Berörda enheter
Vid upphandling gällande rutin för samverkan, särskilt avseende personuppgiftsbiträdesavtal
Berörda enheter
1. Verksamheten (beställare och avtalsägare)
2. Stödfunktioner:
Upphandlare, IT/MT, Regionarkiv, Dataskyddsombud
3. SäkerhetschefKanslichef
Syfte
Syftet med rutinen är att skapa en tydlig process som gör att upphandling ska bli ännu mer resurseffektiv. Vidare är syftet att säkerställa efterlevnad av tekniska, organisatoriska och rättsliga krav. Styrdokumentet förtydligar hur granskning och godkännande av avtal vid upphandlingar ska ske, inbegripet fördelning av ansvar mellan berörda enheter och exempel på formuleringar av krav och granskningsmall. Det är ytterst viktigt att alla delar och underlag vid upphandling följer rutinen.
Omfattning
Regiongemensam.
Planering, samverkan och yttersta ansvar
Commented [HT1]: Tillsammans med ett särskilt frågeformulär som skickas ut.? Bilagan ska ju utgöra en instruktion från oss/Per- sonuppgiftsansvarig till dem och ska väl då inte fyllas i av Personupp- giftsbiträdet? |
samt ett särskilt frågeformulär tas fram avseende |
För en snabb och smidig upphandling, ska upphandlingsunderlaget på för- hand utformas så att Region Norrbotten vid tilldelning kan avgöra om leve- rantören uppfyller SKA kraven för GDPR och informationssäkerhet utifrån det svar som leverantörer inkommer med, varför förarbetet med ifylld bilaga till PuUB-avtal är viktigt.
vilka tekniska och organisatoriska åtgärder som Personuppgiftsbiträdet och ev. tredjelandsöverföring.
Verksamheten bär det yttersta ansvaret fr.o.m. utformningen av ett komplett upphandlingsunderlag t.o.m. kontinuerlig uppföljning för att säkerställa ef- terlevnad av krav även efter det att en leverantör har kontrakterats.
Samverkan ska ske proaktivt, inte reaktivt. Verksamheten ska rådfråga be- rörda enheter innan upphandlingen för att ta fram ett fullständigt upphand- lingsunderlag inkl. vilka krav och vilken information som ska ingå i leveran- törers anbud för att effektivisera granskningen av anbud efteråt.
PUB-avtal med PUB-instruktion ska ingå i upphandlingsunderlaget och vara förifyllt med de krav som verksamheten i dialog med de berörda enheterna har identifierat, vilket säkerställer efterlevnad av såväl regelverk som interna styrdokument.
Varje berörd enhet ska utse en kontaktperson (för att säkerställa tillgänglig- het och kontinuitet i fullgörande av upphandlingen t.ex. vid frånvaro).
När behövs ett personuppgiftsbiträdesavtal?
1. Region Norrbotten anlitar en aktör utanför regionens organisation för att åt regionen utföra uppgifter inkl. personuppgiftsbehandling.
2. Region Norrbotten anlitar en leverantör som i sin tur anlitar en un- derleverantör - leverantörerna behöver ett PUB-avtal sinsemellan.
Exempel: upphandling av en e-tjänst som hanterar uppgifter om regionens personal för administrativa syften eller patienter för hälso- och sjukvårdssyf- ten eller FoUU-syften eller när drift/support hanteras regionexternt.
Roller
Personuppgiftsansvarig | Personuppgiftsbiträde | Integritetsmyndigheten |
Bestämmer instruktion Vilka personuppgifter får behandlas för vilka ändamål och hur (PUA i Region Norrbotten är Regionstyrelsen) | Verkställer instruktion Aktör utanför PUA:s organisation (fysisk el- ler juridisk person, of- fentlig myndighet eller annan institution) | Tillsyn Gäller PUA och PUB i frågor av regelefterlev- nad, risk- och konse- kvensbedömning och övrig dokumentation |
Tekniska och organisatoriska säkerhetsåtgärder
Tekniska | Organisatoriska |
Kryptering, anonymisering, pseudonymisering, separering av information, logisk åtkomstkontroll, spårbarhet, integritetsövervakning, arkivering, hantering av pappersunderlag, driftssäkerhet, vi- russkydd och brandväggar, hantering av enheter, webbplatssäkerhet, säkerhetskopiering, tekniskt underhåll, nätverkssäkerhet, övervakning, fysisk åtkomstkontroll, hårdvara säkerhet, skydd mot miljörisker (översvämning etc.) | Ansvar och roller Styrande dokument Riskhantering Incidenthantering Hantering av anställda Revision Uppföljning |
Ärendegång
Hanteringen av PuB-avtal går till på följande sätt:
Upphandlingsenheten
• hos ?
