PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

("Personuppgiftsbiträdesavtalet") daterat den [2018-05-24] ("Avtalsdagen") MELLAN:

(1) FÖRETAGSHÄLSAN [HÄLSOLÄNKEN AB], [556194-6830], [Box 211, SE-685 25

Torsby, Sweden] ("Bolaget"); och

(2) [XXXX], [000000-00], [Box 00, SE-00000 XXXX, Sweden] ("Underleverantören"); (var och en "Part" och tillsammans "Parterna")

BAKGRUND:

A Bolaget och Underleverantören har ingått ett avtal ("Tjänsteavtalet") enligt vilket Underleverantören ska tillhandhålla vissa i Tjänsteavtalet angivna tjänster ("Tjänsterna") till Bolaget.

B Vid Underleverantörens tillhandahållande av Tjänster enligt Tjänsteavtalet kan Underleverantören komma att Behandla Personuppgifter, för vilka Bolaget är Personuppgiftsbiträde, som närmare beskrivs i Bilaga 1, i egenskap av underbiträde till Bolaget. Underleverantören åtar sig att Behandla Personuppgifter för Bolagets räkning i enlighet med bestämmelserna i detta Personuppgiftsbiträdesavtal.

C Underleverantören ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att krav i Tillämplig Personuppgiftslagstiftning uppfylls vid Behandling av Personuppgifter.

D Vid konflikt mellan en bestämmelse i detta Personuppgiftsbiträdesavtal och en bestämmelse i Tjänsteavtalet gäller bestämmelserna i detta Personuppgiftsbiträdesavtal i den utsträckning be- stämmelsen i detta Personuppgiftsbiträdesavtal innebär ett bättre skydd för de Personuppgifter som Behandlas.

1. DEFINITIONER

I detta Personuppgiftsbiträdesavtal ska följande definitioner ha den betydelse som anges ne- dan:

"Avtalsdagen" betyder det ovan angivna datumet;

"Behandling", "Personuppgiftsansvarig", "Personuppgifter", "Personuppgiftsbiträde", Personuppgiftsincident", samt "Registrerad" ska ha samma innebörd som i Europaparla- mentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska per- soner med avseende på behandling av personuppgifter och om det fria flödet av sådana upp-

1

gifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ("Data- skyddsförordningen");

"Personuppgiftsbiträdesavtal" betyder detta Personuppgiftsbiträdesavtal jämte samtliga här- till hörande bilagor;

"Tillämplig Lagstiftning" betyder från tid till annan gällande lagstiftning, förordningar och föreskrifter i EU och i relevanta medlemsstater som är tillämplig på Bolaget, den Personuppgiftsansvarige och Underleverantören; samt

"Tillämplig Personuppgiftslagstiftning" betyder från tid till annan gällande lagstiftning, för- ordningar och föreskrifter, inklusive föreskrifter som meddelats av berörda tillsynsmyndig- heter, avseende skydd för fysiska personers grundläggande rättigheter och friheter och särskilt rätt till skydd av deras Personuppgifter vid Behandling av Personuppgifter som är tillämplig på Bolaget, den Personuppgiftsansvarige och Underleverantören, inklusive lagstiftning, förordningar och föreskrifter som genomför direktiv 95/46/EG och, från och med den 25 maj 2018, Dataskyddsförordningen; samt

"Tredje Land" betyder en stat som inte ingår i Europeiska unionen (EU) eller är ansluten till det Europeiska ekonomiska samarbetsområdet (EES).

2. ALLMÄNNA SKYLDIGHETER FÖR UNDERLEVERANTÖREN

2.1 I den utsträckning Underleverantören Behandlar Personuppgifter såsom underbiträde ska Underleverantören endast Behandla Personuppgifter i enlighet med:‌

2.1.1 De instruktioner Bolaget erhållit från den Personuppgiftsansvarige genom Bolaget enligt detta Personuppgiftsbiträdesavtal, Tjänsteavtalet och de ytterligare dokumenterade instruktioner som den Personuppgiftsansvarige genom Bolaget från tid till annan ger och inte för några andra egna ändamål; samt‌

2.1.2 Tillämplig Personuppgiftslagstiftning.

2.2 Oaktat vad som anges i punkten 2.1.1 ovan får Underleverantören Behandla Personuppgifter i den utsträckning som det krävs för att Underleverantören ska kunna uppfylla skyldigheter som åvilar Underleverantören och som följer av tid till annan Tillämplig Lagstiftning. Det ankommer dock på Underleverantören att innan sådan Behandling genomförs informera Xxxxxxx och den Personuppgiftsansvarige om den rättsliga skyldigheten, såvida inte Underleverantören är förhindrad enligt Tillämplig Lagstiftning att lämna sådan information.

