Mal for Databehandleravtale

1. Denne avtalen ("Databehandleravtalen") er en del av [navn på hovedavtalen] ("Hovedavtalen") datert [dato] mellom [navn] («Behandlingsansvarlig") og [navn] ("Databehandler"), der begge utgjør en "Part", samlet benevnt som "Partene".

2. Databehandleravtalens hensikt er å regulere rettigheter og plikter i henhold til Europaparlamentets- og rådsforordning (EU) 2016 av 27. april 2016 og lov om behandling av personopplysninger (LOV-2018-06-15-38).

3. Databehandleravtalen regulerer Databehandlers Behandling av Personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Hovedavtalen.

4. I tilfelle uoverensstemmelse mellom Hovedavtalen og Databehandleravtalen når det gjelder forhold spesifikt knyttet til personvern, skal Databehandleravtalen gis forrang.

5. Databehandleravtalen har tre vedlegg. Vedleggene er en del av Databehandleravtalen. I tilfelle uoverensstemmelse mellom Databehandleravtalen og vedleggene, skal vedleggene gis forrang.

6. Vedlegg 1 inneholder en beskrivelse av Behandlingens omfang, formål, art og hensikt, type Personopplysninger, kategorier av registrerte og varighet av Behandlingen.

7. Vedlegg 2 inneholder en beskrivelse av tekniske og organisatoriske sikkerhetstiltak.

8. Vedlegg 3 inneholder en oversikt over godkjente Underdatabehandlere.

2 DEFINISJONER

I Databehandleravtalen skal følgende ord og uttrykk ha denne betydning:

1. «Personopplysninger»: Enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»). En identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en eller flere identifikatorer. Slike identifikatorer kan f.eks. være et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en online-identifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet, se artikkel 4 nr. 1.

2. «Behandling»: Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring. Det omfatter også tilgang til å se på personopplysningene, aksessere, samt aksessering fra annen lokasjon (fjernaksess), og eller mulighet til å aksessere personopplysninger, selv om denne muligheten ikke faktisk benyttes, både fra fjern og nær lokasjon. Se artikkel 4 nr. 2.

3. «Brudd på personopplysningssikkerheten»: Brudd på sikkerheten som fører til

utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet, se artikkel 4 nr. 12.

4. «Underdatabehandler»: En annen databehandler eller flere (underleverandører) som Databehandler engasjerer for å utføre spesifikke Behandlinger på vegne av Behandlingsansvarlig.

5. «GDPR»: General Data Protection Regulation. Europaparlamentets- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning).

6. «Gjeldende personvernregler»: Til enhver tid gjeldende lover og regler om personvern, inkludert personopplysningsloven og GDPR.

7. «Tredjestat»: Et land utenfor EØS.

For øvrig skal ord og uttrykk ha samme mening som de er tillagt i GDPR.

3 OMFANG AV BEHANDLINGEN

1. Databehandleravtalen gjelder alle Personopplysninger som Databehandler skal behandle på vegne av Behandlingsansvarlig, f.eks. Personopplysninger som Databehandler har mottatt, er gitt tilgang til eller har generert i forbindelse med Hovedavtalen.

2. Behandlingens omfang, formål, art og hensikt, type Personopplysninger, kategorier av registrerte og varighet av Behandlingen fremgår av Vedlegg 1.

3. Databehandler har ikke selvstendig råderett over Personopplysningene og kan ikke bruke opplysningene til andre formål enn det som fremgår av Vedlegg 1, med mindre det kreves i henhold til unionsretten eller medlemsstatenes nasjonale rett som Databehandleren er underlagt. I så fall skal Databehandleren underrette den Behandlingsansvarlige om nevnte rettslige krav før Behandlingen, men mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning Databehandleren skal ellers behandle Personopplysningene i samsvar med Behandlingsansvarliges dokumenterte instrukser.

