Mønsteravtale for personverntjenester i forskning
Mønsteravtale for personverntjenester i forskning
Mønsteravtalen er utarbeidet av Universitets- og høgskolerådet (UHR) og NSD - Norsk senter for forskningsdata AS (NSD).
Innhold:
1. Bakgrunnsinformasjon og tilpasningsmuligheter
2. Mønsteravtale om personverntjenester i forskning
3. Vedlegg 1 til avtalen: Regulering av godtgjørelse (ikke utarbeidet ennå)
4. Vedlegg 2 til avtalen: Databehandleravtale (bruk lenken)
Bakgrunnsinformasjon og tilpasningsmuligheter
UHR anbefaler at mønsteravtalen brukes som mal når universitetene og høyskolene selv, gjennom egne avtaler, fastsetter hvilke personverntjenester NSD skal utføre ved behandling av personopplysninger til forskningsformål, hvor INSTITUSJONEN er behandlingsansvarlig.
Vedlagt avtalen mellom INSTITUSJONEN og NSD skal det følge med en egen databehandleravtale, mellom NSD og INSTITUSJONEN, samt et eget vedlegg som regulerer vederlag.
Når det i avtalen refereres til "institusjonens ledelse", kan dette være ledelsen selv, eller den ledelsen har delegert oppgaven til, som institusjonens personvernombud. Intern organisering spesifiseres nærmere i avtalen mellom INSTITUSJONEN og NSD.
Tilpasninger til avtalen
Punkt 2.1 i mønsteravtalen viser på hvilke områder NSD yter personverntjenester. Denne listen kan tilpasses den enkelte institusjon. Institusjoner som selv har et system for rådgivning av forskere, oversikt og kontroll over behandling av personopplysninger i helseforskningen, kan velge å ikke kjøpe personverntjenester fra NSD på helseforskningsområdet. Hvis institusjon likevel ønsker at NSD skal foreta personvernkonsekvensvurderinger (DPIA) av behandlinger til forskningsformål kan avtalen tilpasses ved at punkt 2.1 c) formuleres slik: «Forskning som omfattes av helseforskningsloven og krever DPIA».
Behandlingsansvarlig
INSTITUSJONEN er behandlingsansvarlig for all behandling av personopplysninger til forskningsformål. Gjennom avtalen med NSD velger INSTITUSJONEN å kjøpe personverntjenester av NSD. Dette for å få bistand i å sikre og påvise at personopplysninger behandles i samsvar med personvernregelverket på forskningsområdet.
Personvernombud
INSTITUSJONEN skal oppnevne personvernombud i samsvar med personvernforordningen art. 37. Personvernombudets stilling og oppgaver er beskrevet i personvernforordningen art. 38 og 39.
Personvernombudet skal holdes orientert om NSDs personvernvurderinger via meldingsarkivet. Dette for at personvernombudet skal kunne utføre sine oppgaver. Blant annet må ombudet kunne gi egne råd og anbefalinger til INSTITUSJONENs ledelse, dersom ombudet er uenig i NSDs vurderinger.
I de tilfellene hvor NSD lager utkast til DPIA for INSTITUSJONEN skal personvernombudet, på lik linje med INSTITUSJONENES ledelse, motta utkastet. Dette for at personvernombudet skal bli involvert og kunne gi egne vurderinger/anbefalinger til INSTITUSJONENS ledelse. Tilsvarende gjelder i de tilfeller hvor NSDs vurdering konkluderer med at det er behov for forhåndsdrøfting med tilsynsmyndigheter etter art. 36.