Commented [DK3R2]: ja |
• hos IT/MT?
Commented [HT4]: Granskning sker både inför upphandlingen och efter? |
Commented [DK5R4]: Ja, granskning av svar på frågorna (tek/org säkerhetsåtgärder samt tredjelandsöverföring) sker efteråt |
• Dataskyddsombud granskar upphandlingsunderlaget, anbudet och PuB-avtalet inkl. bilagor (enligt Region Norrbottens mall), vid be- hov begär komplettering och lämnar bedömning till Säkerhetschef- Kanslichef
Upphandlingsenheten ansvarar för tjänsteavtal, vilket signeras enligt gäl- lande delegationsordning av Upphandlingschefen. Upphandlingar som behö- ver genomföras på annan grund än XXX signeras alltid av Regiondirektör.
Commented [HT6]: Kanslichef. |
Commented [HT7]: Stämmer det att Stabschef har delegation till det? |
PuB-avtal signeras i första hand av Säkerhetschef, i annat fall av Stabschef eller Regiondirektör.
Ansvarsfördelning
Commented [DK8]: Instruktion för genomförande av konse- kvensbedömning avseende dataskydd" (lgverk-4-1400) |
1. Verksamheten definierar behov, kravställer, äger avtalet och bär ansvaret för att samtliga krav uppfylls och säkerhetsåtgärder vidtas (ansvar för kravefterlevnad bärs inte av IT/MT/DSO utan av linjeor- ganisationen med verksamhetschefen) och verksamheten de ska med anledning av det tillse att följande uppgifter finns tillgängliga:
a. Kontaktuppgifter till formell beställare samt till leverantören vid behov av förtydliganden avseende anbud
Commented [DK10R9]: Ja, upphandlingsenheten |
Commented [DK11]: ”Anvisning om verksamhetsansvar för per- sonuppgiftshantering”, Dok-ID lgverk-4-1335. Det finns följande för- slag på tillägg till denna anvisning: Hälso- och sjukvård 6.1 e GDPR (allmänt intresse eller myndighetsutövning) 9.2 h GDPR (hälso- och sjukvård) Arkiv, Statistik, Vetenskaplig och historisk forskning 6.1 e GDPR (allmänt intresse eller myndighetsutövning) 9.2 j GDPR (arkiv, statistik och forskning) Arbetsrätt, Rekrytering, Anställning, Kompetens, Förhandlingar, Social trygghet, Socialt skydd: 6.1 b GDPR (anställningsavtal) 9.2 GDPR (kollektivavtal samt sociala garantier) |
Commented [HT12]: Görs vad jag förstår tillsammans med upp- handlare och Dataskyddsombud? För vi kan inte räkna med att verk- samheten besitter dessa kunskaper utan de behöver vår expertis som stöd för att ge svar på dessa frågor. |
Commented [DK13R12]: Förslagsvis ett möte med berörda en- heter som anges inledningsvis i det här dokumentet |
Commented [HT14]: De gör väl mer än så? Men det kanske de kan specifisera? |
Commented [DK15R14]: garna specificera |
Commented [DK16]: Anvisning för IT och informationssäkerhet (xxx.xx) (lgverk-4-1305) särskilt på s.15 anges om efterlevnad av denna anvisning vid upphandling |
Commented [DK17]: Rutin ”Information till användare” (lgverk- 4-1315) |
b. Fyll i PUB-avtalsmall (bilaga 1 & 2) inför upphandling: Vad är vårt syfte? Varför ska vi behandla personuppgifter? Vilka personuppgifter? Hur ska de behandlas och av vem? Vilken rättslig grund i dataskyddsförordningen stödjer vi oss på i personuppgiftsbehandling? Är informationen till de re- gistrerade lätt att hitta och enkel för de registrerade att ta till sig? Behandlar vi för många personuppgifter (man ska mini- mera behandlingen till de som behövs för ändamålet)? Har vi vidtagit tillräckliga tekniska och organisatoriska säker- hetsåtgärder? Har vi gjort en risk- och sårbarhetsanalys och konsekvensbedömning? Har vi rutiner för att radera person- uppgifter när de inte längre behövs för ändamålet? Har vi dokumenterat vår personuppgiftsbehandling, överväganden och beslut? Har vi skapat interna riktlinjer för dataskydd och hantering av personuppgifter?