4 GENERELLE PLIKTER

1. Databehandler plikter å utføre Behandlingen av Personopplysningene i samsvar med krav som stilles til databehandlere etter Gjeldende personvernregler.

2. Databehandler skal omgående varsle Behandlingsansvarlig skriftlig hvis Databehandler har rimelig grunn til å tro at:

(i) en instruks fra Behandlingsansvarlig kan medføre at Databehandler bryter med

Gjeldende personvernregler, eller

(ii) gjeldende rett i EØS-området krever at Databehandler behandler Personopplysninger utover omfanget av Behandlingsansvarliges dokumenterte instrukser.

I tilfelle av (i) eller (ii) skal Partene diskutere hvordan problemet kan løses uten at de registrertes rettigheter blir krenket.

3. Databehandler skal umiddelbart varsle Behandlingsansvarlig hvis den mottar forespørsel fra en myndighet om å utlevere Personopplysninger som er behandlet under Databehandleravtalen. Med mindre loven krever det, skal Databehandler ikke etterkomme en slik forespørsel uten skriftlig forhåndsgodkjenning fra Behandlingsansvarlig.

4. Hvis Databehandler er underlagt godkjente atferdsnormer etter GDPR artikkel 40 eller en godkjent sertifiseringsmekanisme etter GDPR artikkel 42, garanterer Databehandler at den vil etterleve slike atferdsnormer eller sertifiseringsmekanismer.

5. Dersom Databehandler er underlagt plikt om protokollføring som fremgår av GDPR artikkel 30 skal Databehandler føre skriftlig protokoll over alle kategorier av Behandlinger som utøves på vegne av Behandlingsansvarlig.

5 BISTAND TIL BEHANDLINGSANSVARLIG

1. Databehandler plikter å bistå Behandlingsansvarlig ved oppfyllelse av registrertes rettigheter etter GDPR kapittel III.

2. Databehandleren skal bistå Behandlingsansvarlig med forpliktelsene etter GDPR artikkel 32 til 36, herunder Behandlingsansvarliges forpliktelser til å gjennomføre tekniske og organisatoriske sikkerhetstiltak, å gi melding til registrerte og Datatilsynet om Brudd på personopplysningssikkerhet, vurdering av personvernkonsekvenser samt forhåndsdrøftinger med Datatilsynet.

3. Ved behov for bistand som nevnt i dette punkt 5 skal Behandlingsansvarlig sende en skriftlig henvendelse til Databehandler.

4. Databehandler skal umiddelbart videresende til Behandlingsansvarlig forespørsler eller klager som Databehandler eventuelt mottar fra den registrerte.

Kommentert [SL1]: Denne timeprisen bør legges inn før kunngjøring av konkurransen.

5. Ved bistand som nevnt i dette punkt 5 kan Databehandler fakturere Behandlingsansvarlig etter nødvendig medgått tid etter en fast timepris på kr. xx ekskl. mva., med mindre annet er regulert i Hovedavtalen.

6 TEKNISKE OG ORGANISATORISKE SIKKERHETSTILTAK

1. Databehandler skal gjennomføre egnede tekniske, fysiske og organisatoriske sikkerhetstiltak for å beskytte Personopplysninger som omfattes av Databehandleravtalen mot utilsiktet eller ulovlig tilintetgjøring, tap, endring og ikke-autorisert utlevering eller

tilgang. Databehandleren skal som et minimum gjennomføre de tiltakene som er påkrevd i

henhold til GDPR artikkel 32, samt de tiltak som er angitt eller referert til i Vedlegg 2.

2. I henhold til GDPR artikkel 32 skal Databehandleren – uavhengig av Behandlingsansvarlig – også vurdere risikoene som Behandlingen utgjør for fysiske personers rettigheter og gjennomføre tiltak for å imøtegå disse risikoene. I forbindelse med denne vurderingen, skal Behandlingsansvarlig stille nødvendig informasjon til rådighet for Databehandleren som gjør vedkommende i stand til at identifisere og vurdere risikoene.