Kontaktperson
INSTITUSJONEN skal oppnevne en kontaktperson som har det daglige ansvaret for samarbeidet med NSD om personverntjenester. Kontaktpersonen bør enten være en person som arbeider nær øverste leder og som har oversikt over det interne personvernarbeidet, eller INSTITUSJONENS
personvernombud. Kontaktpersonen vil opptre som ledelsens representant overfor NSD, og vil dermed:
- involveres i personvernkonsekvensvurderinger (jf. avtalens punkt 5.1 f)
- involveres i forhåndsdrøftinger (jf. avtalens punkt 5.1 g)
- varsles om prosjekt som NSD vurderer som forskningsetisk og/eller juridisk uforsvarlig/problematisk (jf. avtalens punkt 5.1 n)
- varsles dersom forsker/student ikke gir tilbakemelding i forbindelse med forhåndsvurdering, underveisvurdering eller sluttvurdering (jf. avtalens punkt 5.1, 5.2 og 5.3)
- varsles om brudd på personvernregelverket (jf. avtalens punkt 5.4)
- kontaktes av NSD i forbindelse med bistand i dialog med Datatilsynet (jf. avtalens punkt 5.5)
- kontaktes av NSD i forbindelse med bistand etter henvendelser fra de registrerte (jf. avtalens punkt 5.6)
- kontaktes av NSD for å klarere særskilte opplæringsoppdrag (jf. avtalens punkt 6)
- motta skriftlig rapport fra NSD to ganger i året (jf. avtalens punkt 7)
Administrator for meldingsarkivet
Meldingsarkivet er et styrings- og kontrollverktøy som gir INSTITUSJONEN en protokoll over alle pågående behandlinger (jf. art 30), en beskrivelse og dokumentasjon vedrørende hvert prosjekt, og en mulighet til å føre internkontroll.
Iht. avtalens punkt 4 skal INSTITUSJONEN også oppnevne en administrator for meldingsarkivet. Administrator har ansvar for å gi tilgang til meldingsarkivet til ansatte ved INSTITUSJONEN som har ansvar for internkontroll med behandling av personopplysninger til forskningsformål. Administrator har ansvar for å vedlikeholde tilgangene, slik at tilgangene er i tråd med de ansattes ansvarsområde. Det innebærer at tilgangen skal avsluttes når ansatte slutter i stillingen, og at tilgangen skal endres når ansatte får endrede ansvarsforhold.
Informasjon som INSTITUSJONEN skal holde oppdatert i meldingsarkivet
I meldingsarkivet skal INSTITUSJONEN oppgi kontaktopplysninger til personvernombud, kontaktperson og administrator. Det er ingenting i veien for at samme person kan fylle alle rollene ved en institusjon. Videre skal INSTITUSJONEN vedlegge eller oppgi lenke til sine internkontrollrutiner for behandling av personopplysninger til forskningsformål, herunder rutiner for informasjonssikkerhet.
Ved endringer i kontaktopplysninger for de nevnte rollene eller i internkontrollrutiner, har INSTITUSJONEN ansvar for å oppdatere informasjonen i meldingsarkivet.
Avtale om personverntjenester i forskning
mellom [XXX], heretter benevnt «INSTITUSJONEN» og
NSD - Norsk senter for forskningsdata AS
Formålet med avtalen er at NSD skal bistå INSTITUSJONEN med å sikre og påvise at behandling av personopplysninger til forskningsformål skjer i samsvar med personvernforordningen, personopplysningsloven og helselovene (personvernregelverket).
Når det i avtalen refereres til kapitler og artikler, er henvisningen til EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning). Begreper og definisjoner benyttet i denne avtalen skal forstås på samme måte som i personvernlovgivningen.
Forskningsformål i denne avtalen skal tolkes i samsvar med forordningens fortale, pkt. 159.
Med forskningsprosjekt menes i denne avtalen vitenskapelig arbeid på bachelor-, master-, ph.d.- og forskernivå.
2 Avtalen omfatter følgende personverntjenester
• Generell informasjon, opplæring og rådgivning om behandling av personopplysninger og ivaretakelse av personvern i forskning
• Vurdering av bruk av personopplysninger i innmeldte forskningsprosjekt, både i forkant, underveis og ved avslutning av forskningsprosjekt.
• Håndtering av henvendelser fra registrerte (deltakere) i forskningsprosjekt
• Xxxxxxxx av og eventuelt bistand for å håndtere brudd på personopplysningssikkerheten og andre brudd på personvernregelverket som avdekkes i alle deler av forskningsprosjektets planlegging, gjennomføring og/eller avslutning.
• Personvernkonsekvensvurderinger (Data Protection Impact Assessment - DPIA).
• Forhåndsdrøftinger og dialog med Datatilsynet.
• Utvikling og vedlikehold av system for innmeldinger og rådgivning, og oppdatert meldingsarkiv over forskningsprosjektene.
