AVTAL: Personuppgiftsbiträdesavtal för Svebar (Svensk bevakning av antibiotikaresistens).

AVTAL: Personuppgiftsbiträdesavtal för Svebar (Svensk bevakning av antibiotikaresistens).

1. Parter

Folkhälsomyndigheten Namn Adress

17182 Solna Adress

Telefonnr: 000-000 00 00 Telefonnr:

Orgnr: 202100-6545 Orgnnr:

Nedan benämnd Personuppgiftsbiträde Nedan benämnd Personuppgiftsansvarig

2. Definitioner

2.1 I den mån Europaparlamentets och Rådets förordning (EU) 2016/679, härefter ”dataskyddsförordningen”, innehåller begrepp som motsvarar de som används i detta avtal ska sådana begrepp tolkas och tillämpas i enlighet med dataskyddsförordningen.

2.2 Detta avtal har motsvarande definitioner som återfinns i artikel 4, dataskyddsförordningen, vilket bland annat innebär att:

a) med Personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter.

b) med Personuppgiftsbiträde avses den som behandlar personuppgifter för den Personuppgiftsansvariges räkning,

c) med behandling avses varje åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning, ändring, användning, utlämnande, spridning eller annat tillhandahållande av uppgifter, sammanställning, samkörning, blockering, utplåning eller förstöring.

d) med personuppgifter avses all information som direkt eller indirekt går att härleda till en identifierbar levande person.

3. Bakgrund

3.1 Smittskyddsinstitutet konstaterade i en rapport november 2008 till regeringen bl.a. att, såväl lokalt som regionalt, saknas övervaknings- och larmsystem för att tidigt upptäcka fynd av särskilt oönskade resistenshändelser. Syftet med Svebar är därför att skapa ett system för tidiga larm vid fynd av allvarliga resistenshändelser för att öka patientsäkerheten och att upptäcka lokal, regional eller nationell ökning och förändring av resistens. Data i databasen består av de mikrobiologiska laboratoriernas konsekutiva inrapporterade odlingsresultat och tillhörande resistensbestämningar. Inte i något skede finns patientens namn eller personnummer i den genererade datafilen. Under de första 14 dagarna kan analysresultatet lokalt knytas till ursprungsanalysen med hjälp av laboratoriets unika löpnummer. Detta unika löpnummer behandlas som personuppgift.

Efter 14 dagar avidentifieras analysresultatet i systemet. Laboratoriets unika löpnummer tas bort och därmed kan inte längre resultatens ursprung återskapas. Tillsammans bygger landets laboratorier på detta sätt en rikstäckande databas för resistensövervakning och ett system för tidig varning för särskilt oönskad

resistens på nationell nivå. Systemet erbjuder också varje deltagande laboratorium individuell bevakning och lokal tidig varning, helt under det enstaka laboratoriets kontroll och utan insyn eller påverkan från Folkhälsomyndigheten eller övriga laboratorier. Grundförutsättningar för deltagande i Svebar samt äganderätt och hantering av information regleras i Samarbetsavtalet (Avtal mellan Folkhälsomyndigheten och Sveriges mikrobiologiska laboratorier om Svebar, Svensk bevakning av antibiotikaresistens).

3.2 Den lagliga grunden för behandling av personuppgifter är 6.1e. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning och tillämplig nationell rätt.

4. Innehåll och syfte

4.1 Detta avtal har upprättats för att bland annat uppfylla de krav som framgår av artikel 28 i dataskyddsförordningen.

4.2 Mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet har ett avtal avseende tillhandahållande av samarbetsavtal mellan Folkhälsomyndigheten och Sveriges kliniska mikrobiologiska laboratorier om Svebar (Svensk bevakning av antibiotikaresistens), Samarbetsavtalet upprättats.

4.3 Samarbetsavtal är det avtal som reglerar vad personuppgiftsbiträdet ska utföra för den Personuppgiftsansvariges räkning. Personuppgiftsbiträdet behandlar personuppgifter i den omfattning som krävs för att uppfylla åtagandena enligt Samarbetsavtal.

5. Ansvar och instruktioner

5.1 Den Personuppgiftsansvarige har ansvar för all behandling av avtalade personuppgifter är i enlighet med dataskyddsförordningen.

5.2 Personuppgiftsbiträdet åtar sig att enbart behandla avtalade personuppgifter i enlighet med Samarbetsavtal och den personuppgiftsansvariges vid var tid meddelade instruktioner. Personuppgiftsbiträdet får endast behandla personuppgifter på dokumenterade instruktioner från Personuppgiftsansvarige.

5.3 För det fall personuppgiftsbiträdet saknar instruktioner som personuppgiftsbiträdet bedömer är nödvändiga för att genomföra det uppdrag personuppgiftsbiträdet har erhållit av personuppgiftsansvarige ska personuppgiftsbiträdet utan dröjsmål, informera personuppgiftsansvarige om sin inställning och invänta de instruktioner som personuppgiftsansvarige bedömer erfordras.