3. Databehandler skal ikke utlevere Personopplysninger til tredjeparter uten skriftlig forhåndsgodkjenning fra Behandlingsansvarlig. Unntak gjelder for overføring til eventuelle godkjente Underdatabehandlere (se avtalens punkt 8) når de har behov for Personopplysningene for å kunne utføre sine oppgaver.

4. Databehandler skal sikre at kun de personer som er autorisert til å behandle Personopplysninger, har tilgang til Personopplysningene som behandles på vegne av Behandlingsansvarlig.

7 TAUSHETSPLIKT

1. Databehandlers ansatte og andre som opptrer på Databehandlers vegne, har taushetsplikt om informasjon og Personopplysninger som vedkommende får tilgang til etter Databehandleravtalen. Taushetsplikten omfatter også ansatte hos Underdatabehandler som utfører oppdrag for Databehandler for å kunne levere tjenesten.

2. Ansatte og andre hos Databehandler pålegges taushetsplikt etter reglene i arbeids- og velferdsforvaltningsloven § 7, jf. forvaltningsloven §§ 13 til 13 e og 13 g. Taushetsplikten omfatter også opplysninger om fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bosted og arbeidssted, jf. arbeids- og velferdsforvaltningsloven § 7, første ledd. NAVs taushetsplikterklæring skal undertegnes.

3. Taushetsplikten gjelder også etter Databehandleravtalens opphør. Ansatte og andre som fratrer sin tjeneste hos Databehandler skal pålegges taushet også etter fratredelse om forhold som nevnt ovenfor.

8 BRUK AV UNDERDATABEHANDLERE

1. Databehandler kan kun engasjere Underdatabehandlere etter forutgående skriftlig tillatelse fra Behandlingsansvarlig. Godkjente Underdatabehandlere er oppført i Vedlegg 3.

2. Databehandler skal kun engasjere Underdatabehandlere som gjennomfører egnede tekniske og organisatoriske tiltak som sikrer at Behandlingen oppfyller kravene etter Xxxxxxxxx personvernregler. Databehandler skal gjennomføre kontroller av Underdatabehandlere for å verifisere deres databeskyttelsesnivå. Databehandler skal kunne fremlegge rapporter fra slik kontroller for Behandlingsansvarlig.

3. Databehandler plikter å inngå skriftlig avtale med hver Underdatabehandler som regulerer Underdatabehandlers Behandling av Personopplysninger og pålegges å ivareta alle plikter med hensyn til vern av Personopplysninger som Databehandleren selv er underlagt etter

denne Databehandleravtalen. Databehandler plikter å forelegge disse avtalene for

Behandlingsansvarlig etter forespørsel.

4. Databehandleren skal i sin avtale med Underdatabehandleren innta Behandlingsansvarlig som begunstiget tredjeperson i tilfelle Databehandleren går konkurs, slik at Behandlingsansvarlig kan tre inn i Databehandlerens rettigheter og gjøre dem gjeldende over for Underdatabehandlere, som f.eks. gjør den Behandlingsansvarlige i stand til å instruere Underdatabehandleren i å slette eller tilbakelevere Personopplysningene.

5. Databehandler har fullt ansvar for Underdatabehandlers utførelse av sine forpliktelser på samme måte som om Databehandler selv sto for utførelsen.

6. Samtlige som på vegne av Databehandler utfører oppdrag der Behandling av de aktuelle Personopplysningene inngår, skal være kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfylle disse.

9 OVERFØRING AV PERSONOPPLYSNINGER TIL TREDJESTAT

1. Databehandler kan kun overføre Personopplysninger til en Tredjestat eller en internasjonal organisasjon etter dokumenterte instrukser fra Behandlingsansvarlig. Databehandler skal i den forbindelse også dokumentere gyldig overføringsgrunnlag.