• Offentlig tilgjengelig oversikt over behandlinger av personopplysninger
• Jevnlige statusmøter mellom INSTITUSJONENs ledelse og NSD
2.1 Personverntjenestene ytes på følgende områder:
a) Forskning på alminnelige personopplysninger
b) Forskning på særlige kategorier personopplysninger og personopplysninger om straffedommer og lovovertredelser
c) Forskning som omfattes av helseforskningsloven
d) Kvalitetssikring iht. helsepersonelloven § 26 og § 29 b)
e) Kvalitetssikring iht. forskrift om kvalitetssikring i høyere utdanning og fagskoleutdanning § 2- 1
2.2 Xxxxxxxxx til NSD som ikke omfattes av avtalen her
Dersom NSD mottar meldinger om forskning som ikke er omfattet av denne avtalen, vil disse bli returnert til forsker, student og INSTITUSJON uten vurdering.
NSD utfører personverntjenester for INSTITUSJONEN i tråd med denne avtalen, for å bistå INSTITUSJONEN i å skape etterlevelse og dokumentasjon av at behandlingen av personopplysninger til forskningsformål er i samsvar med personvernregelverket.
INSTITUSJONEN er behandlingsansvarlig for all behandling av personopplysninger til forskningsformål.
4 Institusjonens plikter etter avtalen
INSTITUSJONEN skal sørge for at:
a) NSDs personverntjenester er kjent ved INSTITUSJONEN
b) forskere og studenter søker råd hos NSD om behandlinger av personopplysninger til forskningsformål innenfor avtalens område, jf. pkt. 2.
c) forskere og studenter melder behandling av personopplysninger, der INSTITUSJONEN er behandlingsansvarlig til NSD senest 30 dager før planlagt oppstart, jf. pkt. 2.
d) forskere og studenter bruker NSDs meldeskjema, vedlegger all nødvendig dokumentasjon, kompletterer meldeskjema dersom NSD etterspør dette, og avventer NSDs vurderinger før oppstart, jf. punkt 2 i avtalen.
e) forskere og studenter får veiledning slik at behandlingen oppfyller kravene til sikkerhet i art. 5 d), art. 5 f). og art. 32) og kravene ved felles behandlingsansvar (art. 26), bruk av databehandler (art. 28) og overføring av personopplysninger til tredjeland og internasjonale organisasjoner (kapittel 5)
f) forskere og studenter oppfyller art. 5 d om riktighet, og art. 5 f om integritet og konfidensialitet.
g) forskere og studenter har en tydelig datahåndteringsplan, der alle deler av prosjektet er beskrevet, også hva som skal skje med personopplysningene etter at prosjektet er avsluttet (anonymisering/arkivering/gjenbruk/sletting) der dette er et krav hos institusjonen.
h) prosedyren under pkt b), c) og d) gjelder også for endringer av behandlingen av personopplysninger
i) det er oppnevnt en fast kontaktperson for NSD på INSTITUSJONEN. Kontaktpersonen skal ha det daglige ansvaret for samarbeidet med NSD om personverntjenester. INSTITUSJONEN er ansvarlig for å holde informasjon om kontaktperson oppdatert.
j) INSTITUSJONENS ledelse, personvernombud og/eller kontaktperson besvarer henvendelser fra NSD innen rimelig tid
k) det er oppnevnt en administrator for tilgang til meldingsarkivet. INSTITUSJONEN er ansvarlig for å holde dette oppdatert.
l) administrator for meldingsarkivet gir personvernombudet tilgang til meldingsarkivet slik at personvernombudet holdes orientert om NSDs vurderinger.
m) INSTITUSJONENs oppdaterte internkontrollrutiner for behandling av personopplysninger til forskningsformål, herunder informasjonssikkerhet, skal gjøres tilgjengelig for NSD.
NSD skal sørge for å:
a) ha oppdatert dybdekunnskap om personvernlovgivning og gi uavhengige vurderinger
b) tilstrebe å bruke under 30 virkedager på å gi sine vurderinger. Vurderingstid vil være avhengig av at forsker/student gir fullstendig informasjon om prosjektet i meldeskjema og sender inn nødvendig dokumentasjon jf. pkt. 4 d). Særlig komplekse prosjekt kan kreve lenger tid å få vurdert.
c) gi generell veiledning til forsker/student om behandling av personopplysninger i forskning og forskningsetiske retningslinjer som ikke faller inn under De regionale etiske komitéene for medisinsk og helsefaglig forsknings (REK) mandat.
d) NSD har taushetsplikt, jf. forvaltningslovens §13.
