx personvernregler.

☒

For standardiserte tredjepartstjenester som leveres av Underleverandør kan det fremlegges tredjepartsrevisjon, forutsatt at revisjonen er gjennomført etter alminnelige anerkjente prinsipper og av sertifisert revisor.

BILAG D: ENDRINGER I DATABEHANDLERAVTALEN ETTER AVTALEINNGÅELSEN

D.1 Endringer etter avtaleinngåelsen

Ved endringer i avtaleteksten etter inngåelsen av Databehandleravtalen skal Partene loggføre dette i skjemaet under.

Kort beskrivelse av hva som er endret i Databehandleravtalen

Godkjent av

Dato for signering

Endring gjelder fra

For Behandlingsansvarlig:

Navn Signatur:

For Databehandler:

Navn: Signatur:

Partene er i fellesskap ansvarlig for å holde oversikten oppdatert. Unntak fra denne ordningen kan særskilt avtales mellom Partene.

Document Metadata

Table of Contents

Navn på virksomhet:

Document Metadata