2. Unntak kan skje dersom det kreves i henhold til gjeldende rett i EØS-området. I slike tilfeller skal Databehandler underrette Behandlingsansvarlig om nevnte rettslige krav før overføringen, med mindre denne rett av hensyn til viktige samfunnsinteresser forbyr slik underretning (i så fall skal Databehandleren underrette Behandlingsansvarlig så snart dette er tillatt).

10 MELDING OM BRUDD PÅ PERSONOPPLYSNINGSSIKKERHETEN

1. Databehandler skal gi skriftlig melding til Behandlingsansvarlig. Brudd på personopplysningssikkerheten, samt bistå Behandlingsansvarlig med det som er nødvendig for at Behandlingsansvarlig skal kunne gi slik melding som nevnt i punkt 2 og 3 nedenfor.

2. Melding skal gis uten unødvendig forsinkelse og senest innen [24] timer etter at Databehandler ble oppmerksom på bruddet, slik at Behandlingsansvarlig har mulighet til å melde bruddet til Datatilsynet innenfor tidsfristen på 72 timer.

3. Melding om Xxxxx på personopplysningssikkerheten bør inneholde en beskrivelse av:

a. arten av bruddet, herunder kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,

b. de berørte registrertes identitet,

c. navn og kontaktinformasjon til Personvernombudet eller et annet kontaktpunkt hos Databehandler for ytterligere innhenting av informasjon,

d. de sannsynlige konsekvensene av Bruddet på personopplysningssikkerheten,

e. tiltak som er truffet eller foreslått for å håndtere Bruddet på personopplysningssikkerheten, herunder tiltak for å redusere eventuelle skadevirkninger,

f. annen informasjon som kreves for at Behandlingsansvarlig kan overholde Gjeldende

personvernregler.

Informasjonen som nevnt i bokstav a-f skal gis uten ugrunnet opphold, men den kan gis trinnvis i den grad det er nødvendig.

Databehandler skal så snart som mulig gjennomføre alle tiltak som beskrevet i punkt e ovenfor. I tillegg skal Databehandler gjennomføre alle de tiltak som med rimelighet kreves for å unngå at det senere oppstår lignende Xxxxx på personopplysningssikkerheten. Databehandler skal, så langt det er mulig, rådføre seg med Behandlingsansvarlig om de tiltak som skal gjennomføres samt overveie innspill fra Behandlingsansvarlig i den forbindelse.

4. Kun Behandlingsansvarlig har rett til å rapportere til Datatilsynet og til de berørte registrerte om Xxxxx på personopplysningssikkerheten. Databehandler skal avstå fra å informere allmennheten eller tredjepart om Xxxxx på personopplysningssikkerheten.

11 REVISJON

1. Databehandler skal dokumentere og gjøre tilgjengelig for Behandlingsansvarlig, informasjon som er nødvendig for å påvise etterlevelse av Databehandleravtalen og Gjeldende personvernregler.

2. Databehandler skal muliggjøre og bidra ved revisjoner som utføres av Behandlingsansvarlig eller av en uavhengig tredjepart med fullmakt fra Behandlingsansvarlig. Databehandler skal også muliggjøre og bidra ved revisjoner fra tilsynsmyndigheter.

3. Databehandleren skal foreta jevnlige revisjoner av sine Behandlinger. Dette kan Databehandler gjøre på egen hånd eller via en uavhengig tredjepart med fullmakt fra Databehandler. Databehandleren skal oversende kopi av revisjonsrapporter fra slike revisjoner til Behandlingsansvarlig. Behandlingsansvarlig skal ha rett til å fremlegge slike revisjonsrapporter til sine eksterne revisorer og tilsynsmyndigheter.

4. Dersom en revisjon avdekker avvik fra forpliktelsene i Databehandleravtalen, skal Databehandler så snart som mulig avhjelpe slike avvik (og, hvis relevant, påse at den relevante underdatabehandler gjør det samme). Behandlingsansvarlig kan kreve at hele eller deler av behandlingsaktivitetene midlertidig opphører til vellykket utbedring er bekreftet. Ved særlig alvorlige brudd kan Behandlingsansvarlig kreve at Behandlingen stoppes, Personopplysningene tilbakeføres til Behandlingsansvarlig og at Hovedavtalen samt Databehandleravtalen termineres.