5.1 Forhåndsvurdering av meldeskjema
NSD skal forhåndsvurdere om den planlagte behandlingen av personopplysninger som er meldt:
a) faller inn under virkeområdet til personopplysnings- og helselovgivningen
b) oppfyller prinsippene i art. 5 nr.1 a), b), c) og e) og gir råd om artikkel 5 nr.1 d) og f).
c) har lovlig behandlingsgrunnlag i henhold til art. 6, 9, 10 og nasjonalt supplerende rettsgrunnlag
d) oppfyller vilkår til samtykke i art. 7, hvis relevant
e) oppfyller de registrertes rettigheter, i den grad det er mulig å identifisere de/n registrerte, med mindre det er lovlig adgang til å gjøre unntak i henhold til art. 11-22 og utfyllende bestemmelser i personopplysningsloven
f) nødvendiggjør personvernkonsekvensvurdering (DPIA) og utfører i så fall denne i samråd med INSTITUSJONENs ledelse og personvernombud jf. art. 35
g) nødvendiggjør forhåndsdrøfting med Datatilsynet, og utfører i så fall denne i samråd med INSTITUSJONENs ledelse og personvernombud, på forespørsel om bistand fra institusjonen jf. art. 36
h) krever dispensasjon fra taushetsplikten, og etterspør i så fall kopi av søknad om dispensasjonen(e) og ber om at vedtak ettersendes.
i) krever godkjenning av forskningsbiobank, og etterspør i så fall kopi av søknad om godkjenningen, og ber om at vedtak ettersendes.
j) beskriver tekniske og organisatoriske tiltak for sikring av personopplysningene og gir generelle råd om hvilke tiltak som kan være egnet, men forutsetter at INSTITUSJONEN tar ansvar for at personopplysninger behandles i samsvar med art. 32 og art. 5d) og f) og INSTITUSJONENS retningslinjer for informasjonssikkerhet.
k) medfører deling av personopplysninger med felles behandlingsansvarlige eller databehandlere, og gir i så fall generelle råd om hvordan dette bør gjennomføres for at behandlingen av personopplysninger skjer i samsvar med personvernregelverket jf. art. 26, 28, 29
l) innebærer overføring av personopplysninger til tredjeland eller internasjonale organisasjoner og gir i så fall generelle råd om hvordan dette bør gjennomføres for at behandlingen av personopplysninger skjer i samsvar med personvernregelverket, jf. kap.V.
m) har en tydelig datahåndteringsplan, der alle deler av prosjektet er beskrevet, også hva som skal skje med personopplysningene etter at prosjektet er avsluttet (anonymisering/arkivering/gjenbruk/sletting), der dette er et krav hos institusjonen.
n) er forskningsetisk og/eller juridisk uforsvarlig/problematisk, og vil i så tilfelle anbefale forsker/student å justere forskningsprosjektet. Hvis dette ikke lar seg gjøre, skal NSD
underrette INSTITUSJONENs ledelse og personvernombud, og eventuelt bistå videre i vurderingen av prosjektet.
o) krever rettslig grunnlag for innsamling av personopplysninger, særlig når opplysningene hentes fra andre kilder enn den registrerte.
NSD skal gi skriftlig vurdering til forsker/student og gjøre vurderingen og relevant dokumentasjon tilgjengelig i meldingsarkivet.
Dersom forsker/student ikke gir tilbakemelding under rådgivningen innen rimelig tid, eller unnlater å sende inn nødvendige vedlegg til meldeskjema, skal NSD avslutte rådgivningen uten vurdering og gi melding til forsker/student og varsle INSTITUSJONENs ledelse om dette.
5.2 Underveisvurdering av pågående prosjekt
a) Xxxxxxx/student skal på eget initiativ melde endringer til NSD ved å oppdatere meldeskjemaet jf. pkt 4 d).
b) For å fange opp endringer som ikke blir meldt, skal NSD i alle meldte behandlinger som pågår rette en henvendelse til forsker og student hvert annet år, og be om tilbakemelding på om behandlingen av personopplysninger skjer i tråd med tidligere melding.
c) Har det vært endringer i behandling av personopplysninger i løpet av prosjektperioden, vurderer NSD dette i henhold til personvernregelverket på samme måte som for forhåndsvurderingen.
Ved endringer skal NSD gi skriftlig tilbakemelding med vurdering av endringen til forsker/student og gjøre vurderingen og relevant dokumentasjon tilgjengelig i meldingsarkivet.