2.3 Oaktat det lagval som Parterna överenskommit om i Tjänsteavtalet ska Tillämplig Personuppgiftslagstiftning gälla för Behandlingen av Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal.

2.4 Underleverantören ska omedelbart informera Bolaget och den Personuppgiftsansvarige om Underleverantören inte kan uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal eller om Underleverantören anser att en in- struktion som Bolaget förmedlat om Behandlingen av Personuppgifter skulle stå i strid med Tillämplig Personuppgiftslagstiftning, såvida inte Underleverantören är förhindrad att lämna sådan information till Bolaget och den Personuppgiftsansvarige enligt Tillämplig Lagstiftning.

2.5 Underleverantören ska på Bolagets och/eller den Personuppgiftsansvariges begäran tillhandahålla dokumentation och all annan information för att visa att Underleverantören uppfyller sina skyldigheter enligt detta Personuppgiftsbiträdesavtal och Tillämplig Personuppgiftslagstiftning.

3. SÄKERHETSÅTGÄRDER‌

3.1 Skyldighet att vidta tekniska och organisatoriska åtgärder för att skydda Personuppgifter

3.1.1 Underleverantören ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som Behandlas mot Personuppgiftsincidenter. Åtgär- derna ska åtminstone uppnå den säkerhetsnivå som följer av Tillämplig Person- uppgiftslagstiftning, berörda tillsynsmyndigheters tillämpliga föreskrifter och riktlinjer avseende säkerhet för Personuppgifter, samt vad som i övrigt är lämpligt i förhållande till risken med Behandlingen, inklusive men inte begränsat till:

3.1.1.1 pseudonymisering (när det är lämpligt) och kryptering av Personuppgifter;

3.1.1.2 åtgärder för att förhindra överföring av Personuppgifter till obehöriga mottagare, inklusive åtgärder för att säkerställa säker överföring av Personuppgifter genom kryptering;

3.1.1.3 förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemet och be- handlingstjänsterna;

3.1.1.4 förmågan att återställa tillgängligheten och tillgången till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident;

3.1.1.5 ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet; samt

3.1.1.6 åtgärder för att säkerställa att fast och flyttbar lagringsmedia som har använts för Behandling av Personuppgifter enligt detta Personupp- giftsbiträdesavtal på ett säkert och oåterkalleligt sätt förstörs när de inte längre används.

3.1.2 De säkerhetskrav som följer av bilaga 2 ska gälla såsom minimum om inte Tillämplig Personuppgiftslagstiftning föreskriver strängare krav, vilka då ska följas.

3.1.3 Underleverantören ska vidare bistå Bolaget och den Personuppgiftsansvarige på Bolagets eller den Personuppgiftsansvariges begäran med nödvändig information för att den Personuppgiftsansvarige, i förekommande fall, ska kunna uppfylla sina skyldigheter att genomföra konsekvensbedömning och förhandssamråd med berörda tillsynsmyndigheter avseende den Behandling av Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal.

Behörighetskontroll och -loggning, samt sekretess för Personuppgifter

3.1.4 Underleverantören ska tillse att tillgång till Personuppgifterna är begränsad till den personal hos Underleverantören som behöver tillgång till Personuppgifterna för att Underleverantören ska kunna uppfylla sina åtaganden enligt detta Person- uppgiftsbiträdesavtal och Tjänsteavtalet. Underleverantören ska tillse att personal hos Underleverantören endast Behandlar Personuppgifter enligt vad som följer av punkten 2.1 ovan.

3.1.5 Underleverantören ska vidare tillse att all personal som är behöriga att få tillgång till och Behandla Personuppgifterna iakttar sekretess vid Behandling av Personuppgifterna som omfattas av detta Personuppgiftsbiträdeavtal.