2. Upphandlare – efterlevnad av XXX
3. IT/MT – tekniska säkerhetsåtgärder inbegripet informationssäker- het- och klassning
a. Krav enligt PUB-avtalets bilaga 3
b. Systemdokumentation: hantering och lagring av data, kryp- tering, tredje part (ev. underleverantörer)
4. Dataskyddsombud – efterlevnad av regelverk gällande hantering av personuppgifter enligt allmänna dataskyddsförordningen (GDPR)
a. Dataskydds-/integritetspolicy
Åtkomst till relevanta dokument
Commented [HT18]: Eller samarbetsyta I VIS? Vet inte hur upp- handlingen jobbar med VIS. |
Commented [DK19R18]: Inga synpunkter på exakt vilken lös- ning det blir, så länge det är samlat på ett ställe. |
All dokumentation som ska granskas före och efter upphandlingen ska finnas tillgänglig för de berörda enheterna i regionens nätverk [gemensam mapp?]
Commented [DK20]: ”Instruktion för genomförande av konse- kvensbedömning avseende dataskydd” (Arbetsinstruktion lgverk-4- 1400) samt Dataskyddsförordningen om konsekvensbedömning och |
Commented [HT21]: Vem ska göra konsekvensbedömningen? Verksamheten tillsammans med stödfunktionerna? |
Commented [DK22R21]: verksamheten |
Konsekvensbedömning Konsekvensbedömning ska göras av verksamheten om personuppgiftsbe- handling sannolikt leder till en hög risk för fysiska personers rättigheter och friheter t.ex.
• utvärdera människor,
• fatta automatiserade beslut,
• systematiskt övervaka människor,
• behandla känsliga personuppgifter eller i stor skala,
• kombinera personuppgifter från flera behandlingar,
• behandla personuppgifter om personer som befinner sig i ett under- läge/beroendeställning (myndighetsutövning/anställning),
• vid ny teknik eller nya organisatoriska lösningar,
Commented [HT23]: I punktformat för att få det mer lättöver- skådligt? |
Commented [DK24R23]: justerat |
Commented [HT25]: Inkonsekvent PuB och PUB, vad ska vi an- vända? |
Commented [DK26R25]: justerat |
• hindra registrerade från tillgång till en tjänst eller om dataöverföring sker till länder utanför EU/EES.
Om något av ovan är aktuellt i samband med PUuB-avtalstecknande så ska konsekvensbedömning ske enligt art. 35 GDPR och den mall som finns sist i dokumentet.
Commented [DK27]: Rådfråga Regionarkiv |
Gallring:
Enligt 8 § Arkivreglemente får allmän handling ej gallras utan ett gallrings- beslut av typen dokumenthanteringsplan eller enskilt gallringsbeslut.
Arkivering och gallring av personuppgifter, inbegripet säkerhetskopior re- gleras i PUB-avtalets bilaga 1 p. 4 samt generellt i GDPR:
• Personuppgifter får inte sparas under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (art. 5.1 e) och när de inte längre är nödvändiga för de ändamål ska de raderas utan onödigt dröjsmål (art 17.1 a). Det ska föras ett regis- ter över personuppgiftsbehandlingen och i detta register ska ra- deringstidsfrister anges (art 30.1 f).