Dersom forsker/student ikke gir tilbakemelding under rådgivningen innen rimelig tid, eller unnlater å sende inn nødvendige vedlegg til meldeskjema, skal NSD varsle INSTITUSJONENs ledelse.
5.3 Sluttvurdering av prosjekt
Ved prosjektslutt skal NSD:
a) rette en henvendelse til forsker/student og be om tilbakemelding på status for behandling av personopplysninger og avklare om personopplysningene skal behandles i tråd med tidligere melding (anonymisere, arkivere, gjenbruke eller slette personopplysninger) i henhold til personvernlovgivningen. For prosjekt som har fått en DPIA-vurdering, rettes henvendelsen senest 21 dager før behandlingen av personopplysninger er planlagt avsluttet.
b) vurdere eventuelle endringer i prosjektet i henhold til personvernregelverket på samme måte som under forhåndsvurderingen
Ved endringer skal NSD gi skriftlig tilbakemelding om sin vurdering av endringen til forsker/student og gjøre vurderingen og relevant dokumentasjon tilgjengelig i meldingsarkivet.
Dersom forsker/student ikke gir tilbakemelding på statushenvendelsen eller under rådgivningen innen rimelig tid, skal NSD varsle INSTITUSJONENs ledelse.
5.4 Varsle brudd på personvernregelverket
Dersom NSD i forbindelse med forhånds- og underveisvurdering og/eller ved avslutning av forskningsprosjekt mistenker eller oppdager brudd på personopplysningssikkerheten eller andre brudd på personvernregelverket, skal NSD varsle INSTITUSJONENs ledelse uten ugrunnet opphold.
NSD skal på anmodning fra INSTITUSJONEN bistå i vurderingen av om brudd på person- opplysningssikkerheten er varslingspliktig til Datatilsynet og/eller de registrerte jf. art. 33-34.
Det er INSTITUSJONENs ledelse som avgjør om, og på hvilken måte, slik varsling skal skje.
5.5 Bistand i dialog med Datatilsynet
På forespørsel fra INSTITUSJONENs ledelse, skal NSD bistå INSTITUSJONEN i dialogen med Datatilsynet ved å delta i møter og/eller i utforming av skriftlige henvendelser. Dette gjelder både ved generelle spørsmål om behandling av personopplysninger til forskningsformål, ved forhåndsdrøftinger, håndtering av avvikssaker, tilsyn og klage på vedtak fra Datatilsynet.
5.6 Bistand etter henvendelser fra de registrerte
På forespørsel fra INSTITUSJONENs ledelse vil NSD bistå INSTITUSJONEN med å håndtere henvendelser fra de registrerte i behandlinger som er meldt til NSD. Dersom registrerte henvender seg direkte til NSD, vil NSD videreformidle dette til INSTITUSJONENs ledelse.
5.7 Utvikling og drift av system
NSD utvikler og drifter system for innmelding, vurdering og dokumentasjon av personopplysninger i forskningsprosjekt. Utvikling skal skje i samarbeid med en referansegruppe med representanter fra UH, institutt- og helsesektoren.
Det må arbeides for å utvikle god systemintegrasjon mellom NSDs system og INSTITUSJONENs system.
5.7.1 Meldeskjema for behandling av personopplysninger
NSDs meldeskjema skal sikre at forsker og student kan søke råd og få veiledning om reglene for behandling av personopplysninger. Videre skal meldeskjema gi INSTITUSJONEN nødvendig informasjon og dokumentasjon om hver innmeldte behandling.
5.7.2 Min side for forskere og studenter
NSD har ansvar for «Min side» for forskere og studenter. «Min side» er et verktøy for forsker og student som inneholder oversikt over NSDs tjenester, kopi av meldeskjema, korrespondanse mellom NSD og forsker og student.
Meldingsarkivet er et styrings- og kontrollverktøy som gir INSTITUSJONEN:
a) Protokoll over alle pågående behandlinger av personopplysninger til forskningsformål som NSD har behandlet for INSTITUSJONEN (jf. art 30)
b) Beskrivelse og dokumentasjon vedrørende hvert prosjekt.
c) Mulighet til å føre internkontroll med at prosjektene utføres i samsvar med personvernregelverket
NSD skal tilby veiledning om personvernregelverket på forskningsområdet til INSTITUSJONENs ledelse, forskningsadministrasjon, forskere, veiledere og studenter gjennom:
a) en tilgjengelig veiledningstjeneste
b) kurs i bruk av meldingsarkivet og hvordan benytte dette som en ressurs i internkontrollarbeidet
c) å bidra i arbeidet med utvikling av e-læringskurs for personvern i forskning
Etter nærmere avtale, og ved kapasitet kan NSD gi opplæring i personvernregelverket på forskningsområdet. Slik opplæring kan f.eks. være foredrag, kurs, og vurdering av internkontrollrutiner. Slik opplæring skal klareres med INSTITUSJONENs ledelse og vil medføre ekstra kostnad.