3.1.6 Underleverantören ska även tillse att åtkomst till Personuppgifter som Underleverantören Behandlar enligt detta Personuppgiftsbiträdesavtal loggas och att denna logg sparas för att möjliggöra utredning av Personuppgiftsincidenter.

3.2 Personuppgiftsincident

3.2.1 För det fall en Personuppgiftsincident inträffar ska Underleverantören skriftligen underrätta Bolaget och den Personuppgiftsansvarige om detta utan onödigt dröjsmål och senast inom 24 timmar från det att Personuppgiftsincidenten kom till Underleverantörens kännedom.

3.2.2 Underleverantören ska omedelbart efter det att en Personuppgiftsincident kommit till Underleverantörens kännedom:

3.2.2.1 inleda en rättslig utredning av Personuppgiftsincidenten för att utreda Personuppgiftsincidentens omfattning, art och dess sannolika konsekvenser;

3.2.2.2 vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa Personuppgiftsincidentens potentiella negativa effekter;

3.2.2.3 samråda med Xxxxxxx och den Personuppgiftsansvarige för att avgöra om den Personuppgiftsansvarige skulle vara skyldig, i förekommande fall, enligt Tillämplig Personuppgiftslagstiftning att anmäla Personuppgiftsincidenten till berörd tillsynsmyndighet och/eller informera berörda Registrerade om Personuppgiftsincidenten.

3.2.3 Så snart som möjligt efter det att den rättsliga undersökningen påbörjats ska Underleverantören tillhandahålla följande information till Bolaget och den Personuppgiftsansvarige avseende Personuppgiftsincidenten:

3.2.3.1 en beskrivning av Personuppgiftsincidentens art, kategorier av och antalet Registrerade som berörs, samt kategorier av och antalet per- sonuppgiftsposter som berörs;

3.2.3.2 de sannolika konsekvenserna av Personuppgiftsincidenten; samt

3.2.3.3 en beskrivning av de åtgärder som Underleverantören, i förekommande fall, redan har vidtagit eller avser att vidta för att åtgärda Personuppgiftsincidenten och/eller för att begränsa Personuppgiftsincidentens eventuella negativa effekter.

Om och i den utsträckning det inte är möjligt för Underleverantören att tillhandahålla informationen samtidigt får informationen lämnas i omgångar utan onödigt ytterligare dröjsmål. Bolaget och den Personuppgiftsansvarige ska ha rätt att på begäran få en kopia på eventuella rättsliga rapporter som upprättats med anledning av Personuppgiftsincidenten.

3.2.4 Underleverantören ska bistå Bolaget och den Personuppgiftsansvarige i nödvändig omfattning för att utreda Personuppgiftsincidenten och för att den Personuppgiftsansvarige ska kunna uppfylla anmälnings- och informationsplikt till berörda tillsynsmyndigheter och berörda Registrerade enligt Tillämplig Personuppgiftslagstiftning.

3.3 Rätt att granska och inspektioner

3.3.1 Underleverantören ska tillåta och bidra till granskningar, inklusive inspektioner, som genomförs av Bolaget, den Personuppgiftsansvarige eller av en tredje part som ensamt utses av Xxxxxxx eller den Personuppgiftsansvarige för att kontrollera att Underleverantören fullgör sina skyldigheter enligt detta Personuppgiftsbiträ- desavtal och Tillämplig Personuppgiftslagstiftning. Bolaget och den Personuppgiftsansvarige ska ge Underleverantören skäligt varsel för det fall Xxxxxxx eller den Personuppgiftsansvarige vill utnyttja sin rätt till att genomföra en granskning eller inspektion. Vardera Parten ska stå sina egna kostnader vid sådan granskning eller inspektionen. Om Bolaget eller den Personuppgiftsansvarige har utsett en tredje part att för Bolagets eller den Personuppgiftsansvariges räkning genomföra granskningen eller inspektionen ska emellertid den part som utsett den tredje parten stå för kostnaden för tredje parten, om inte Parterna skriftligen kommer överens om annat.

3.4 Dokumentation

3.4.1 Underleverantören ska skriftligen dokumentera de åtgärder som Underleverantören vidtagit för att uppfylla sina skyldigheter enligt punkten 3 i detta Personuppgiftsbiträdesavtal, t.ex. i en säkerhetspolicy. Bolaget och den Personuppgiftsansvarige ska på begäran ha rätt att få en kopia på dokumentationen.

