Personuppgiftsbiträdesavtal enligt 30-31 §§ Personuppgiftslagen (1998:204)

Personuppgiftsbiträdesavtal enligt 30-31 §§ Personuppgiftslagen (1998:204)

Innehåll

1. Bakgrund 2

2. Syfte 3

3. Parter 4

5. PuAs ansvar 4

6. PuB åtar sig följande 5

7. Sekretess 6

8. Ansvar gentemot tredje man 7

9. Avtalstid 7

10. Gallring 7

11. Upphörande av behandling av personuppgifter 7

12. Ändring av detta avtal 7

Instruktioner till PuB för behandlingar av personuppgifter i [ange namn på verktyget]: 9

Informationssäkerhet 10

Personuppgiftsbiträdesavtal enligt 30-31 §§ Personuppgiftslagen (1998:204)

1. Bakgrund

[Beskriv kortfattat bakgrunden till avtalet]

2. Syfte

2.1 Detta avtal har till syfte att uppfylla personuppgiftslagens (1998:204) (”PUL”) krav enligt 30 § andra stycket på avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde.

2.2 Föreliggande avtal reglerar personuppgiftsbiträdets behandling av personuppgifter å den personuppgiftsansvariges vägnar på en fysisk datalagrings- och bearbetningsplats som förvaltas av personuppgiftsbiträdet. Personuppgiftsbiträdets åtagande omfattar samt är begränsat till den behandling av personuppgifter som framgår av bilaga 1.

2.3 Avtalet omfattar all behandling av personuppgifter som personuppgiftsbiträdet utför för den personuppgiftsansvariges räkning på datalagrings- och bearbetningsplatsen. Syftet med avtalet är att se till att personuppgiftsbiträdet behandlar personuppgifterna i enlighet med den personuppgiftsansvariges anvisningar och i enlighet med tillämplig lag, föreskrifter och praxis. Avtalet syftar också till att reglera parternas skyldigheter och rättigheter i övrigt.

3. Parter

Personuppgiftsansvarig (PuA): Skolhuvudman______________ (org.nummer) tillika utfärdare av fullmakt, och

Personuppgiftsbiträde (PuB): Region eller landsting, (org. Nummer), tillika befullmäktigat ombud.

4. Definitioner

Personuppgifter: All slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet eller har avlidit.

Personuppgiftsansvarig (nedan ”PuA”): Den som ensam eller tillsammans med andra självständigt bestämmer ändamålen med och medlen för behandlingen av personuppgifter. En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I den enskilda hälso- och sjukvården är den juridiska eller fysiska person som bedriver verksamheten personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsombud: Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.

Personuppgiftsbiträde (nedan ”PuB”): Den som osjälvständigt behandlar personuppgifter på uppdrag av PuA.

Behandling av personuppgifter: Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter t.ex. insamling, registrering, organisering, lagring, bearbetning och rapportering.

Registrerad: Den som en personuppgift avser.

5. PuAs ansvar

5.1 PuA ska se till att behandlingen sker i enlighet med gällande lagar och föreskrifter samt i enlighet med Datainspektionens från tid till annan tillämpliga regler och rekommendationer.

5.2 PuA ska utan dröjsmål informera PuB om förändringar i behandlingen vilken påverkar PuBs skyldigheter enligt detta avtal. PuA ska tillika informera PuB om tredje parts, däribland Datainspektionen och Registrerads, åtgärder med anledning av behandlingen.

5.3 PuA ska se till att endast Personuppgifter angivna i bilaga 1 utlämnas till PuB samt för den behandling som anges i samma bilaga.

5.4 PuA ska inom 30 dagar från avtalets tecknande presentera för PuB interna rutiner och anvisningar för i vilka fall och till vem PuB ska utlämna datafiler vilka innehåller information som möjliggör återskapande av registrerades identitet.

5.5 PuA ska vid elektroniskt utlämnande av uppgifter till PuB kryptera uppgifterna med en mellan parterna överenskommen krypteringsmetod, krypto eller krypteringsprodukt.

