Contract

1 (12)





Personuppgiftsbiträdesavtal

  1. Parter

    1. Personuppgiftsansvarig (”PuA”): Vårdgivare (xxx.xx.: xxxxxx-xxxx) med adress Box xxxx, xxx xx Stad.

    2. Personuppgiftsbiträde (”PuB”): Region Jönköpings län, Nämnden för folkhälsa- och sjukvård (xxx.xx: 232100-0057) med adress Box 1024, 551 11 Jönköping.

  2. Definitioner

    1. Med ”Personuppgifterna” avses sådana personuppgifter som enligt detta avtal behandlas av PuB för PuA:s räkning.

    2. Med ”Tillämplig dataskyddslag” avses i detta avtal vid var tid gällande lydelse av Dataskyddsförordningen1 samt annan eventuell EU- och nationell lagstiftning (inklusive förordningar och föreskrifter) som är tillämplig på behandling av personuppgifter enligt detta avtal.

    3. I den mån Tillämplig dataskyddslag innehåller begrepp som motsvarar de som används i detta avtal, ska sådana begrepp tolkas och tillämpas i enlighet med respektive regelverk.












  1. Bakgrund och syfte

    1. eFrikort är en av PuB, genom CGI Sverige AB, tillhandahållen e-tjänst för att vårdgivare ska kunna hantera patienters högkostnadsskydd och frikort. Tjänsten är en molntjänst och alla personuppgifter lagras hos CGI Sverige AB. PuA och PuB har 2019-XX-XX ingått Anslutningsavtalet. Detta Biträdesavtal är tillämpligt om och i den utsträckning den tjänst som PuB tillhandahåller innebär att PuB som personuppgiftsbiträde behandlar personuppgifter för PuA:s räkning. Detta Biträdesavtal utgör en bilaga till Anslutningsavtalet.

    2. Om det finns oförenliga eller motstridiga villkor beträffande behandling av personuppgifter, avseende den tjänst som beskrivs i detta avtal 3.1, i avtal eller annan överenskommelse mellan PuA och PuB, ska villkoren i detta avtal äga företräde. Detta avtal ersätter eventuella tidigare personuppgiftsbiträdesavtal mellan parterna.

    3. Detta avtal har till syfte att säkerställa de registrerades fri- och rättigheter vid behandling av personuppgifter samt att uppfylla kravet på skriftlig reglering av villkoren för anlitande av personuppgiftsbiträde enligt Dataskyddsförordningens artikel 28.3.

  2. Omfattning

    1. Föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade framgår av ifylld Mall för Instruktion och Avrop (bilaga 1).

  3. PuA:s ansvar

    1. PuA ansvarar för att det finns lagstöd för behandlingen av Personuppgifterna och att i övrigt följa Tillämplig dataskyddslag.

    2. PuA åtar sig att, i den mån så krävs utöver detta avtal och eventuell annan avtalsreglering parterna emellan, utforma ytterligare skriftliga instruktioner för behandlingen av Personuppgifterna som är förenliga med Tillämplig dataskyddslag och som behövs för att PuB ska kunna fullgöra sina uppgifter enligt avtalet.

    3. PuA åtar sig att utan dröjsmål informera PuB om förändringar i behandlingen vilka påverkar PuB:s skyldigheter enligt detta avtal och Tillämplig dataskyddslag.


  4. PuB:s allmänna åtaganden

    1. PuB åtar sig att endast behandla Personuppgifterna för att fullgöra sina uppgifter enligt detta avtal och endast på sätt som framgår av avtalet och/eller PuA:s skriftliga instruktioner.

    2. Kravet på skriftliga instruktioner gäller särskilt, men inte begränsat till, sådan behandling som består i utlämnande av Personuppgifterna till myndighet eller annan utomstående samt överföring av Personuppgifterna till tredje land (se avsnitt 11).

    3. PuB åtar sig att följa Tillämplig dataskyddslag och hålla sig informerad om gällande rätt på området.

    4. PuB åtar sig att följa Datainspektionens eller annan behörig tillsynsmyndighets fattade beslut om åtgärder för att uppfylla kraven enligt Tillämplig dataskyddslag.

    5. PuB ska omedelbart informera PuA om XxX anser att lämnade instruktioner strider mot lag eller är otydliga och därefter invänta ytterligare instruktioner eller förtydliganden från PuA. Detsamma gäller om PuB anser att det saknas tillräckliga instruktioner för att genomföra behandlingen.

