Bilaga 1
Bilaga 1
Personuppgiftsansvariges instruktion till Personupp- giftsbiträde och eventuella underbiträden för be- handling av personuppgifter
Utöver vad som redan framgår av Personuppgiftsbiträdesavtalet ska Per- sonuppgiftsbiträdet (och i förekommande fall dess underbiträden) även följa nedanstående Instruktion som grundar sig i kraven enligt art. 28.3 GDPR och riktlinje 07/2020 EDPB.
1 Föremål, art och ändamål
a) Beskriv vilket produkt/tjänst som avses och vilken behandling av personuppgifter som i denna tjänst förekommer.
t.ex. kamerabevakning av personer som passerar ett visst område
b) Markera behandlingens art:
Flera är möjliga
☐ Insamling
☐ Registrering
☐ Organisering
☐ Strukturering
☐Bearbetning eller ändring
☐ Framtagning
☐ Utlämning genom överföring, spridning eller tillhandahåll- ande på annat sätt
☐ Lagring
☐ Läsning
☐ Användning
☐ Begränsning
☐ Radering
☐ Förstöring
☐ Justering eller sammanförande
c) Annan art:
d) Ändamål med behandlingen. Varför ska personuppgifter behand- las? Vad är syftet?
t.ex. att upptäcka olaglig åtkomst
e) Syftet med behandlingen ska fastställas i den rättsliga grunden. Ange tillämplig/a bestämmelse/r i art. 6-9 GDPR och nationell lag.
2 Behandlingen omfattar följande typer av Personuppgifter
a) Markera vilken/vilka typ/typer av personuppgifter som Personupp- giftsbiträdet (och i förekommande fall dess underbiträden) kommer att ha åtkomst till:
Personuppgifter Flera är möjliga Exempel förnamn, efternamn, e-postadress ☐ Generella personuppgifter ☐ Ytterligare personuppgifter ☐ Identitetspersonuppgifter ☐ Anhörigas personuppgifter ☐ Arbetsrelaterade personuppgifter ☐ Prestationsrelaterade personuppgifter ☐ Ekonomiska personuppgifter ☐ IT-relaterade personuppgifter | Känsliga personuppgifter Flera är möjliga ☐ Ras eller etnisk bakgrund ☐ Politiska åsikter ☐ Religiösa åsikter ☐ Facklig tillhörighet ☐ Biometrisk data ☐ Genetisk data ☐ Hälso- och patientinformation ☐ Handikapp ☐ Sexuell läggning eller sexliv ☐ Brott- och straffregister ☐ Drogtestresultat ☐ Ansiktsskanning ☐ Fingeravtryck ☐ Irisskanning ☐ DNA ☐ Röstigenkänning |
b) Hur många individers personuppgifter kommer att behandlas?
3 Behandlingen omfattar kategorier av Registrerade
Markera vilken/vilka kategori/kategorier av registrerade som Personupp- giftsbiträdet (och i förekommande fall dess underbiträden) kommer att ha åtkomst till eller behandla:
Kategorier av registrerade
Flera är möjliga
☐ Anställda hos Personuppgiftsansvarig
☐ Anställda hos leverantör till Personuppgiftsansvarig
☐ Anställda hos Personuppgiftsbiträde
☐ Invånare
☐ Patienter
☐ Kunder
☐ Elever
☐ Förtroendevalda
☐ Arbetssökande
4 Särskilda hanteringskrav vad gäller behandling av Personuppgifter som utförs av Personuppgiftsbiträdet/biträdena
Xxxxxxx särskilda hanteringskrav vad gäller behandling av Personuppgifter som utförs av Personuppgiftsbiträdet (och i förekommande fall dess under- biträden):
☐ Personuppgiftsbiträdet ska bevara vårdinformation som Personupp giftsansvarig bedömt som journalhandlingar i enlighet med Patient datalagen (PDL) (minst 10 år enligt 3 kap. 17 § PDL) och Socialstyr- elsens föreskrifter och allmänna råd HSLF-FS 2016:40.
☐ Samtliga personuppgifter ska raderas löpande under avtalet med ett intervall av 6 månader.
☐ Samtliga personuppgifter ska raderas efter avslutande av avtalet eller senast inom 3 månader.
☐ Samtliga personuppgifter ska återlämnas vid avslutande av avtal.
☐ Samtliga personuppgifter ska raderas år.
☐ Säkerhetskopior får inte sparas längre än år.