5.6 PuA ansvarar bland annat för att informera registrerade om behandlingen, för att i nödvändiga fall inhämta samtycke från de registrerade och för att i tillämpliga fall anmäla behandlingar till Datainspektionen eller till PuA:s personuppgiftsombud.

6. PuB åtar sig följande:

6.1 PuB ska följa gällande lagstiftning, egna riktlinjer för informationssäkerhet – som ska följa av Datainspektionens direktiv –, samt hålla sig informerad om dessa. PuA ansvarar för att bl.a. behörighetsstyrning och åtkomstkontroll enligt patientdatalagen (2008:355) (PDL) och föreskrifter följs. PuB ska ge PuA fysiskt tillträde respektive tillgång till uppgifter som innebär att PuA kan fullgöra sitt ansvar. Vidare ska PuB vidta de åtgärder som av PuA bedöms lämpliga, i teknisk och organisatoriskt hänseende, för att skydda Personuppgifter mot obehörig åtkomst, förstörelse och ändring.

6.2 PuA måste ha kännedom om i vilket land behandlingen av personuppgifter äger rum. PuB samt eventuella anlitade underbiträden får inte behandla personuppgifter i ett land utanför Sverige.

6.3 PuB och den eller de personer som arbetar under dennes ledning får endast behandla Personuppgifter, i enlighet med de instruktioner som anges i Bilaga 1 eller från tid till annan lämnas av PuA. För det fall PuB saknar instruktioner som PuB bedömer är nödvändiga för att genomföra det uppdrag PuB erhållit från PuA ska PuB utan dröjsmål, informera PuA om sin inställning och invänta de instruktioner som PuA bedömer behövs. Åtkomsten till Personuppgifter ska begränsas till sådana personer som behöver dem för att kunna utföra sina arbetsuppgifter.

6.4 För det fall Registrerad eller annan tredje man begär ut information från PuB som rör behandling av Personuppgifter ska PuB hänvisa till PuA. Om myndighet begär information från PuB ska PuB omedelbart informera PuA.

6.5 PuB ska utan dröjsmål informera PuA om eventuella kontakter från Datainspektionen som rör eller kan vara av betydelse för behandling av Personuppgifter. PuB har inte rätt att företräda PuA eller agera för PuAs räkning gentemot Datainspektionen eller annan tredjeman.

6.6 PuB ska vid behov assistera PuA med att ta fram information som begärts av Datainspektionen eller Registrerad.

6.7 PuB ska följa en av PuA från tid till annan tillämplig procedur för incidenthantering. PuB ska följa även sin egen incidenthanteringsprocedur.

Säkerhetskrav

6.8 PuB ska utöver vad som anges i Bilaga 2 vidta skäliga tekniska, administrativa och organisatoriska åtgärder för att skydda Personuppgifter mot obehörig åtkomst, förstörelse och ändring.

6.9 PuA har rätt att på egen bekostnad själv eller genom tredje man kontrollera att PuB följer detta avtal. PuB ska därvid lämna PuAs representanter den assistans som behövs. PuAs representanter ska ha rätt till inspektion av den hårdvara och mjukvara som används för behandling av personuppgifter som omfattas av detta avtal samt tillträde till de fysiska lokaler där utrustning och annan hård- och mjukvara finns.

6.10 PuB ska assistera PuA med att ta fram information som begärts av Datainspektionen eller registrerad. PuA ska ersätta PuB för sådant arbete. Ersättningen ska avse XxXx självkostnader.

7. Sekretess

7.1 PuB kan under uppdragets fullgörande komma att få tillgång till information som dels är sekretessbelagd i PuAs verksamhet enligt bestämmelserna i offentlighets- och sekretesslagen (2009:400) (OSL) och dels omfattas av bestämmelserna i PDL.

7.2 Av särskild betydelse är dels den sekretess som gäller inom hälso- och sjukvården till skydd för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden (25 kap. OSL) och dels vad som gäller vid informationshantering och journalföring i hälso- och sjukvården enligt PDL.