    6. PuB ska förvalta tjänster i enlighet med anslutna vårdgivares instruktioner om styrning och kontroll samt att genom avtal säkerställa att även leverantören av e-frikort följer dessa instruktioner. Förvaltningen ska även omfatta bemanning och styrning av central förvaltning, underhåll och fortlöpande utveckling av systemet eller tjänsten samt fortlöpande anpassning av systemet så att nödvändiga regelverk kan hållas aktuella och utvecklade

    7. PuB ska agera som beställare gentemot leverantören av e-frikort, innefattande bl. a. ett åtagande att ta ett samordningsansvar för e-frikort på beställarnivå och samordna samarbete och kommunikation med å ena sidan leverantören, å andra sidan anslutna vårdgivare.

  5. Säkerhet och sekretess

    1. PuB ska vidta de lämpliga tekniska och organisatoriska säkerhetsåtgärder som krävs enligt Tillämplig dataskyddslag samt lämnade instruktioner för att skydda Personuppgifterna. Säkerhetsåtgärderna ska fastställas bland annat med beaktande av samtliga de omständigheter och möjliga åtgärder som anges i Dataskyddsförordningens art. 32.

    2. Eventuella särskilda krav på säkerhetsåtgärder framgår av ifylld Mall för Instruktion och Avrop (bilaga 1).

    3. Vidtagna säkerhetsåtgärder ska dokumenteras och dokumentationen ska på begäran tillhandahållas PuA.

    4. PuB åtar sig att endast ge åtkomst till Personuppgifterna för personer inom sin egen organisation eller hos eventuell underleverantör som behöver tillgång till dem för att kunna utföra sina arbetsuppgifter inom ramen för detta avtal.

    5. PuB och de personer som arbetar under ledning av PuB (inklusive ev. konsulter och underleverantörer) ska vid behandlingen av Personuppgifterna hålla Personuppgifterna konfidentiella och får inte röja dem för obehöriga annat än enligt skriftliga instruktioner från PuA. PuB ansvarar för att samtliga personer som kommer i kontakt med Personuppgifterna är bundna av sekretess/tystnadsplikt enligt lag och/eller personliga avtal.

    6. PuB ska bistå PuA med att se till att de skyldigheter som enligt Xxxxxxxxxx dataskyddslag åligger PuA vad gäller t.ex. säkerhetsåtgärder, konsekvensbedömningar, incidentrapportering och samråd kan fullgöras samt samråda kring lämpliga rutiner för detta.

    7. Skulle nya omständigheter som kan påverka informationssäkerheten uppkomma under avtalets giltighetstid ska PuB meddela PuA detta omgående så att parterna tillsammans kan vidta säkerhetshöjande åtgärder.

  6. De registrerades rättigheter

    1. PuB åtar sig att bistå PuA genom lämpliga tekniska och organisatoriska åtgärder vad gäller begäran från registrerade om att utöva deras rättigheter enligt Tillämplig dataskyddslag, exempelvis rättelse, radering eller begränsning av behandling, i den mån dessa rättigheter är tillämpliga på Personuppgifterna.

    2. För det fall en registrerad eller annan tredje part begär ut information från PuB rörande behandlingen av Personuppgifterna, eller om PuB tar emot en begäran om rättelse, radering, begränsning av behandling eller överföring, ska PuB hänvisa till PuA. PuB ska inte vidta någon åtgärd eller lämna ut någon information till registrerade eller annan tredje part om inte utlämnande krävs enligt tvingande lag. I så fall ska PuB omedelbart informera PuA om begäran.

  7. Revision, insyn och tillsyn

    1. För att kunna säkerställa att PuB vidtar tillräckliga säkerhetsåtgärder och även i övrigt fullgör sina skyldigheter enligt detta avtal, har PuA rätt till nödvändig insyn i PuB:s verksamhet. PuB åtar sig att på PuA:s begäran utan dröjsmål tillhandahålla den information som PuA behöver för att kunna utöva insyn.

    2. PuB ska tillåta och möjliggöra de inspektioner som Datainspektionen eller PuA kan kräva för att kontrollera upprätthållandet av en korrekt och säker behandling av Personuppgifterna. Detta inbegriper att möjliggöra och bidra till granskningar samt inspektioner hos PuB eller ev. underleverantörer.

  8. Personuppgiftsincidenter

    1. En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till Personuppgifterna (se Dataskyddsförordningen art. 4).

    2. Om PuB får kännedom om en personuppgiftsincident med avseende på Personuppgifterna, ska denne utan onödigt dröjsmål informera PuA. PuB ska därvid bistå PuA i framtagandet av information och incidentrapporter till registrerade personer och till myndigheter i den utsträckning det krävs enligt Tillämplig dataskyddslag. PuB ska utan dröjsmål undersöka incidenten och i samråd med PuA vidta lämpliga åtgärder för att förhindra en upprepning.

