AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel 32-36, inngås følgende avtale om
digitale kartleggingstester Alle Teller!
mellom
Navn på institusjonen
.………………………. (behandlingsansvarlig)
og
Navn på tjenesteleverandøren
Matematikksenteret
(databehandler)
1. Avtalens hensikt
Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 15. juni 2018 nr. 38 om behandling av personopplysninger og EUs personvernforordning (GDPR). Norsk lov og EUs forordning omtales heretter som personvernregelverket.
Avtalen skal sikre at personopplysninger ikke brukes ulovlig, urettmessig eller at opplysningene behandles på måter som fører til uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet.
Avtalen regulerer Matematikksenterets forvaltning av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med bruk av digitale kartleggingstester AlleTeller!.
Matematikksenteret forholder seg for øvrig til Xxxxxx krav til tjenesteleverandører.
Ved motstrid skal vilkårene i denne avtalen gå foran Matematikksenterets personvernerklæring eller vilkår i andre avtaler inngått mellom behandlingsansvarlig og Matematikksenteret i forbindelse med bruk av tjenesten digitale kartleggingstester AlleTeller!.
Det skal fremgå klart av denne avtalen dersom Matematikksenteret kan overlate personopplysninger til andre for oppbevaring, bearbeiding eller annen behandling, og underleverandør skal angis i avtalens punkt 10.
Behandlingens formål kan ikke endres av noen av partene uten at ny avtale er signert.
2. Formålsbegrensning
Formålet med Matematikksenterets forvaltning av personopplysninger på vegne av behandlingsansvarlig, er å levere resultater fra gjennomføring av digitale kartleggingstester AlleTeller!.
Elevene gjennomfører testene og de ansvarlige ved skolene får umiddelbart resultatene i form av resultatrapporter de henter ut av systemet. Skolene kan bare få tilgang til egne resultater, og det er bare skolene som skal hente ut resultatene.
Personopplysninger som Matematikksenteret forvalter på vegne av behandlingsansvarlig, kan ikke brukes til andre formål enn levering og administrasjon av resultatene fra de digitale kartleggingstestene AlleTeller!, uten at dette på forhånd er godkjent av behandlingsansvarlig.
Matematikksenteret kan ikke overføre personopplysninger som omfattes av denne avtalen til samarbeidspartnere eller andre tredjeparter uten at dette på forhånd er godkjent av behandlingsansvarlig, jf. punkt 10 i denne avtalen.
3. Instrukser
Matematikksenteret skal følge de skriftlige og dokumenterte instrukser for forvaltning av personopplysninger i de digitale kartleggingstestene Alle Teller! som behandlingsansvarlig har bestemt skal gjelde.
Matematikksenteret forplikter seg til å overholde alle plikter i henhold til gjeldende personvernregelverk når det gjelder behandling av personopplysninger fra de digitale kartleggingstestene Alle Teller!.
Matematikksenteret forplikter seg til å varsle behandlingsansvarlig dersom Matematikksenteret mottar instrukser fra behandlingsansvarlig som er i strid med personvernregelverket.
4. Opplysningstyper og registrerte
Matematikksenteret forvalter følgende personopplysninger på vegne av behandlingsansvarlig i forbindelse med levering og administrasjon av de digitale kartleggingstestene Alle Teller!:
Fullt navn (cn)
Navn som normalt vises (displayName)
Tilhørighet (eduPersonAffiliation)
Rettighet (eduPersonEntitlement)
Entydig navn (DN) for brukerens vertsorganisasjon (eduPersonOrgDN)
Navn på organisasjon (eduPersonOrgDN:o)
Entydig navn (DN) for brukerens organisasjonsenhet (eduPersonOrgUnitDN)
Primær tilknytning til organisasjon (eduPersonPrimaryAffiliation)
Personlig ID hos organisasjonen (eduPersonPrincipalName)
Fornavn (givenName)
E-post (mail)
Foretrukket språk (preferredLanguage)
Etternavn (sn)
Bruker-ID (uid)
Kontaktperson for Matematikksenteret, NTNU brukerkonto med navn, e-post og telefon
Resultater fra kartleggingstestene
Personopplysninger gjelder elever og ansatte ved skoler/institusjoner som kjøper lisenser til de digitale kartleggingstestene Alle Teller!. Alle data kan være sensitive eller fordre taushetsplikt.
5. De registrertes rettigheter
Matematikksenteret plikter å bistå behandlingsansvarlig med å ivareta den registrertes rettigheter i henhold til personvernregelverket.
Den registrertes rettigheter inkluderer retten til informasjon om hvordan hans eller hennes personopplysninger behandles, retten til å kreve innsyn i egne personopplysninger, retten til å kreve retting eller sletting av egne personopplysninger og retten til å kreve at behandlingen av egne personopplysninger begrenses.
I den grad det er relevant, skal Matematikksenteret bistå behandlingsansvarlig med å ivareta de registrertes rett til dataportabilitet og retten til å motsette seg automatiske avgjørelser, inkludert profilering.
