Säkerhetsåtgärder. 7.1 Personuppgiftsbiträdet ska vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder som krävs enligt Dataskyddslagstiftningen för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.
7.2 Personuppgiftsbiträdet ska fortlöpande säkerställa att den tekniska och organisatoriska säkerheten i samband med Behandlingen medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.
7.3 Eventuella tillkommande eller ändrade krav på skyddsåtgärder från den Personuppgiftsansvarige, efter parternas tecknande av PUB-avtalet, ska betraktas som nya Instruktioner enligt PUB-avtalet.
7.4 Personuppgiftbiträdet ska genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Personuppgiftsbiträdets ledning och som behöver åtkomsten för att kunna utföra sina arbetsuppgifter.
7.5 Personuppgiftsbiträdet åtar sig att kontinuerligt Logga åtkomst till Personuppgifterna enligt PUB-avtalet i den utsträckning det krävs enligt Instruktionen. Loggar får gallras först fem (5) år efter Loggningstillfället om inte annat anges i Instruktionen. Loggar ska omfattas av erforderliga skyddsåtgärder, i enlighet med Dataskyddslagstiftningen.
7.6 Personuppgiftsbiträdet ska systematiskt testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.
Säkerhetsåtgärder. Personuppgiftsbiträdet ska vidta och upprätthålla lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna, utan att ha rätt till särskild ersättning för detta. Personuppgiftsbiträdets säkerhetsåtgärder ska åstadkomma den skyddsnivå som följer av tillämplig lag samt, vid dess ikraftträdande, Dataskyddsförordningen och som i övrigt är lämplig med beaktande av tekniska möjligheter, kostnad för genomförande, särskilda risker med behandlingen och i vilken utsträckning de behandlade personuppgifterna är, eller sannolikt kan uppfattas som, känsliga. Personuppgiftsbiträdet ansvarar för att den egna verksamheten bedrivs på ett sätt som i övrigt säkerställer adekvat informationssäkerhet. Personuppgiftsbiträdet ska tillse att anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar eller har åtkomst till personuppgifterna är bundna av ett ändamålsenligt sekretessåtagande samt är informerade om hur personuppgiftsbehandling får ske i enlighet med instruktioner från Personuppgiftsansvarig. Personuppgiftsbiträdets tekniska och organisatoriska säkerhetsåtgärder ska vidtas med beaktande av den senaste utvecklingen, genomförandekostnader, personuppgiftsbehandlingens art, omfattning, sammanhang och ändamål, inkluderat risker för fysiska personer rättigheter och friheter av varierande allvar och sannolikhetsgrad, för att säkerställa en lämplig säkerhetsnivå i förhållande till risk. Personuppgiftsbiträdets genomförande av säkerhetsåtgärder ska när så är lämpligt inbegripa pseudonymisering och kryptering av personuppgifter, förmåga att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos systemen och tjänster för behandling samt förmågan att återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid fysisk eller teknisk incident och förfarande för regelbunden testning, undersökning och utvärdering av effektiviteten hos säkerhetsåtgärderna. Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till risk för oavsiktlig eller olaglig förstöring, förlust, ändring eller till obehörigt röjande eller åtkomst till personuppgifterna.