    3. PuB ska omgående informera XxX även om åtaganden enligt detta avtal av någon annan anledning än en personuppgiftsincident inte uppfylls eller inte kommer att kunna uppfyllas.

  9. Överföring av personuppgifter till tredje land

    1. Överföring av Personuppgifterna till tredje land, dvs. ett land utanför EU/EES, eller en internationell organisation får endast ske om landet eller organisationen genom beslut enligt Dataskyddsförordningens artikel 45 har bedömts säkerställa en adekvat skyddsnivå för personuppgifter eller efter skriftligt godkännande av PuA i det enskilda fallet efter att PuA gjord bedömningen att överföringen är lämplig och tillåten på grund av vidtagna skyddsåtgärder enligt Dataskyddsförordningens artikel 46.

    2. Villkoren i detta avsnitt för överföring av Personuppgifterna ska gälla såväl överföring för lagring och annan behandling som åtkomst till Personuppgifterna för exempelvis service, support, underhåll, utveckling eller liknande ändamål från tredje land eller en internationell organisation.

    3. PuB ska alltid samråda med PuA innan överföring till tredje land sker.

  10. Anlitande av annat personuppgiftsbiträde

    1. PuB får inte anlita ett annat personuppgiftsbiträde för behandling av Personuppgifterna utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av PuA. Om ett allmänt skriftligt tillstånd har erhållits, ska PuB informera PuA om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att PuA har möjlighet att göra invändningar mot sådana förändringar.

    2. Om PuB anlitar annat personuppgiftsbiträde enligt föregående punkt, så ansvarar PuB för att det andra personuppgiftsbiträdet innan behandlingen påbörjas genom ett skriftligt avtal åläggs samma skyldigheter beträffande behandlingen av Personuppgifterna som PuB har enligt detta avtal. Avtalet med det andra personuppgiftsbiträdet ska i relevanta delar på begäran kunna uppvisas för PuA.

    3. Om PuB anlitar annat personuppgiftsbiträde enligt föregående punkt, ansvarar PuB för att det andra personuppgiftsbiträdet fullgör alla åtaganden och iakttar alla begränsningar som anges i denna bilaga.

    4. PuB ska vid var tid föra en korrekt och uppdaterad lista över personuppgiftsbiträden som anlitats enligt detta avsnitt och på begäran uppvisa denna för PuA. Vid avtalstecknandet anlitade underleverantörer framgår av Förteckning över underbiträden (bilaga 2).

  11. Giltighetstid

    1. Detta biträdesavtal är giltigt så länge som PuB:s behandling av Personuppgifter på uppdrag av PuA pågår. Parterna kan dock överenskomma att detta avtal ska ersättas av ett annat biträdesavtal.

    2. Åtagandena rörande sekretess och tystnadsplikt ska äga giltighet även efter detta avtal i övrigt har upphört att gälla.

  12. Upphörande av behandling av personuppgifter

    1. Vid upphörande av PuB:s uppdrag ska Personuppgifterna, på samtliga media som de är lagrade på, återlämnas till PuA eller i enlighet med PuA:s instruktioner raderas eller överföras till annat personuppgiftsbiträde.

    2. För det fall PuB på grund av lag, förordning, föreskrift eller myndighetsbeslut är skyldigt att fortsätta att behandla Personuppgifterna, får Personuppgifterna endast behandlas i den mån det är absolut nödvändigt för att fullgöra denna skyldighet. PuB ska informera PuA om varför fortsatt behandling är nödvändig.

  13. Ersättning

    1. Om inte annat särskilt överenskommits har PuB inte rätt till ersättning för fullgörande av sina skyldigheter i detta avtal.

    2. PuB tillhandahåller e-frikortstjänsten och finansierar denna samt ombesörjer utskick till patienter. PuA svarar själv för alla sina kostnader för att integrera övriga vårdsystem med e-frikort samt att införa och använda e-frikortstjänsterna i verksamheten.

  14. Skadeslöshet

    1. Sanktionsavgifter enligt Dataskyddsförordningens artikel 83 ska alltid slutligen bäras av den part som påförts en sådan avgift.

  15. Ändringar och tillägg

    1. Ändringar av och tillägg till detta avtal ska vara skriftliga och undertecknade av behörig företrädare för båda parter.