Förbindelse

7.3 PuB ska iaktta bestämmelserna i OSL. Detta ska gälla för såväl den juridiska personen som för dess medarbetare och konsulter.

8. Ansvar gentemot tredje man

8.1 PuB ska hålla PuA skadeslös för sådana krav som följer av att PuB inte efterföljt detta avtal.

9. Avtalstid

9.1 Detta avtal gäller från dess att det undertecknats av båda parter och tills vidare. Avtalet upphör att gälla med omedelbar verkan om någon av parterna säger upp det. PuB ska då skyndsamt vidta åtgärder enligt punkten 11 nedan.

10. Gallring

10.1 PuB ska tillse att alla personuppgifter som finns lagrade om en Registrerad i [ange namn på verktyget] raderas efter det år den Registrerade fyllt 20 år. Vårdnadshavare och elev informeras om att personuppgifterna lagras i [ange namn på verktyget] i samband med hälsosamtalet. Om vårdnadshavare (före 18 års ålder) eller eleven själv (efter 15 års ålder) inte längre vill att personuppgifterna finns lagrade ska PuB se till att alla personuppgifter avseende den Registrerade som finns lagrade i [ange namn på verktyget] raderas.

11. Upphörande av behandling av personuppgifter

11.1 Vid upphörande av PuBs behandling av PuAs personuppgifter ska PuB återlämna alla Personuppgifter på av PuA angivet lagringsmedium och se till att det inte finns några Personuppgifter kvar i egna system.

12. Ändring av detta avtal

Förslag eller önskemål om ändring i avtalet ska godkännas av alla parter och fastställas i särskilt tilläggsavtal eller motsvarande.

Detta avtal har upprättats i två exemplar, varav parterna har tagit varsitt

Ort och datum

Underskrift PuA

Namnförtydligande (samt befattning)

Ort och datum

Underskrift PuB

Namnförtydligande (samt befattning)

Bilaga 1

Instruktioner till PuB för behandlingar av personuppgifter.

[Ange vad PuB får göra och vilka personuppgifter som får behandlas. Var noggrann och detaljerad]

Informationssäkerhet Bilaga 2

PuB åtar sig att arbeta systematiskt och fortlöpande med informationssäkerhet avseende behandlade personuppgifter i [ange namn på verktyget] enligt följande.

Behörighet och åtkomstkontroll

1. PuB ska ansvara för att det finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter för åtkomst till [ange namn på verktyget] för hälsosamtal.

2. Autentisering till [ange namn på verktyget] ska bygga på två faktorer (tvåfaktorsautentisering) med SITHS-kort eller SMS-kod.

3. PuB ska ha rutiner som säkerställer att

• det av dokumentationen av åtkomsten (loggarna) framgår vilka åtgärder som har vidtagits med uppgifterna i [ange namn på verktyget] för hälsosamtal,

• det av loggarna framgår vem och vid vilken tidpunkt åtgärderna har vidtagits,

• användarens och patientens identitet framgår av loggarna,

• systematiska och återkommande stickprovskontroller av loggarna görs vad avser PuBs personal och konsulter,

• genomförda kontroller av loggarna dokumenteras, och

• loggarna får gallras först tio år efter loggningstillfället.

Om någon av parterna säger upp avtalet ska PuB utlämna loggarna till den PuA.

Säkerhetskopiering av [ange namn på verktyget]

4. PuB ska ha rutiner för säkerhetskopiering av personuppgifter. Av rutinerna ska det framgå,

• att säkerhetskopiering av den PuAs uppgifter i [ange namn på verktyget] ska göras dagligen,

• att säkerhetskopiorna ska sparas tre månader, och

• att återläsningstester ska göras en gång i månaden.

• om någon av parterna säger upp avtalet ska PuB utlämna säkerhetskopiorna till den PuA.

