Säkerhet och sekretess. Personuppgiftsansvarig och Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas enligt Avtalet. Parterna ska därvid följa Region Skånes instruktioner för informationssäkerhet som redogjorts för i 7.11.1.
Säkerhet och sekretess. Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som åtminstone överensstämmer med Tillämplig lag och är lämplig med beaktande av:
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna och
d) hur känsliga de behandlade personuppgifterna är. Avtalade åtgärder, vilka uppfyller denna punkt, ska åstadkomma en säkerhetsnivå som Personuppgiftsansvarig efter samråd med personuppgiftsombudet bedömer lämplig. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska Personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt
a) pseudonymisering och kryptering av personuppgifter,
b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,
c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Personuppgiftsbiträdet ska säkerställa att behörighetsstyrningen är korrekt och att konfidentialitet iakttas. Personuppgiftsbiträdet ska tillse att samtliga anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifterna är bundna av ett ändamålsenligt sekretessåtagande samt att de är informerade om hur behandling av personuppgifterna får ske. Personuppgiftsbiträdet ansvarar för att de personer som har åtkomst till personuppgifterna är informerade om hur de får behandla personuppgifterna i enlighet med instruktioner från Personuppgiftsansvarig.
Säkerhet och sekretess. 6.1 Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder säkerställa en säkerhetsnivå som är lämplig i förhållande till risken som behandlingen medför, begränsa tillgången till personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till personuppgifterna för att fullgöra sina åtaganden enligt detta Biträdesavtal, samt att tillse att sådan personal har erforderlig utbildning och i tillräcklig mån har instruerats att hantera personuppgifterna på ett ändamålsenligt och säkert sätt.
6.2 Personuppgiftsbiträdet ska behandla personuppgifter med sekretess enligt lagen om offentlighet och sekretess (2009:400), samt tillse att personer med behörighet att behandla personuppgifterna hos Personuppgiftsbiträdet har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt.
6.3 Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast inom fyrtioåtta (48) xxxxxx från att det kommit Personuppgiftsbiträdet till kännedom, underrätta Personuppgiftsansvarige om förekomsten av eller risken för en personuppgiftsincident. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som Personuppgiftsansvarige behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av personuppgiftsincidenter till behörig tillsynsmyndighet och/eller Registrerade.
6.4 Åtagandet enligt punkt 6.2 gäller även under den tid efter det att Biträdesavtalet i övrigt upphört att gälla, dock längst till och med sådan tidpunkt som gäller enligt särskilt tillämpliga rättsliga krav.
Säkerhet och sekretess. Personuppgiftsansvarig och Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas enligt Avtalet. Båda parterna ska därvid följa Region Skånes instruktioner för informationssäkerhet som redogjorts för i 5.8.1 Inera AB kan också komma att skapa tekniska lösningar innebärande att Inera AB behandlar personuppgifter för vårdgivarnas räkning på ett sådant sätt att Inera AB i dessa fall blir personuppgiftsbiträde åt vårdgivarna. När vårdgivare ansluts indirekt till dessa system via annan, direktansluten, vårdgivare, kan också direktansluten vårdgivare bli personuppgiftsbiträde i förhållande till den indirekt anslutna vårdgivaren. Detta personuppgiftsbiträdesavtal som tecknas mellan å ena sidan indirekt ansluten vårdgivare (privat vårdgivare) och å andra sidan direktansluten vårdgivare (Region Skåne), innefattar; • fullmakt för direktansluten vårdgivare att företräda indirekt ansluten vårdgivare vid tecknande av uppdragsavtal jämte fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal med driftleverantörer. Då direktansluten vårdgivare också kan komma att behandla personuppgifter för indirekt ansluten vårdgivares räkning omfattar personuppgiftsbiträdesavtalet även denna personuppgiftsbehandling. Modellavtal 2 gäller i sin fullständiga lydelse så som anges i Avtal på Ineras hemsida -
Säkerhet och sekretess. Leverantören förbinder sig att inte till någon enskild eller juridisk person röja uppgifter som leverantören tar del av i samband med uppdraget, vare sig det sker muntligen, genom att en handling lämnas ut eller på annat sätt. Leverantören förbinder sig även att inte nyttja sådan uppgift utan särskilt, skriftligt, tillstånd från den upphandlande enheten. Leverantören ansvarar för att dess personal har erforderlig information gällande sekretessregler. Vidare förbinder sig leverantören att informera eventuella underleverantörer om tystnadsplikten. Sekretessen gäller även efter det att uppdraget har upphört. Leverantören svarar för att underleverantörerna följer dessa sekretessbestämmelser
Säkerhet och sekretess. 5.1 Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet till oavsiktlig eller olaglig förstöring, förlust eller ändring eller från obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlas. Om personuppgifterna som behandlas utgör känsliga personuppgifter ska Personuppgiftsbiträdet vidta eventuella ytterligare sådana åtgärder som är lämpliga för skydd av dessa.