Matematikksenteret er erstatningsansvarlig overfor de registrerte dersom feil eller forsømmelser hos Matematikksenteret påfører de registrerte økonomiske eller ikke-økonomiske tap som følge av at deres rettigheter eller personvern er krenket.
6. Tilfredsstillende informasjonssikkerhet
Matematikksenteret skal iverksette tilfredsstillende tekniske, fysiske og organisatoriske sikringstiltak for å beskytte personopplysninger som omfattes av denne avtalen mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet.
Matematikksenteret skal dokumentere egen sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, risikovurderinger og etablerte tekniske, fysiske eller organisatoriske sikringstiltak. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig.
Matematikksenteret skal etablere kontinuitets- og beredskapsplaner for effektiv håndtering av alvorlige sikkerhetshendelser. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig.
Matematikksenteret skal gi egne ansatte tilstrekkelig informasjon om og opplæring i informasjonssikkerhet slik at sikkerheten til personopplysninger som behandles på vegne av behandlingsansvarlig blir ivaretatt.
Matematikksenteret skal dokumentere opplæringen av egne ansatte i informasjonssikkerhet. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig.
7. Taushetsplikt
Kun ansatte hos Matematikksenteret som har tjenstlige behov for tilgang til personopplysninger som forvaltes på vegne av behandlingsansvarlig, kan gis slik tilgang. Matematikksenteret plikter å dokumentere retningslinjer og rutiner for tilgangsstyring. Dokumentasjonen skal være tilgjengelig for behandlingsansvarlig.
Ansatte hos Matematikksenteret har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til i henhold til denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. Taushetsplikten omfatter ansatte hos tredjeparter som utfører vedlikehold (eller liknende oppgaver) av systemer, utstyr, nettverk eller bygninger som Matematikksenteret anvender for å levere eller administrere/annen type behandling (navn på tjeneste/prosjekt).
Norsk lov vil kunne begrense omfanget av taushetsplikten for ansatte hos Matematikksenteret og tredjeparter. Offentleglovas bestemmelser om offentlig innsyn gjelder.
8. Tilgang til sikkerhetsdokumentasjon
Matematikksenteret plikter å gi behandlingsansvarlig tilgang til all sikkerhetsdokumentasjon som er nødvendig for at behandlingsansvarlig skal kunne ivareta sine forpliktelser i henhold til personvernregelverket.
Matematikksenteret plikter å gi behandlingsansvarlig tilgang til annen relevant dokumentasjon som gjør det mulig for behandlingsansvarlig å vurdere om Matematikksenteret overholder vilkårene i denne avtalen.
Ansatte hos behandlingsansvarlig har taushetsplikt for konfidensiell sikkerhetsdokumentasjon som Matematikksenteret gjør tilgjengelig for behandlingsansvarlig.
9. Varslingsplikt ved sikkerhetsbrudd
Matematikksenteret skal uten ubegrunnet opphold varsle behandlingsansvarlig dersom personopplysninger som forvaltes på vegne av behandlingsansvarlig utsettes for sikkerhetsbrudd som innebærer risiko for krenkelser av de registrertes personvern.
Varslet til behandlingsansvarlig skal som minimum inneholde informasjon som beskriver sikkerhetsbruddet, hvilke registrerte som er berørt av sikkerhetsbruddet, hvilke personopplysninger som er berørt av sikkerhetsbruddet, hvilke strakstiltak som er iverksatt for å håndtere sikkerhetsbruddet og hvilke forebyggende tiltak som eventuelt er etablert for å unngå liknende hendelser i fremtiden.
Behandlingsansvarlig er ansvarlig for at varsler om sikkerhetsbrudd fra Matematikksenteret blir videreformidlet til Datatilsynet.
10. Underleverandører
Matematikksenteret plikter å inngå egne avtaler med underleverandører til de digitale kartleggingstestene Alle Teller! som regulerer underleverandørenes forvaltning av personopplysninger i forbindelse med levering og administrasjon av de digitale kartleggingstestene Alle Teller!.
I avtaler mellom Matematikksenteret og underleverandører skal underleverandørene pålegges å ivareta alle plikter som Matematikksenteret selv er underlagt i henhold til denne avtalen.
Matematikksenteret plikter å forelegge avtalene for behandlingsansvarlig etter forespørsel.
Matematikksenteret skal kontrollere at underleverandører til de digitale kartleggingstestene Alle Teller! overholder sine avtalemessige plikter, spesielt at informasjonssikkerheten er tilfredsstillende og at ansatte hos underleverandører er kjent med sine forpliktelser og oppfyller disse.
Behandlingsansvarlig godkjenner at Matematikksenteret engasjerer følgende underleverandører i forbindelse med levering og administrasjon av/annen type behandling de digitale kartleggingstestene Alle Teller!. Underleverandør er Bouvet Norge.
Matematikksenteret kan ikke engasjere andre underleverandører enn de som er nevnt ovenfor uten at dette på forhånd er godkjent av behandlingsansvarlig.
Matematikksenteret er erstatningsansvarlig overfor behandlingsansvarlig for økonomiske tap som påføres behandlingsansvarlig og som skyldes ulovlig eller urettmessig behandling av personopplysninger eller mangelfull informasjonssikkerhet hos underleverandører til (navn på tjeneste/prosjekt).