NSD forplikter seg til å levere skriftlig rapport to ganger i året til INSTITUSJONENs ledelse og personvernombud, innen utgangen av januar og august.
INSTITUSJONEN og NSD er gjensidig forpliktet til ett årlig møte i tidsrommet januar - mars, der NSD legger frem status for INSTITUSJONENs behandling av personopplysninger i forskningsprosjekt. I tillegg avtales møter når det dukker opp særskilte behov.
Status fra NSD skal inneholde oversikt over det siste årets:
• Innmeldte prosjekt
• Underveisvurderinger
• Sluttvurderinger
• Endringsmeldinger
• Behandlinger av alminnelige personopplysninger
• Behandlinger av særskilte kategorier og strafferettslige personopplysninger
• Personvernkonsekvensvurderinger
• Forhåndsdrøftinger med Datatilsynet
• Klagesaker til Datatilsynet
• Brudd på personopplysningssikkerheten og personvernregelverket
• Protokoll
• Møter og opplæringstjenester som NSD har utført med/for INSTITUSJONEN
• Eventuelle andre tjenester som NSD har bistått INSTITUSJONEN med det siste året
I møtet skal INSTITUSJONEN gi NSD tilbakemelding på NSDs personverntjenester, hva som fungerer bra og hva som bør endres/forbedres.
Tilsvarende skal NSD gi INSTITUSJONEN tilbakemelding på INSTITUSJONENs arbeid med personvern i forskning, hva som fungerer bra og hva som bør endres/forbedres.
8 Avtalens varighet og oppsigelse
Avtalene gjelder fra undertegningsdato og inntil den sies opp av en av partene. Avtalen kan sies opp med seks måneders skriftlig varsel. I oppsigelsestiden kan INSTITUSJONEN selv hente ut sine data. Deretter vil dataene bli slettet.
9 Forholdet til foregående avtale
Dersom det ved avtaleinngåelsen foreligger en gjeldende avtale mellom INSTITUSJONEN og NSD om personverntjenester, erstatter denne avtale den gamle i sin helhet, og den forrige avtalen anses som sagt opp med umiddelbar virkning.
Begge parter kan be om forhandlinger med sikte på endringer. Ved større endringer i personvernregelverket som virker inn på denne mønsteravtalen, skal UH-sektoren, gjennom UHR og i samarbeid med NSD, gjennomgå avtalen og foreta nødvendige endringer.
INSTITUSJONEN skal betale vederlag for NSDs personverntjenester etter avtalen. En finansieringsmodell er utformet i samarbeid mellom UHR og NSD. Denne danner grunnlag for avtale om vederlag for NSDs tjenester, som inngås mellom INSTITUSJONEN og NSD, og tas inn som et vedlegg til avtalen.
12 Eiendoms- og disposisjonsrett
Denne avtalen endrer ikke de opphavs-, disposisjons- eller eiendomsrettighetene partene hadde før avtalen, og som de beholder under gjennomføringen av avtalen.
NSD beholder opphavsretten til programvare utviklet av NSD, samt tilpasninger som utvikles spesielt for INSTITUSJONEN med mindre annet er avtalt i det enkelte tilfellet.
INSTITUSJONEN får begrenset disposisjonsrett til alt utstyr og programvare som NSD stiller til rådighet for INSTITUSJONEN i forbindelse med levering av personverntjenester. Disposisjonsretten omfatter alle de beføyelser som er nødvendig for å benytte tjenesten i henhold til avtalens formål.
Hver av partene har ansvar for at de har de nødvendige autorisasjoner og rettigheter mv. til maskinvare, infrastruktur, programvare og dokumentasjon som de benytter i avtaleforholdet. Hvis en av partene vil benytte utstyr eller programvare mv. som parten ikke selv eier eller har rettigheter til, skal parten sørge for at nødvendig godkjennelse i form av underliggende avtale med eier eller rettighetshaver foreligger, før slikt utstyr eller programvare mv. kan brukes for drift i henhold til denne avtalen.