Säkerhetsåtgärder. Om Leverantören inom ramen för Biträdesavtalet ska behandla personuppgifter på Leverantörens Utrustning, ska Leverantören implementera de organisatoriska och tekniska åtgärder som krävs enligt Tillämplig Dataskyddslagstiftning samt i övrigt kan framgå av Avtalet för att skydda de personuppgifter som behandlas mot personuppgiftsincidenter (”säkerhetsåtgärder”). Kunden ansvarar för att implementera nödvändiga säkerhetsåtgärder om Leverantören inom ramen för Biträdesavtalet ska behandla personuppgifter på Kundens Utrustning. Om Leverantören ska behandla personuppgifter på Leverantörens Utrustning ska Leverantören vid utförandet av Tjänsten följa sina interna säkerhetsföreskrifter. Leverantören får efter Avtalets träffande ändra sina interna säkerhetsföreskrifter förutsatt att ändringen inte står i strid med Tillämplig Dataskyddslagstiftning. Om Leverantören ska behandla personuppgifter hos kunden, eller via fjärråtkomst, ska Leverantören vid utförandet av arbetet följa av kunden vid Avtalets träffande redovisade säkerhetsföreskrifter. Om Leverantören ska behandla personuppgifter på Leverantörens Utrustning svarar kunden för att de i punkt 3.3 avtalade säkerhetsåtgärderna uppfyller kundens skyldigheter enligt Tillämplig Dataskyddslagstiftning om krav på säkerhet för de personuppgifter som behandlas. Om kunden begär ändring av säkerhetsåtgärderna gäller för sådan begäran samma bestämmelser som gäller för kundens instruktioner enligt punkt 3.2. Vid Leverantörens begäran om ändrade säkerhetsåtgärder gäller vad som följer av punkten 3.3. Om Leverantören upptäcker att avtalade säkerhetsåtgärder enligt punkt 3.3 helt eller delvis strider mot Tillämplig Dataskyddslagstiftning, ska Leverantören inom skälig tid skriftligen meddela säkerhetsåtgärder enligt punkt 3.2. Om kunden trots uppmaning inte lämnar nya instruktioner inom skälig tid ska Leverantören ha rätt att på kundens bekostnad vidta skäliga och nödvändiga säkerhetsåtgärder för att uppfylla Tillämplig Dataskyddslagstiftning.
Säkerhetsåtgärder. 6.1 Personuppgiftsbiträdet åtar sig att vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder i enlighet med gällande dataskyddslagstiftning samt de eventuella åtgärder som framgår av instruktionerna3 för att skydda personuppgifterna.
6.2 I det fall Personuppgiftsbiträdet behandlar känsliga personuppgifter vilka omfattas av sekretess, ställs särskilt höga säkerhetskrav. Personuppgiftsansvarig ska informera Personuppgiftsbiträdet innan behandling sker av personuppgifter som omfattas av sekretess. Personuppgiftsansvarig får då lämna ytterligare instruktioner om säkerhetsåtgärder.
6.3 Personuppgiftsbiträdet ska ha ett behörighetskontrollsystem som förhindrar obehörig behandling av personuppgifter eller obehörig åtkomst till personuppgifter.
6.4 Personuppgiftbiträdet ska genom behörighetskontrollsystemet aktivt begränsa åtkomsten till personuppgifterna till sådana personer som arbetar under dennes ledning och som behöver personuppgifterna för att utföra sina arbetsuppgifter för fullgörande av avtalen mellan Personuppgiftsbiträdet och Personuppgiftsansvarig.
Säkerhetsåtgärder. 4.1 Biträdet ska vidta och vid var tid upprätthålla nödvändiga tekniska och organisatoriska åtgärder för att skydda Personuppgifterna. Säkerhetsåtgärderna ska åtminstone säkerställa att Personuppgifterna är skyddade mot förstöring, ändring, spridning och otillåten åtkomst. Åtkomst till Personuppgifterna ska loggas på ett sätt som är spårbart.
4.2 Biträdet ska säkerställa att (i) endast behöriga personer hos Biträdet, som behöver tillgång till Personuppgifterna för Biträdets fullgörande av sina skyldigheter enligt Avtalet, har tillgång till Personuppgifterna, (ii) sådana behöriga personer endast behandlar Personuppgifterna i enlighet med detta Biträdesavtal och den Ansvariges instruktioner, och (iii) varje sådan behörig person har åtagit sig iaktta sekretess motsvarande den sekretessförbindelse som följer av detta Biträdesavtal avseende Personuppgifterna.
4.3 För det fall ett system som behandlar Personuppgifter är föremål för en personuppgiftsincident och/eller obehörigt intrång ska Biträdet meddela den Ansvarige utan oskäligt dröjsmål. Ett sådant meddelande ska, om möjligt, åtminstone innehålla den information som framgår av artikel 33.3 i GDPR.
Säkerhetsåtgärder. Dessa tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå utgör en integrerad del av Avtalet och ska följas av Personuppgiftsbiträdet vid utförande av behandling av personuppgifter.