5. PuB ska ansvara för att säkerhetskopior förvaras på ett betryggande sätt och väl åtskilda från originaluppgifterna.

6. PuB ska i övrigt skydda den PuAs uppgifter i [ange namn på verktyget] mot obehörig åtkomst, förstörelse eller ändring.

Pseudonymisering

7. PuB ska vid sambearbetning av personuppgifter i[ange namn på verktyget] respektive utlämnande av personuppgifter till den PuA pseudonymisera behandlade personuppgifter (se definition i punkt 4 i avtalet). Datafiler vilka innehåller information om kopplingen mellan individ och personersättningsnummer eller kryptonyckel ska förvaras på ett betryggande sätt av PuB och utan insyn för obehöriga. PuB ska utlämna datafiler som möjliggör återskapande av registrerades identitet till den PuA på dennes begäran, om utlämnandet är förenligt med de rutiner och anvisningar som den PuA enligt punkten 5.4 i avtalet ska dokumentera och presentera för PuB.

Informationsöverföring

8. PuB ska vid elektroniskt utlämnande av uppgifter från [ange namn på verktyget] till PuA kryptera uppgifterna med mellan parterna överenskommen krypteringsmetod, krypto eller krypteringsprodukt.

9. Ingen form av överföring av information som regleras i detta avtal får äga rum utan att erforderliga tekniska specifikationer rörande överföringssätt m.m. upprättats, utväxlats och godkänts av utsedda och ansvariga kontaktpersoner hos respektive part. Överföring får heller aldrig ske i strid med de tekniska specifikationer som fastställts mellan parterna. Inte heller får överföring ske om sättet som överföring sker på förändras och utsedda kontaktpersoner inte har godkänt denna förändring.

10. Innan PuB driftsätter sina system för mottagande eller utlämnande av information enligt detta avtal ska systemen kvalitetssäkras genom tester. Den PuA ska godkänna PuBs genomförda tester innan skarp drift får påbörjas.

11. När systemet och informationsöverföringen mellan den PuA och [ange namn på verktyget] är i drift ska parterna genom tester och övervakning löpande kontrollera säkerheten och kvaliteten i systemet enligt respektive parts dokumenterade rutiner.

12. Om PuB avser att göra förändringar i sitt system (uppgradering, patchning etc.) på sätt som kan förväntas påverka informationsöverföringen ska biträdets kontaktperson i projektet underrätta den PuAs kontaktperson om detta och inhämta godkännande. Sådant samråd ska ske i så god tid att parterna gemensamt kan genomföra erforderliga tester för att säkerställa normal drift efter genomförda förändringar. Samråden skall dokumenteras och resultera i en dokumenterad plan för testning och driftsättning.

13. Driftstörningar hos PuB som påverkar informationsöverföringen mellan parterna negativt ska omedelbart vid upptäckt anmälas till den andra parten. Vid driftstörningar eller underhåll som kan påverka informationsöverföringen mellan parterna negativt och som kan beräknas vara längre än 24 timmar ska PuB ha förberedda alternativa lösningar för informationsöverföring.

14. Intrångsförsök eller annat bedrägligt förfarande för att få åtkomst till den PuAs uppgifter i [ange namn på verktyget] ska omedelbart anmälas av PuB vid upptäckt till den andra parten. Inga ändringar (omstart, uppgraderingar, felsökningar) får normalt vidtas utan samråd med den andra parten.

15. Den PuA ansvarar för förlust, försening, förvanskning och/eller obehörigt intrång i datafiler efter det att de lämnat användarapplikationen till dess att den är mottagen av PuBs system. Båda parterna ansvarar vidare för att datafilerna krypteras enligt överenskommelse mellan parterna. PuB ansvarar för förlust, försening, förvanskning och/eller obehörigt intrång i datafilerna efter att den har mottagits av PuBs system.

PuB åtar sig att kontinuerligt logga systemhändelser och kommunikation enligt detta avtal. System- och säkerhetsloggar skall ha ett adekvat säkerhetsskydd. Loggar får gallras först ett år efter loggningstillfälle.