5.4 Personuppgiftsbiträdet åtar sig vidare att behandla personuppgifter enligt dataskyddsförordningen, samt Datainspektionens eller relevant EU-organs föreskrifter, ställningstaganden och rekommendationer på personuppgiftsområdet, nedan gemensamt benämnda ”tillämpliga lagar och rekommendationer”.

5.5 Personuppgiftsbiträdet får inte, utan föreläggande från relevant myndighet eller tvingande lagstiftning

a) samla in eller lämna ut personuppgifter från eller till någon tredje part om inte annat skriftligen har överenskommits;

b) ändra metod för behandling;

c) kopiera eller återskapa personuppgifter;

eller på något annat sätt behandla personuppgifter för andra ändamål än de som anges i Samarbetsavtal.

5.6 Personuppgiftsbiträdet får inte utan

i. personuppgiftsansvariges skriftliga samtycke i förväg, och

ii. att säkerställa att sådan överföring sker i överensstämmelse med tillämplig lagstiftning,

överföra några personuppgifter till land utanför EES-området eller till land som inte omfattas av undantagen till förbud mot överföring till tredje land enligt dataskyddsförordningen. Förbudet omfattar även service, teknisk support, underhåll, utveckling och liknande tjänster av systemet.

5.7 För det fall personuppgiftsbiträdet misstänker alternativt upptäcker en personuppgiftsincident, det vill säga en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, eller om Personuppgiftsbiträdet av någon annan anledning inte kan uppfylla åtaganden i detta personuppgiftsbiträdesavtal, ska Personuppgiftsbiträdet omedelbart

i. Underrätta Personuppgiftsansvarige, för att sedan kunna tillhandahålla denne en beskrivning av incidenten, och

ii. Undersöka incidenten och vidta lämpliga åtgärder för att mildra incidentens potentiella negativa effekt och förhindra en upprepning.

5.8 Beskrivning av personuppgiftsincidenten ska åtminstone

a) beskriva personuppgiftsincidentens art, inbegripet, om så är möjlighet, de kategorier av och det ungefärliga antalet registrerade som berörs, samt de kategorier och det ungefärliga antalet personuppgiftsposter som berörs;

b) förmedla namnet på den person som kan tillhandahålla mer information eller svara på frågor;

c) beskriva de sannolika konsekvenserna av personuppgiftsincidenten, och

d) beskriva de åtgärder som Personuppgiftsbiträdet har vidtagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

5.9 Personuppgiftsbiträdet ska informera Personuppgiftsansvarige om Personuppgiftsbiträdet får kännedom om att personuppgifter har behandlats eller behandlas i strid med Personuppgiftsansvariges instruktioner eller detta personuppgiftsbiträdesavtal.

5. 10 Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska Personuppgiftsbiträdet före behandlingen utförs vara Personuppgiftsansvarig behjälplig vid en bedömning av den planerade behandlingens konsekvenser för skyddandet av personuppgifter. En enda bedömning kan omfatta en serie liknande behandlingar som medför likadana höga risker.

6. Säkerhet och sekretess

6.1 Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som åtminstone överensstämmer med Tillämplig lag och rekommendationer samt är lämplig med beaktande av:

a) de tekniska möjligheter som finns,

b) vad det skulle kosta att genomföra åtgärderna,

c) de särskilda risker som finns med behandlingen av personuppgifterna och

d) hur pass känsliga de behandlade personuppgifterna är.

6.2 Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska Personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet när det är lämpligt,

a) pseudonymisering och kryptering av personuppgifter,

b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och behandlingstjänsterna.

c) förmågan att återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid en fysisk eller teknisk incident.

d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

6.3 Vid bedömning av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörig röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

6.4 Åtgärder, vilka uppfyller kraven enligt punkterna 6.1 - 6.3, ska åstadkomma en säkerhetsnivå som personuppgiftsansvarige efter samråd med personuppgiftsombudet bedömer lämplig.

6.5 Personuppgiftsbiträdet ska säkerställa att behörighetsstyrningen är relevant och korrekt samt att konfidentialitet iakttas.

6.6 Personuppgiftsbiträdet ska tillse att samtliga anställda, konsulter och övriga som Personuppgiftsbiträdet svarar för och som behandlar personuppgifter i lämpliga fall är bundna av ett ändamålsenligt sekretessåtagande, samt är informerade om hur behandling av personuppgifter får ske. Personuppgiftsbiträdet ansvarar för att de personer som har åtkomst till personuppgifterna är informerade om hur de får behandla personuppgifterna i enlighet med instruktioner från Personuppgiftsansvarige.