Säkerhetsåtgärder. Personuppgiftsbiträdet ska etablera lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna behandlas i enlighet med kraven i dataskyddslagstiftningen och villkoren i Uppdragsavtalet och detta avtal. Säkerhetsåtgärderna ska minst motsvara den nivå som behöriga tillsynsmyndigheter normalt kräver för motsvarande behandlingar. Åtgärderna ska vara dokumenterade och ska utan onödigt dröjsmål lämnas till den Personuppgiftsansvarige på begäran.
Säkerhetsåtgärder. Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att Behandlingen utförs i enlighet med Dataskyddsförordningen samt säkerställa att den Registrerades rättigheter skyddas mot bland annat obehörig åtkomst, förstörelse och ändring. Biträdet ska även iaktta av tillsynsmyndighet utfärdade tillämpliga föreskrifter och allmänna råd.
Säkerhetsåtgärder. 6.1 Biträdet ska vidta lämpliga tekniska och organisatoriska åtgärder i enlighet med gällande lagstiftning och Ansvarigs instruktioner för att skydda de Personuppgifter som behandlas enligt detta PUBA. Personuppgifterna ska av Biträdet skyddas mot förstöring, ändringar, otillåten spridning och obehörig tillgång. Personuppgifterna ska även skyddas mot varje annat slag av otillåten Behandling.
6.2 Biträdet ska vidta åtgärder för att samtliga personer som arbetar under dennes ledning följer vad som framgår av detta PUBA och vid var tid gällande instruktioner från Ansvarig, samt att de hålls informerade om innehållet i
6.3 Biträdet ska tillhandahålla och vidta tekniska och praktiska lösningar för att utreda misstankar om att någon obehörigen behandlat eller haft obehörig åtkomst till Personuppgifterna. I händelse av en Personuppgiftsincident ska Biträdet skriftligen underrätta Ansvarig om händelsen senast inom 24 timmar från att ha fått kännedom om den. Biträdet ska skyndsamt bistå Ansvarig i rapportering av incident till tillsynsmyndighet och, om relevant, i rapportering av incident till Den registrerade.
6.4 Om Biträdet saknar instruktioner från Ansvarig som Biträdet bedömer är nödvändiga för att utföra Behandling av Personuppgifter, eller anser att Ansvarigs instruktioner helt eller delvis står i konflikt med de författningar, föreskrifter och rekommendationer som Biträdet ska följa enligt detta PUBA, ska Biträdet utan dröjsmål meddela Ansvarig om sin inställning och invänta de instruktioner som Ansvarig bedömer erforderliga.
6.5 Att fylla i under Personuppgiftsansvariges instruktioner till Personuppgiftsbiträde Avsnitt 3 Tekniska och organisatoriska säkerhetsåtgärder:
Säkerhetsåtgärder. 5.1 Biträdet ska upprätthålla adekvata säkerhetsåtgärder för att säkerställa att Personuppgifterna är skyddade mot förstörelse, modifikation och spridning. Biträdet ska vidare säkerställa att Personuppgifterna är skyddade mot obehörigt intrång och att åtkomst till uppgifterna loggas med spårbarhet. Säkerhetsåtgärderna är beskrivna i Bilaga 2. Den Ansvarige godkänner dessa säkerhetsåtgärder som adekvata, tillräckliga och lämpliga.
5.2 Biträdet ska säkerställa (i) att endast behöriga personer hos Biträdet har tillgång till Personuppgifterna, (ii) att de behöriga personerna endast behandlar Personuppgifterna i enlighet med Avtalet och den Ansvariges instruktioner, samt (iii) att varje behörig person hos Biträdet är bunden av sekretess som motsvarar den sekretessförbindelse som följer av detta Avtal.
5.3 Biträdet ska underrätta den Ansvarige utan onödigt dröjsmål efter att ha fått kännedom om en personuppgiftsincident. Biträdet ska bistå den Ansvarige i fullgörandet av den Ansvariges skyldigheter att (i) dokumentera varje personuppgiftsincident, (ii) meddela tillämplig tillsynsmyndighet vid en personuppgiftsincident, och (iii) informera de registrerade om sådan personuppgiftsincident, i enlighet med Tillämplig Lagstiftning.