5 Tekniska och organisatoriska säkerhetsåtgärder vad gäller behandling av Personuppgifter som utförs av Personuppgiftsbiträdet/biträdena
Särskilda tekniska och organisatoriska krav kommer från en informations- kartläggning eller informationsklassning och riskanalys, och ska finnas doku- menterade i avtalet med Personuppgiftsbiträdet för systemet eller tjänsten. I undantagsfall (där det saknas i avtal kan tekniska och organisatoriska krav) hanteras i denna ruta. Krav från Personuppgiftsansvarigs ledningssystem för informationssäkerhet.
Statistik, rapporter, uppföljning. Säkerhetsforum
Säkerhetsskydd
ISO-certifieringar med SOA
Personuppgiftsbiträdet ska ha rutiner för att hantera och rapportera miss- tänkta personuppgiftsincidenter till Personuppgiftsansvarig inom 24 tim- mar:
Regionens Dataskyddsombud på xxxxxxxxxxxxxxx@xxxxxxxxxx.xx Regionens Servicedesk på xxxx.xxxxxxxx@xxx.xx
Regionens informationssäkerhetsorganisation på informationssaker- xxx@xxx.xx
Dokumentationen kan inkludera relevanta säkerhetsåtgärder enligt föl- jande (icke uttömmande):
• Fysisk säkerhet
• Datorutrustning och system
• Datorer och mobila enheter
• Autentisering
• Behörighetssystem
• Åtkomstkontroll
• Nätverkssäkerhet
• Skydd mot skadlig kod och ej tillförlitliga program
• Process för mjukvaruutveckling
• Rapportering av personuppgiftsincidenter
• Rapportering av funktionsfel och brister
• Driftdokumentation
• Utbildning av personal
6 Särskilda krav på Loggning vad gäller behandling av Personuppgifter samt vilka som ska ha tillgång till dem
Särskilda krav på loggning ska finnas dokumenterade i avtalet med Personuppgiftsbiträdet för systemet eller tjänsten.
• Systemet ska utföra loggning av en användares förehavanden i en- lighet med Patientdatalagen och Socialstyrelsens föreskrifter och allmänna råd HSLF-FS 2016:40.
• Personuppgiftsbiträdet ska tillhandahålla Personuppgiftsansvarig tillgång till rapport som underlag för stickprovskontroll vid logg- analys av vilka aktiviteter som utförs och vilka användare eller funktioner som initierat dessa.
• Personuppgiftsbiträdet (och i förekommande fall dess underbiträ- den) ska efter uppmaning till Personuppgiftsansvarig tillhanda- hålla behovs- och riskanalys före tilldelningen av behörighet till Personuppgifterna samt information om vilka uppgifter som fram- går av loggarna.
7 Lokalisering och överföring av Personuppgifter till Tredje land
Personuppgiftsbehandling omfattar alla aspekter av leveransen för system och tjänst för både Personuppgiftsbiträdet och underbiträden, som exem- pelvis bolags- och koncernstruktur med ägandeförhållanden, tekniska platt- formar för drift och utveckling, support och kundtjänst samt administrativa tjänster.
Personuppgifter får endast behandlas av ett Personuppgiftsbiträde som är etablerat i ett sådant land som EU-kommissionen har godkänt baserat på kravet på adekvat skyddsnivå.
Nedan angivna frågor flyttas till ett frågeformulär istället som skickas ut i samband med upphandlingsförfarandet?
Behandlar Personuppgiftsbiträdet personuppgifter som någon utanför EU/EES har tillgång till?
Använder Personuppgiftsbiträdet sig av tjänsteleverantörer utanför EU/EES?
Lagrar Personuppgiftsbiträdet personuppgifter i molntjänst(er)?
Om det är tillämpligt - använder sig Personuppgiftsbiträdet av standardav- talsklausuler, bindande företagsbestämmelser eller liknande?
8 Övriga instruktioner angående behandling av Personuppgifter som utförs av Personuppgiftsbiträdet/biträdena
Om fjärråtkomst för support behövs ska det ske genom lösning som tillhan- dahålls av Personuppgiftsansvarig.