7. Revision och besök

7.1 Personuppgiftsansvarige äger rätt att, själv eller genom tredje man, genomföra revision gentemot Personuppgiftsbiträdet eller på annat sätt kontrollera att Personuppgiftsbiträdet eller på annat sätt kontrollera att Personuppgiftsbiträdets behandling av personuppgifter följer detta personuppgiftsbiträdesavtal. Vid sådan revision eller kontroll ska Personuppgiftsbiträdet ge Personuppgiftsansvarige den assistans som behövs för genomförandet.

7.2 Personuppgiftsbiträdet ska på begäran av Personuppgiftsansvarige tillhandahålla all tillgänglig information avseende behandlingen av personuppgifter för att Personuppgiftsansvarige ska kunna uppfylla sina skyldigheter som personuppgiftsansvarig enligt Tillämpliga lagar och rekommendationer.

7.3 För det fallet registrerade personer, Datainspektionen, eller annan tredje man begär information från Personuppgiftsansvarige eller Personuppgiftsbiträdet rörande behandling av personuppgifter ska parterna samverka och utbyta information i nödvändig utsträckning. Personuppgiftsbiträdet får inte lämna ut personuppgifter eller information om behandling av personuppgifter utan medgivande i förväg från personuppgiftsansvarige utom för det fall föreläggande finns därom från relevant myndighet eller om part är nödgad därtill enligt tvingande lagstiftning.

7.4 Personuppgiftsbiträdet ska vara personuppgiftsansvarig behjälplig genom lämpliga tekniska och organisatoriska åtgärder, så att Personuppgiftsansvarige kan fullgöra sin skyldighet avseende de registrerades rättigheter i enlighet med kapitel III i dataskyddsförordningen.

8. Underbiträden

8.1 I den mån Personuppgiftsbiträdet anlitar underbiträden, ska dessa godkännas av personuppgiftsansvarige om inte annat skriftligt avtalats mellan parterna.

8.2 Om Personuppgiftsbiträdet anlitar underbiträde enligt villkoren i Samarbetsavtalen, har personuppgiftsbiträdet mandat och skyldighet att ingå särskilt personuppgiftsbiträdesavtal med sådant underbiträde vad avser underbiträdets behandling av personuppgifter. I sådant avtal ska föreskrivas att underbiträdet har motsvarande skyldigheter som Personuppgiftsbiträdet har enligt detta avtal.

8.3 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran tillhandahålla kopia av de delar av Personuppgiftsbiträdets avtal med underbiträde som krävs för att utvisa att Personuppgiftsbiträdet uppfyllt sina åtaganden enligt detta personuppgiftsbiträdesavtal.

8.4 Personuppgiftsbiträdet ska vid var tid föra en korrekt och uppdaterad lista utvisande vilka underbiträden som anlitats för behandling av personuppgifter och var dessa är geografiskt belägna. Personuppgiftsbiträdet ska vidare på Personuppgiftsansvariges begäran utan dröjsmål tillhandahålla kontaktuppgifter till de underbiträden som behandlar personuppgifter.

8.5 Personuppgiftsbiträdet ska informera den personuppgiftsansvarige om eventuella planer på att anlita nya underbiträden eller ersätta underbiträden, så att den Personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar. För det fall att det finns rimligt fog för invändningen har Personuppgiftsansvarige rätt att med bindande verkan motsätta sig anlitande av visst nytt underbiträde.

9. Ansvar för skada

Har en registrerad person riktat anspråk mot Personuppgiftsansvarige på ersättning för skada eller om en behörig myndighet utfärdar vite eller andra administrativa påföljder med anledning av personuppgiftsbehandling i strid med Personuppgiftsansvariges instruktioner, detta Biträdesavtal eller gällande dataskyddsregler ska Personuppgiftsbiträdet hålla Personuppgiftsansvarige skadeslös.

10. Upphörande av behandling av personuppgifter

Personuppgiftsbiträdet ska beroende på vad Personuppgiftsansvarig väljer, radera eller återlämna all data som innehåller personuppgifter på samtliga media som den är fixerad på, efter uppdraget har avslutats och radera befintliga kopior.

11. Överlåtelse

Överlåtelse av detta personuppgiftsbiträdesavtal får ske i enlighet bestämmelser för överlåtelse i Samarbetsavtal och endast i samband med överlåtelse av Samarbetsavtalet.

12. Avtalstid

Avtalet gäller från dess undertecknande och så länge som Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvariges räkning, eller till dess endera parten säger upp avtalet till upphörande. Vid uppsägning ska en ömsesidig uppsägningstid om tre månader gälla.

13. Tvist och tillämplig lag

Tvist angående tolkning eller tillämpning av detta avtal ska avgöras enligt svensk lag och Samarbetsavtalet bestämmelse om tvist.

Detta avtal har upprättats i två likalydande exemplar, varav parterna tagit var sitt.

Ort och datum Ort och datum

Namn Namn