  16. Tvist

    1. Tvist angående tolkning eller tillämpning av detta avtal ska, om annat inte skriftligen överenskommits, avgöras enligt svensk lag och av svensk allmän domstol med Jönköpings tingsrätt som första instans.







Detta avtal har upprättats i två likalydande exemplar, varav parterna tagit var sitt.





Behörig företrädare för XxX Xxxxxxx företrädare för PuB



____________________________ ____________________________

Ort och datum Ort och datum


____________________________ ____________________________

Underskrift Underskrift


____________________________ ____________________________

Namnförtydligande Namnförtydligande




























Bilaga 1

Utöver vad som redan framgår av detta personuppgiftsbiträdesavtal ska PuB följa nedanstående instruktioner. I den mån så krävs kan i mallen hänvisas till ytterligare bilagor (t.ex. tjänsteavtal eller -specifikation, systembeskrivning m.m.).



Ändamål

Specificera samtliga ändamål för vilka personuppgifter kommer behandlas av PuB.

Ändamålet med behandlingen är att kunna tillhandahålla en elektronisk frikortstjänst för att underlätta för kassapersonal och patient vid besök inom vården.

PuB ska även kontinuerligt utveckla och förbättra tjänsten och för att uppfylla detta uppdrag kan PuB behöva behandla personuppgifter.

Kategorier av personuppgifter

Specificera samtliga kategorier av personuppgifter som kommer behandlas av PuB.

Uppgifter som krävs för att beräkna en patients frikort, så som personnummer, HSA-Id för den enhet där vårdbesöket ägt rum och betald avgift för vårdbesöket samt namn och adress till patienter som uppnått frikort och skall erhålla ett fysiskt frikort med posten.

Särskilda kategorier av personuppgifter:
Uppgift om hälsa

Extra skyddsvärda kategorier av personuppgifter:
Personnummer
HSA-id för vårdenhet där patient gjort vårdbesök anses som känslig uppgift.

Kategorier av registrerade

Specificera samtliga kategorier av registrerade vars uppgifter kommer behandlas av PuB.

Vårdpersonal

Patienter

Överföring av personuppgifter

Den omfattning som personuppgifter kan komma att överföras utanför EES i syfte att fullgöra uppdraget.

Nej

Lagringsregler

Alla personuppgifter lagras hos CGI Sverige AB. Lagringsreglerna följer av den instruktion som finns som bilaga till personuppgiftsbiträdesavtalet mellan PuB och CGI Sverige AB enligt nedan.

Åtgärder för att tillse att personuppgifter gallras under och efter avtalstiden när användningen inte längre är nödvändig för det ursprungliga ändamålet:

Under avtalstiden: Enligt Patientdatalagen skall alla loggar lagras i minst 5 år. Så snart som möjligt och senast inom 2 månader efter att 5 år passerats skall loggarna raderas.

Frikortsdata för respektive patient skall lagras i 24 månader för att kunna hantera aktuell frikortsperiod samt se historik över frikort.

Ostrukturerat data i servicedesken/funktionsbrevlåda skall raderas inom 1 månad från att ärendet inkommit.

Filer för distribuering av fysiska frikort får lagras i maximalt 2 månader.

Säkerhetsåtgärder

Specificera kravställda/överenskomna säkerhetsåtgärder.

Alla personuppgifter lagras hos CGI Sverige AB.
Säkerhetsåtgärder följer av den instruktion som finns som bilaga till personuppgiftsbiträdesavtalet mellan PuB och CGI Sverige AB.

Instruktionen återfinns i detta avtal som Bilaga A.





























Bilaga 2

Förteckning över underbiträden
Uppge företagsnamn, syfte med behandling och land där personuppgiftsbiträden till PuB kommer att behandla PuA:s uppgifter.

Namn

Syfte

Land

CGI Sverige AB

Leverantör av tjänsten enligt
avtal, RJL 2018/2044

Sverige, Stockholm
















































Bilaga 3

Sammanställning av kontaktuppgifter

Kontaktuppgifter personuppgiftsansvarig

Dataskyddsombud
Namn:
Telefonnummer:
E-postadress:


Kontaktperson
Namn:
Telefonnummer:
E-postadress:


Kontaktuppgifter personuppgiftsbiträde

Dataskyddsombud
Namn: Xxxxx Xxxxxxxxx
Telefonnummer: 0000000000
E-postadress: xxxxxxxxxxxxxxx@xxx.xx


Kontaktperson
Namn:
Telefonnummer:
E-postadress:

1 Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG



Document Metadata

Filed: November 23rd, 2022