4. ANLITANDE AV UNDERBITRÄDEN

4.1 Underleverantören får anlita underleverantör, underkonsult eller andra tredje parter ("Underbiträden") för att Behandla Personuppgifter enligt detta Personuppgiftsbiträdesavtal räkning endast om Xxxxxxx och den Personuppgiftsansvarige skriftligen har givit sitt tillstånd till detta på förhand.

4.2 För det fall Underleverantören, med Bolagets och den Personuppgiftsansvariges på förhand lämnade tillstånd i det enskilda fallet, anlitar ett Underbiträde för Behandling av Personuppgifter enligt detta Personuppgiftsbiträdesavtal godkänner Bolaget härmed att Underleverantören ingår ett personuppgiftsbiträdesavtal direkt med Underbiträdet, under förutsättning att personuppgiftsbiträdesavtalet med Underbiträdet innehåller samma skyldigheter som gäller enligt detta Personuppgiftsbiträdesavtal.‌

4.3 Underleverantören ska för det fall Underleverantören anlitar ett Underbiträde utan onödigt dröjsmål skriftligen informera Bolaget och den Personuppgiftsansvarige om följande:‌

4.3.1 Underbiträdets identitet (inklusive uppgift om fullständigt firmanamn, organisationsnummer och adress);

4.3.2 vilken typ av tjänst som Underbiträdet utför; samt

4.3.3 på vilken plats Underbiträdet kommer att Behandla Personuppgifter för Bolagets räkning.

4.4 Underleverantören ska tillhandahålla, utöver den information som anges i punkten 4.3 ovan, på Bolagets begäran utan onödigt dröjsmål en kopia på det personuppgiftsbiträdesavtal som Underleverantören ingått med Underbiträdet i enlighet med punkten 4.2 ovan.

4.5 För det fall Underbiträdet inte uppfyller sina skyldigheter är Underleverantören fullt ansvarig gentemot Bolaget (och den Personuppgiftsansvarige) för utförandet av Underbiträdets skyldigheter.

4.6 För det fall Xxxxxxx ger ett skriftligt allmänt förhandstillstånd avseende anlitande av Underbiträden ska den Personuppgiftsansvarige och Bolaget var för sig ha rätt att göra invändning mot Underleverantörens anlitande av nytt Underbiträde.

5. SEKRETESS‌

Utan att det påverkar tillämpningen av eventuella sekretessåtaganden i Tjänsteavtalet ska Underleverantören hålla alla Personuppgifter som Behandlas enligt detta Personuppgiftsbiträdesavtal räkning strikt konfidentiella. Underleverantören ska således inte, direkt eller indirekt, utlämna några Personuppgifter till tredje part om inte Bolaget och den Personuppgiftsansvarige skriftligen på förhand godkänt detta, såvida inte Underleverantören är skyldigt enligt Tillämplig Lagstiftning att lämna ut Personuppgifterna, eller om det är nödvändigt för fullgörandet av Tjänsteavtalet eller detta Personuppgiftsbiträdesavtal.

Underleverantören samtycker till att sekretessåtagandet i denna punkt 5 ska fortsätta att gälla även om detta Personuppgiftsbiträdesavtal upphör och till dess att alla Personuppgifter har återlämnats till den Personuppgiftsansvarige eller (efter Bolagets eller den

Personuppgiftsansvariges skriftligen begäran) på ett säkert och oåterkalleligt sätt förstörts eller avidentifierats enligt punkten 8 nedan.

6. SKADELÖSHETSÅTAGANDE

Bestämmelserna avseende ansvar i Tjänsteavtalet ska äga motsvarande tillämpning på detta Personuppgiftsbiträdesavtal. Underleverantören ansvarar fullt ut för eventuella ytterligare Underbiträdens Behandling av Personuppgifter enligt detta Personuppgiftsbiträdesavtal.

7. REGISTRERADES RÄTTIGHETER

Underleverantören ska bistå Bolaget och den Personuppgiftsansvarige genom att vidta de tekniska och organisatoriska åtgärder som är nödvändiga för att den Personuppgiftsansvarige ska kunna fullgöra sin skyldighet att svara på en begäran om utövande av en Registrerads rättighet som tillkommer en Registrerad enligt Tillämplig Personuppgiftslagstiftning.