Xxxxx övrig instruktion:
9 Information som ska lämnas till de registrerade
För det fall de registrerade vänder sig till Personuppgiftsbiträdet för in- formation om Personuppgiftsbehandling, ska Personuppgiftsbiträdet tillhandahålla information i enlighet med art. 15 GDPR:
• för vilka ändamål personuppgifter kommer att behandlas
• den rättsliga grunden för behandlingen
• hur länge personuppgifter kommer att lagras
• vem som kommer att ta del av personuppgifter
• registrerades rättigheter enligt dataskyddsförordningen
• om personuppgifter kommer att överföras till ett så kallat tredjeland (land utanför EU/EES)
• att hen kan lämna in klagomål till IMY
• att den registrerade kan återkalla sitt samtycke, om hen har lämnat det
• kontaktuppgifterna till den personuppgiftsansvariga och till dess eventuella Dataskyddsombud
Samtliga uppgifter på listan ovan framgår av detta personuppgiftsbi- trädesavtal.
Bilaga 2
Lista över Underbiträden vid PUB-avtalets ingående
Nedan specificeras vilka underbiträden som Personuppgiftsbiträdet använder som behandlar Personuppgifter som Personuppgiftsansvarige tillhandahåller.
Frågor om vilka underbiträden som anlitas ställas i ett separat frågeformulär i samband med upphandlingen?
För behandling av supportärenden från Personuppgiftsansvarige:
1) Företag, xxx.xx. (land)
2) Företag, xxx.xx. (land)
För upprättande av fjärråtkomst till den Personuppgiftsansvarige system vid support:
1) Företag, xxx.xx. (land)
2) Företag, xxx.xx. (land)
Bilaga 3
Krav för praktisk hantering
Fysisk säkerhet | Personuppgiftsbärande system ska skyddas mot elavbrott och andra störningar orsakade i tekniska försörjningsystem. Utrymmen där personuppgifter förvaras, så som serverhal- lar, ska skyddas genom lämpliga tillträdeskontroller för att säkerställa att endast behörig personal får tillträde. Det ska också finnas ett tillfredställande skydd mot stöld och hän- delser som kan förstöra IT-system och lagringsmedia. |
Åtkomstskydd | När datorutrustning och löstagbara datamedier hos PUB inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska personuppgifterna krypteras. |
Skadlig kod | Personuppgiftsbärande system ska vara skyddade mot vi- rus, trojaner och andra former av digitala intrång. |
Bärbara datorer | För det fall eventuella bärbara datorer används vid behand- lingen ska personuppgifterna på fasta och löstagbara lag- ringsmedier alltid vara krypterade. |
Säkerhetskopia | Personuppgifterna ska regelbundet överföras till säkerhets- kopior. Kopiorna ska förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas efter en störning. PUB ska ha en rutin för test av återläsning. |
Behörighetskontroll | Ett tekniskt system för behörighetskontroll ska styra åt- komsten till personuppgifterna för PUB. Behörigheten ska begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter. |
Loggning | Åtkomst till personuppgifter ska kunna följas upp i efter- hand genom en logg eller liknande underlag. Underlaget ska kunna kontrolleras av PUB och återrapporteras till PUA. |
Datakommunikation | PUB ska se till att PUB:s informationssystem är skyddade från extern åtkomst genom exempelvis perimeterskydd och kontroll av fjärråtkomst vid extern access. Insynsskydd ska tillföras transport och lagring när behovet finns. |
PUB:s åtkomst till per- sonuppgifter via fjärr- styrd datakommunikat- ion | Service via fjärrstyrd datakommunikation får endast ske ef- ter säker elektronisk identifiering av den som utför ser- vicen. Servicepersonal ska ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår. |
Känsliga personuppgif- ter | För åtkomst till känsliga och integritetskänsliga personupp- gifter krävs tvåfaktorsautentisering till tjänsten. |
Överföring av person- uppgifter | Personuppgifter som överförs via datorkommunikation ut- anför lokaler som kontrolleras av PUB ska skyddas med kryptering. |
Utplåning | När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre ska användas för sitt ändamål ska personuppgifterna raderas på sådant sätt att de inte kan återskapas. |
Reparation och service | När reparation och service av datorutrustning, vilken an- vänds för att lagra PUA:s personuppgifter, utförs av annan än PUB, ska kontrakt som reglerar säkerhet och sekretess träffas med serviceföretaget. |
Servicebesök | Vid servicebesök ska servicen ske under PUB:s överinse- ende. Är detta inte möjligt ska lagringsmedier som innehål- ler personuppgifter avlägsnas. |
Kontroll | PUA har rätt att utföra kontroller av att avtalade säkerhets- åtgärder faktiskt vidtas eller att kontrollen sker av obero- ende part. |
Obehörig åtkomst | PUA har rätt att utreda obehörig åtkomst hos PUB. |