5. Hver av partene dekker sine egne kostnader forbundet med en revisjon. Hvis en revisjon avdekker avvik fra forpliktelsene i Databehandleravtalen, skal alle kostnader forbundet med revisjonen dekkes av Databehandler, herunder Behandlingsansvarliges og eksterne revisorers relevante kostnader.

12 VARIGHET OG OPPHØR

1. Databehandleravtalen gjelder fra den er signert med begge Parters underskrift og gjelder så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig i forbindelse med Hovedavtalen.

eller

Databehandleravtalen gjelder til …………….

2. Behandlingsansvarlig kan ved brudd på Databehandleravtalen eller bestemmelsene i Gjeldende personvernregler pålegge Databehandler å stoppe den videre Behandlingen av Personopplysningene med øyeblikkelig virkning.

3. Ved opphør av Databehandleravtalen plikter Databehandler å slette eller tilbakelevere alle Personopplysninger som forvaltes på vegne av Behandlingsansvarlig og som omfattes av Databehandleravtalen. Dette gjelder også eventuelle sikkerhetskopier. Behandlingsansvarlig bestemmer hvordan tilbakelevering av Personopplysninger skal skje, herunder hvilket format som skal benyttes.

4. Databehandler skal skriftlig bekrefte og dokumentere at sletting er foretatt. Bekreftelsen skal gis innen 14 dager etter at sletting er gjennomført i henhold til vedlegg 1.

13 LOVVALG OG VERNETING

Databehandleravtalen er underlagt norsk rett og Partene vedtar Oslo tingrett som verneting. Dette gjelder også etter opphør av Databehandleravtalen.

14 KONTAKTPERSONER

Alle meddelelser vedrørende Databehandleravtalen rettes skriftlig og adressert til følgende kontaktpersoner:

Hos Behandlingsansvarlig (NAV):		Hos Databehandler:
Xxxx Xxxxxxxx e-post		Navn Stilling e-post

15 VEDLEGG 1 DATABEHANDLINGENS OMFANG

>Vedlegg 1 skal alltid fylles ut >

Behandlingens formål

Gi en beskrivelse av hva som er formålet med behandlingen av personopplysninger hos Databehandler for å kunne utføre oppdrag eller tjeneste for NAV. Eksempel: at kommunen

som behandlingsansvarlig kan bruke systemet X, som eies og driftes av Databehandler til å

registrere og saksbehandle opplysninger om sosialtjenestebrukere

Sett inn:

Behandlingens art og hensikt

Gi en beskrivelse eller sett inn referanse til relevante deler av Hovedavtalen eller vedlegg til Hovedavtalen som beskriver oppdraget eller tjenesten. Eksempel: lagring av data på en skybasert plattform.

Sett inn:

Kategorier av registrerte

Gi en opplisting av hvilke kategorier av enkeltpersoner som opplysningene er knyttet til. Eksempel: sykmeldte, arbeidssøkere, pensjonister, tiltaksdeltakere, ansatte, barn, familiemedlemmer osv.

Sett inn:

Type Personopplysninger

Gi en opplisting av hvilke personopplysninger som skal behandles av Databehandler, Eksempler: Navn, kjønn, fødselsnummer, telefonnummer, adresse, epostadresse, adresse, arbeidssted,, ansatt-ID, tjenestetid, lønn, sivilstand, stønadsopplysninger, bankopplysninger, personnummer og/eller helsetilstand, lønn; kredittopplysninger osv.

Sett inn:

Type særlige kategorier av Personopplysninger (hvis relevant)

Gi en opplisting av hvilke særlige kategorier av Personopplysninger (tidligere kalt sensitive) som skal behandles av Databehandler.