8. ÅTERLÄMNANDE AV PERSONUPPGIFTER‌

Vid Tjänsteavtalets upphörande ska Underleverantören till den Personuppgiftsansvarige omedelbart återlämna och/eller efter den Personuppgiftsansvariges skriftliga begäran (vilken kan förmedlas av Bolaget) på ett säkert och oåterkalleligt sätt utplåna eller avidentifiera alla Personuppgifter som Underleverantören eller ytterligare Underbiträde besitter eller har inom sin kontroll och som tillhör den Personuppgiftsansvarige, såvida inte Underleverantören är skyldig enligt Xxxxxxxxxx Lagstiftning att lagra Personuppgifterna. Underleverantören ska, på Bolagets och den Personuppgiftsansvariges begäran, lämna skriftlig information avseende de åtgärder som Underleverantören vidtagit för att uppfylla sina skyldigheter enligt denna punkt 8.

9. ÖVERFÖRING TILL OCH BEHANDLING AV PERSONUPPGIFTER I TREDJE LAND

9.1 Underleverantören får inte överföra Personuppgifter som behandlas enligt detta Personuppgiftsbiträdesavtal till ett Tredje Land utan Bolagets och den Personuppgiftsansvariges på förhand lämnande tillstånd.

9.2 För det fall Personuppgifter, med Bolagets och den Personuppgiftsansvariges på förhand lämnade tillstånd, kommer att överföras till eller Behandlas i Tredje Land ska Parterna dessförinnan:‌

9.2.1 undersöka om det Tredje Landet säkerställer en adekvat skyddsnivå för Personuppgifter enligt ett beslut meddelat av EU-kommissionen och om så är fal- let får Personuppgifter överföras till detta Tredje Land; och om sådant beslut inte föreligger;

9.2.2 säkerställa att det finns lämpliga skyddsåtgärder på plats enligt Tillämplig Person- uppgiftslagstiftning, t.ex. standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen, som omfattar överföringen och Behandling av Personupp- gifterna; eller (i avsaknad av sådana skyddsåtgärder)

9.2.3 undersöka om det är möjligt att förlita sig på något undantag enligt Tillämplig Personuppgiftslagstiftning för överföringen av Personuppgifter och om så är fallet får Personuppgifterna överföras till det Tredje Landet endast i den utsträckning (i)

som det aktuella undantaget omfattar överföringen och Behandlingen av Person- uppgifter, samt (ii) Bolaget anser att det är möjligt att förlita sig på det aktuella undantaget.

9.3 Till undvikande av tvivel får Personuppgifter inte överföras till eller Behandlas i Tredje Land om ingen av förutsättningarna i punkten 9.2 ovan föreligger.

10. AVTALSPERIOD OCH UPPHÖRANDE

10.1 Detta Personuppgiftsbiträdesavtal träder i kraft på Avtalsdagen och ska därefter gälla tillsvidare. Bolaget äger rätt att säga upp detta Personuppgiftsbiträdesavtal med iakttagande av en uppsägningstid om en (1) månad. Uppsägning ska vara skriftlig.

10.2 Personuppgiftsbiträdesavtal ska gälla även om Tjänsteavtalet upphör och tillsvidare till dess att Underleverantören (och Underbiträden anlitade av Underleverantören) upphör med att Behandla Personuppgifter enligt detta Personuppgiftsbiträdesavtal.

11. ÖVERLÅTELSE

Ingen av Parterna ska äga rätt att helt eller delvis överlåta sina rättigheter eller skyldigheter en- ligt detta Avtal utan den andra Partens skriftliga samtycke.

12. ÄNDRINGAR OCH TILLÄGG

Ändringar och tillägg till detta Avtal ska vara skriftliga och undertecknade av båda Parter för att äga giltighet.

13. TILLÄMPLIG LAG

På detta Avtal ska svensk lag tillämpas.

Detta Personuppgiftsbiträdesavtal har upprättats i två (2) likalydande exemplar av vilka Parterna erhållit var sitt.