5.2 För att skydda de personuppgifter som behandlas ska Personuppgiftsbiträdet, som miniminivå, vidta sådana tekniska och organisatoriska åtgärder som anges i GDPR. Därutöver ansvarar Personuppgiftsbiträdet för att följa myndighetsbeslut om säkerhetsåtgärder för behandlingen av personuppgifter.
5.3 Personuppgiftsbiträdet ska behandla personuppgifterna med sekretess. Personuppgiftsbiträdet är ansvarigt för att personer hos Personuppgiftsbiträdet med behörighet att behandla personuppgifterna ska ingå särskild sekretessförbindelse eller upplysas om att tystnadsplikt föreligger enligt lag eller avtal. Personuppgiftsbiträdets sekretessåtagande gäller även efter att Avtalet upphört att gälla.
Säkerhet och sekretess. Leverantören förbinder sig att inte till någon enskild eller juridisk person röja uppgifter som leverantören tar del av i samband med uppdraget, vare sig det sker muntligen, genom att en handling lämnas ut eller på annat sätt. Leverantören förbinder sig även att inte nyttja sådan uppgift utan särskilt, skriftligt, tillstånd från LR. Leverantören ansvarar för att personalen har erforderlig information gällande sekretessregler. Sekretessen gäller även efter det att uppdraget har upphört.
Säkerhet och sekretess. 6009106-v5
24.1 Leverantörens förbinder sig att följa de krav på säkerhet som uppställs i Avtalsbilaga – Informationssäkerhet och ska även tillse att berörda konsulter och anlitade underleverantörer iakttar dessa föreskrifter.
24.2 Part får inte till tredje man lämna ut handlingar eller på annat sätt återge uppgifter om den andra Partens verksamhet som kan vara att betrakta som affärs- eller yrkeshemligheter eller som i övrigt rör den andra Partens interna förhållanden, i annan utsträckning än som erfordras för Uppdragets genomförande.
24.3 Sekretesskyldigheten gäller inte för sådan information som Part kan visa har blivit känd för denne på annat sätt än genom genomförande av Uppdraget, tillhandahållandet av Tjänsterna eller Avtalet i övrigt, eller som är allmänt känd. Sekretesskyldigheten gäller inte heller när Part är skyldig enligt lag att lämna ut uppgifter.
24.4 Om Leverantören får tillgång till information som är sekretesskyddad enligt offentlighets- och sekretesslagen (2009:400) ska tillämpliga sekretessbestämmelser iakttas.
24.5 Med sekretess avses förbud att röja uppgift, vare sig det sker muntligen eller genom att handlingen lämnas ut eller det sker på annat sätt. Förbudet att röja sekretesskyddad uppgift gäller även efter avslutat uppdrag.
24.6 Leverantören ska informera personal, berörda konsulter och anlitade underleverantörer om gällande sekretess. Om Staden så begär ska särskild sekretessförbindelse tecknas av personal eller underleverantör som Leverantören använder vid fullgörandet av uppdraget.
24.7 Leverantören ska delta i Stadens krisledningsövningar och på begäran ingå i Stadens krisledningsorganisation. Leverantören ska ersättas för sitt deltagande i krisledningsövningar enligt resursförstärkningstjänsten. För deltagande i Stadens krisledningsorganisation ska Leverantören skäligen ersättas för nedlagt arbete och nivån på ersättningen ska överenskommas mellan Parterna när krisen eller katastrofen i fråga har lösts.
Säkerhet och sekretess. 7.1 Personuppgiftsbiträdet garanterar att genomföra lämpliga tekniska och organisatoriska åtgärder på sådant sätt att behandlingen av personuppgifter under detta avtal uppfyller kraven i Dataskyddsförordningen (i synnerhet artikel 32).
7.2 Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
7.3 Personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk och juridisk person som utför arbete under Personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den Personuppgiftsansvarige samt därtill säkerställa att dessa har åtagit sig att iaktta konfidentialitet.
7.4 Personuppgiftsbiträdet ansvarar för att varje fysisk person som har tillgång till personuppgifterna som behandlas enligt avtalet har tillräckliga kunskaper och utbildning för att på ett säkert och ändamålsenligt sätt behandla personuppgifterna.
Säkerhet och sekretess. Berättigad nyttjare ansvarar själv för att Berättigad nyttjares data inte förloras eller obehörigen kan åtkommas i det egna systemet. SvTF ansvarar inte för förlust av eller obehörig åtkomst till de data som lagras centralt i BKY, såvida sådan förlust eller åtkomst hänför sig till att SvTF inte efterkommit de bestämmelser som gäller för datasäkerhet hos SvTF. SvTF ansvarar inte för överföringsfel, förvanskning av data eller för säkerheten vid överföring av data i telenätet. SvTF har rätt att till sina samarbetsparter tillhandahålla statistik rörande nyttjandet av BKY.