Hvis det foretas endringer, forbedringer eller lignende i forbindelse med tjenestene etter denne avtalen, har NSD ansvaret for at INSTITUSJONEN får den disposisjonsrett som er nødvendig for at utstyr og programmer fortsatt kan benyttes uten hinder av andres opphavsrett eller andre rettigheter.
INSTITUSJONEN (og dennes rettighetsgivere) beholder eiendomsrett til alle data som overlates til NSD for behandling, og som lagres eller prosesseres ved hjelp av ytelsene under denne avtalen. Det samme gjelder resultatet av NSDs behandling av slike data.
NSD har tilgang til data som nevnt ovenfor utelukkende i den utstrekning som er nødvendig for at NSD skal kunne oppfylle sine forpliktelser i henhold til avtalen.
NSD har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i INSTITUSJONENs data.
Skulle det inntreffe en ekstraordinær situasjon som ligger utenfor partenes kontroll som gjør det umulig å oppfylle plikter etter denne avtalen og som etter norsk rett må regnes som force majeure, skal motparten varsles om dette så raskt som mulig. Den rammede parts forpliktelser suspenderes så lenge den ekstraordinære situasjonen varer. Den annen parts motytelse suspenderes i samme tidsrom.
Motparten kan i force majeure-situasjoner bare heve avtalen med den rammede parts samtykke, eller hvis situasjonen varer eller antas å ville vare lenger enn 90 (nitti) kalenderdager regnet fra det tidspunkt situasjonen inntrer, og da bare med 15 (femten) kalenderdagers varsel.
I forbindelse med force majeure-situasjoner har partene gjensidig informasjonsplikt overfor hverandre om alle forhold som må antas å være av betydning for den annen part. Slik informasjon skal gis så raskt som mulig.
14.1 Hva som anses som mislighold
Det foreligger mislighold dersom en av partene ikke oppfyller sine forpliktelser etter avtalen, og det ikke skyldes forhold som den annen part er ansvarlig for, eller force majeure.
Dersom en av partene ikke kan oppfylle sine plikter som avtalt, skal parten så raskt som mulig gi den annen part skriftlig varsel om dette. Varselet skal angi årsaken til problemet og så vidt det er mulig angi når ytelsen kan leveres. Tilsvarende gjelder hvis det må antas ytterligere forsinkelser etter at første varsel er gitt.
INSTITUSJONEN må reklamere uten ugrunnet opphold dersom INSTITUSJONEN oppdager en mangel ved tjenestene.
14.3 Sanksjoner ved mislighold
Ved mislighold fra INSTITUSJONEN kan NSD holde tilbake sine ytelser.
Ved mislighold fra NSD kan INSTITUSJONEN holde betaling tilbake, men ikke åpenbart mer enn det som er nødvendig for å sikre INSTITUSJONENs krav som følge av mislighold.
NSD skal påbegynne og gjennomføre arbeidet med å avhjelpe misligholdet innen rimelig tid etter at feilen er meldt NSD.
Dersom det foreligger vesentlig mislighold, kan den annen part etter å ha gitt den misligholdende part skriftlig varsel og rimelig frist til å bringe misligholdet til opphør, heve avtalen med øyeblikkelig virkning.
Erstatnings og erstatningsbegrensning følger av bakgrunnsretten.
Samlet erstatning i avtaleperioden er begrenset til et beløp som tilsvarer avtalens samlede årlige vederlag eksl. merverdiavgift.
Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett.
Dersom det oppstår uenighet mellom partene om tolkning eller rettsvirkninger av avtalen, skal partene først forsøke å bli enige gjennom forhandlinger og/eller mekling.
Dersom en tvist ikke blir løst ved forhandling eller mekling, kan hver av partene forlange tvisten avgjort med endelig virkning ved norske domstoler.
NSD sitt hjemting er verneting.
Partene kan alternativt avtale at tvisten blir avgjort med endelig virkning ved voldgift.
Dersom INSTITUSJONEN er en statlig virksomhet og partene ikke oppnår enighet gjennom forhandlinger og/eller mekling skal tvisten løses med bindende virkning av det departement NSD til enhver tid er underlagt.
For INSTITUSJONEN For NSD
Dato / underskrift Dato / underskrift
Vedlegg:
1. Regulering av godtgjørelse
2. Databehandleravtale