Eksempler: rase, etnisk opprinnelse, politisk oppfatning, religion, fagforeningsmedlemskap, helseopplysninger, seksuelle forhold og seksuell orientering, opplysninger om straffedommer og lovovertredelser

Sett inn:

Spesifikke sletteregler

List opp og spesifiser eventuelt hvilke personopplysninger som har spesifikke sletteregler, og som skal slettes av Databehandler underveis i behandlingen av personopplysninger på vegne av Behandlingsansvarlig. Eksempel: 12 uker etter at tiltaksrapport er overlevert NAV skal tiltaksarrangøren slette personopplysninger knyttet til det enkelte oppdraget.

Sett inn:

Bistand til Behandlingsansvarlig

Gi en beskrivelse av hva det forventes at databehandleren bistår med for å oppfylle de ulike typene av registrertes rettigheter. Eksempel: Databehandler skal korrigere eller slette konkrete personopplysninger innen 48 timer etter at Behandlingsansvarlig har gitt skriftlig beskjed om dette.

Sett inn:

16 VEDLEGG 2 TEKNISKE OG ORGANISATORISKE SIKKERHETSTILTAK

>Vedlegg 2 skal fylles ut>

I vedlegg 2 bør de viktigste sikringstiltakene beskrives, eventuelt at det henvises til dokumenter, anskaffelsesbilag, sikkerhetsbilag eller publikasjoner som forklarer hvordan databehandleren arbeider med informasjonssikkerhet og hvilke sikkerhetstiltak som er etablert for denne tjenesten/leveransen.

Databehandler skal som et minimum gjennomføre alle de tiltak som er angitt eller henvist til nedenfor. Databehandler kan ikke uten skriftlig samtykke fra Behandlingsansvarlig gjøre endringer i disse tiltakene som reduserer graden av datasikkerhet. Databehandler skal kontinuerlig arbeide for å forbedre sikkerhetstiltakene og sørge for at de oppdateres i takt med den teknologiske utviklingen.

Pseudonymiseringstiltak

Pseudonymisering vil si behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsinformasjon, forutsatt at slik tilleggsinformasjon oppbevares separat og er gjenstand for tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar person.

Sett inn beskrivelse av eventuelle krav til pseudonymiseringstiltak.

Krypteringstiltak

Kryptering er prosessen med koding av data på en slik måte at bare autoriserte personer har tilgang til opplysningene.

Sett inn beskrivelse av eventuelle krypteringstiltak.

Tiltak for å sikre Personopplysningenes fortrolighet (konfidensialitet)

Sett inn beskrivelse. Eksempler kan være tiltak for å kontrollere tilgang, og for å skille opplysningene fra opplysninger som Databehandler behandler på vegne av andre behandlingsansvarlige.

Tiltak for å sikre Personopplysningenes integritet

Sett inn beskrivelse. Et eksempel kan være tiltak for å overvåke endringer i opplysningene.

Tiltak for å sikre tilgjengeligheten til Personopplysningene

Sett inn beskrivelse. Et eksempel kan være backup-tiltak.

Tiltak for å sikre robusthet i behandlingssystemene og -tjenestene

Sett inn beskrivelse. Eksempler kan være tiltak for katastrofegjenoppretting og redundans.

Tiltak for fysisk sikring av lokaler hvor data behandles

Sett inn beskrivelse.

Testdata

Databehandler skal rette seg etter Behandlingsansvarliges gjeldende retningslinjer for bruk av testdata. Sett inn beskrivelse av ytterligere tiltak.

Andre datasikkerhetstiltak:

Sett inn beskrivelse, eller "ikke relevant".

17 VEDLEGG 3 GODKJENTE UNDERDATABEHANDLERE

Selskapets navn	Selskapets adresse	Behandlingssted	Beskrivelse av hvilken type Behandling

Document Metadata

Table of Contents

Mal for Databehandleravtale

Document Metadata