11. Overføring til land utenfor EU/EØS
Ikke aktuelt for data som angår de digitale kartleggingstestene Alle Teller!
12. Sikkerhetsrevisjoner og konsekvensutredninger
Matematikksenteret skal jevnlig gjennomføre sikkerhetsrevisjoner av eget arbeid med sikring av personopplysninger mot uautorisert eller ulovlig tilgang, endring, sletting, skade, tap eller utilgjengelighet.
Matematikksenteret skal gjennomføre sikkerhetsrevisjoner av informasjonssikkerheten i de digitale kartleggingstestene Alle Teller!. Sikkerhetsrevisjoner skal omfatte Matematikksenteret sikkerhetsmål og sikkerhetsstrategi, sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, etablerte tekniske, fysiske og organisatoriske sikringstiltak og arbeidet med informasjonssikkerhet hos underleverandører til de digitale kartleggingstestene Alle Teller!. Det skal i tillegg omfatte rutiner for varsling av behandlingsansvarlig ved sikkerhetsbrudd og rutiner for testing av beredskaps- og kontinuitetsplaner.
Matematikksenteret skal dokumentere sikkerhetsrevisjonene. Behandlingsansvarlig skal gis tilgang til revisjonsrapportene.
Dersom en uavhengig tredjepart gjennomfører sikkerhetsrevisjoner hos Matematikksenteret, skal behandlingsansvarlig informeres om hvilken revisor som benyttes og få tilgang til oppsummeringer av revisjonsrapportene.
Matematikksenteret skal bistå behandlingsansvarlig dersom bruk av de digitale kartleggingstestene Alle Teller! medfører at behandlingsansvarlig har plikt til å utrede personvernkonsekvenser før de digitale kartleggingstestene Alle Teller! tas i bruk, jf. forordning (EU) 2016/679 av 27. april 2016, Artikkel 35 og 36. Matematikksenteret kan bistå behandlingsansvarlig ved iverksetting av personvernfremmende tiltak dersom konsekvensutredningen viser at dette er nødvendig.
13. Sletting
Ved opphør av denne avtalen plikter Matematikksenteret å slette alle personopplysninger som forvaltes på vegne av behandlingsansvarlig i forbindelse med levering og administrasjon av de digitale kartleggingstestene Alle Teller!.
Matematikksenteret skal slette personopplysninger fra alle lagringsmedier som inneholder personopplysninger som Matematikksenteret forvalter på vegne av behandlingsansvarlig. Xxxxxxxx skal skje ved at Matematikksenteret skriver over personopplysninger innen 30 dager etter avtalens opphør. Dette gjelder også for sikkerhetskopier av personopplysningene.
Matematikksenteret skal dokumentere at sletting av personopplysninger er foretatt i henhold til denne avtalen. Dokumentasjonen skal gjøres tilgjengelig for behandlingsansvarlig.
Matematikksenteret dekker alle kostnader i forbindelse med sletting av de personopplysninger som omfattes av denne avtalen.
14. Mislighold
Ved mislighold av vilkårene i denne avtalen som skyldes feil eller forsømmelser fra Matematikksenterets side, kan behandlingsansvarlig si opp avtalen med øyeblikkelig virkning. Matematikksenteret vil fortsatt være pliktig til å slette personopplysninger som forvaltes på vegne av behandlingsansvarlig i henhold til bestemmelsene i punkt 13 ovenfor.
Behandlingsansvarlig kan kreve erstatning for økonomiske tap som feil eller forsømmelser fra Matematikksenterets side, inkludert mislighold av vilkårene i denne avtalen, har påført behandlingsansvarlig, jf. også punkt 5 og 10 ovenfor.
15. Avtalens varighet
Denne avtalen gjelder så lenge Matematikksenteret forvalter personopplysninger på vegne av behandlingsansvarlig.
Avtalen gjelder i lisensperioden.
16. Kontaktpersoner
Kontaktperson hos Matematikksenteret for spørsmål knyttet til denne avtalen er: Leder ved Matematikksenteret, Xxxxxxx Xxxx, xxxxxxx.xxxx@xxxxxxxxxxxxxxxxxx.xx,
x00 00 00 00 00
Kontaktperson hos behandlingsansvarlig for spørsmål knyttet til denne avtalen er:
………………………………………………...
Enhet, stilling, kontaktinformasjon, adresse, telefon og e-post
17. Lovvalg og tvisteløsning
Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett. Eventuelle tvister som springer ut av denne avtalen skal først søkes løst gjennom forhandlinger.
Dersom partene ikke oppnår enighet gjennom forhandlinger, skal tvisten løses med bindende virkning av Kunnskapsdepartementet. Hver av partene kan forlange at tvisten oversendes departementet.
***
Denne avtale er i 2 – to eksemplarer, hvorav partene har hvert sitt.
Sted og dato
På vegne av behandlingsansvarlig På vegne av Matematikksenteret
...........................
………………………..
(underskrift) (underskrift)