Ort och datum		Ort och datum
HÄLSOLÄNKEN AB		XXXXXXXXX
Namnförtydligande		Namnförtydligande

Bilaga 1 BESKRIVNING AV BEHANDLINGEN AV PERSONUPPGIFTER SOM OMFATTAS AV PERSONUPPGIFTSBITRÄDESAVTALET

Kategorier av Registrerade	Kategorier av Personuppgifter	Ändamål med Behandlingen	Behandlingar av Personuppgifter	System	Bevarande av Personuppgifter
Kunder (Bolaget och dess anställda).	Personuppgifter som behövs för att fullfölja avtalet, såsom personnummer, kontaktuppgifter och uppgifter om hälsa.	För att tillhandahålla tjänsterna enligt Tjänste- avtalet. För att fullgöra övriga skyldigheter som åvilar Leverantören enligt Tjänsteavtalet och detta Personuppgiftsbiträdesavtal.	Bearbetning/Ändring (av uppgifter införda i de system Personuppgiftsbiträdet förvaltar) Insamling/framtagning/läsning/användning (vid t ex medicinska kontroller, utredningar, friskvårdstjänster och övriga tjänster) Lagring (information i företags- och personlig journal samt tillhörande system för att tillhandahålla tjänster enligt tjänsteavtalet). Organisering/strukturering (för att tillhandahålla tjänster, t ex strukturering av verksamhetsplaneringar). Radering (efter avtalets slut eller vid annan överenskommelse med personuppgiftsansvarig alternativt enligt speciallagstiftning, t ex patientdatalagen, bokföringslagen). Begränsning (T ex såsom vid åtkomst av personlig journal). Utlämning genom överföring/spridning (För att tillhandahålla tjänster, t ex stöttning i rehabansvar genom arbetsplatsnärastöd). Justering/sammanförande (För sammanställande av underlag såsom medicinska utredningar samt vid uppdateringar av bolagsinformation). Registrering (vid t ex medicinska kontroller, utredningar, friskvårdstjänster och övriga tjänster).	De system som krävs för att tillhandahålla tjänster enligt tjänsteavtalet.	Leverantörens policy om bevarande av Personuppgifter gäller i förhållande till de Personuppgifter som omfattas av detta Personuppgifts- biträdesavtal.

Bilaga 2 BESKRIVNING AV TEKNISKA OCH ORGANISATORISKA SÄKERHETSÅTGÄRDER FÖR ATT SKYDDA PERSONUPPGIFTER

	Säkerhetsåtgärder
Fysisk åtkomst:	Endast behörig personal har fysisk åtkomst till fysiska lagringsmedia såsom papper och dataserver.
Åtkomst till system:	Endast behörig personal har åtkomst till de system som behövs för tjänsten. Tre säkerhetsnivåer; VPN-tunnel, inloggning i server, inloggning till respektive system.
Åtkomst till personuppgifter:	Endast behörig personal har åtkomst till personuppgifter. Behörighet styrs genom rolltilldelning baserad på arbetsuppgift.
Överföring av personuppgifter:	Överföring av personuppgifter sker ej till tredje land.
Behörighetsstyrning:	Behörighetsstyrning tillämpas utifrån användarroller för de IT-system där personuppgifter behandlas.
Säker autentisering:	Anslutning utifrån det fysiska interna nätverket är enbart möjligt genom 2-faktors autentisierad VPN.
Hantering av lagringsmedia:	Interna rutiner finns för hantering och återlämning av lagringsmedia.
Kapacitets- och kontinuitetsplanering:	Servern är dimensionerad utifrån antalet användare och övervakas kontinuerligt. Säkerhetskopiering utförs schematiskt. Samtlig säkerhetskopiering kontrolleras och logg förs över lyckad/misslyckade aktiviteter. Test av återläsning sker återkommande.
Separation av data (logisk/fysisk):	Logisk separation av data sker genom systemens rättighetssystem samt mellan servrar genom brandväggsregler.

Loggning:	Serveraktiviteter övervakas genom loggning av användning samt trafik. Aktivitet inom systemen som hanterar personuppgifter sker genom loggning av användaraktiviteter.
Hantering av tekniska sårbarheter:	Servrar skyddas genom brandvägg, antivirus samt DNS-skydd. Säkerhetsuppdateringar hanteras manuellt och övervakas
Dokumenterade driftrutiner:	Dokumenterade driftrutiner finns vid IT-avdelningen för servrar samt övrig IT-drift.
Oberoende granskning:	Inom ramen för certifieringsrevisioner samt uppföljande revisioner utifrån ISO 9001.