• För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den person- uppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen (Skäl 26 GDPR)
Commented [DK28]: Detta avsnitt behöver kortas ned men vad viktigast att ha med? Bakgrunden är att det I förarbeten har uttalats bl.a.: “…en myndighet som står inför en utkontraktering inte alltid har exakt kännedom om vilka uppgifter som kan komma att lämnas ut till den uppgiftsmottagande leverantören. Vid utlämnande av en omfattande uppgiftsmängd kan det också vara svårt att bilda sig en uppfattning om huruvida det finns enskilda uppgifter som är förknip- pade med särskild skaderisk i sekretesshänseende” |
Särskilt utkontraktering av infrastruktur-, drift- och arkivtjänster Av förarbeten till lag (2020:914) om tystnadsplikt vid utkontraktering av tek- nisk bearbetning eller lagring av uppgifter framgår bl.a. följande:
”En lagreglerad tystnadsplikt innebär emellertid inte, som Försvars- makten framhåller, att riskerna med en utkontraktering alltid elimi- neras eller ens minimeras. En myndighet behöver därför alltid göra en övergripande bedömning av om en utkontraktering är lämplig i det enskilda fallet. För att kunna göra en sådan bedömning krävs att myndigheten genomför regelbundna och systematiska analyser av sin informationshantering. I sådana analyser behöver verksamhetens behov i kombination med informationssäkerhet och sekretess- och integritetsfrågor beaktas parallellt. En myndighet som genomfört grundliga analyser och informationssäkerhetsklassat sina informat- ionstillgångar kan ställas inför det faktum att viss verksamhet inte lämpar sig för utkontraktering, av säkerhetsskäl eller av andra skäl. All utkontraktering som innebär att en myndighet överför uppgifter till en utomstående aktör bör ske med förtänksamhet och med beak- tande av samtliga kända och potentiella risker.”
Commented [DK30R29]: OK |
”Enskilda bör kunna förvänta sig ett likvärdigt skydd för sina upp- gifter vid utkontraktering av it-drift oavsett om utkontrakteringen görs av en privat eller av en offentlig aktör inom något av de aktuella verksamhetsområdena.” ; ”För enskilda är det av stor betydelse att uppgifter om deras personliga förhållanden, som kan vara väldigt in- tegritetskänsliga, skyddas vid en utkontraktering.”
”Regeringen vill dock betona vikten av att en myndighet noga prö- var om det finns rättsligt stöd att lämna ut sekretessreglerade uppgif- ter till en tjänsteleverantör utan att det finns risk för skada eller men för de intressen som sekretessen ska skydda. Dessutom bör en myn- dighet grundligt analysera övriga risker som kan uppkomma vid en utkontraktering och ta ställning till lämpligheten i förfarandet. Det går inte dra några generella slutsatser i fråga om vilken typ av upp- gifter som lämpar sig eller inte lämpar sig att hantera inom ramen för utkontraktering. Det kan finnas uppgifter som är sekretessreglerade till skydd för allmänna intressen eller till skydd för enskilds person- liga eller ekonomiska förhållanden som av olika omständigheter inte bör lämnas ut till en tjänsteleverantör även om en myndighet bedö- mer att det inte finns några lagliga hinder mot utkontraktering. Varje myndighet behöver alltså ta ställning till lämpligheten i en utkon- traktering innan avtal ingås med en tjänsteleverantör.””När en tjäns- televerantörs uppdrag innebär att myndighetens uppgifter endast tek- niskt bearbetas eller tekniskt lagras är avsikten att tjänsteleverantö- rens personal inte ska ta del av själva informationsinnehållet i större utsträckning än vad som kan anses vara absolut nödvändigt för att tillhandahålla tjänsterna i fråga
Exempel på formuleringar av krav vid upphandling
Exempel 1. Allmänt hållen formulering av SKA-krav
Region Norrbotten arbetar utifrån att EU:s dataskyddsförordning, GDPR, som den primära rättskällan för behandling av personuppgifter, med nat- ionella kompletterande bestämmelser.
Leverantören ska efterleva vid var tid gällande svensk lagstiftning och be- stämmelser om informationssäkerhet och dataskydd.
Leverantören ska åta sig att följa utvecklingen på området och anpassa ar- betet till eventuella nya lagar och förordningar, liksom till övergripande inriktningsbeslut som kan komma att tas såväl inom Region Norrbotten som inom den Norra Sjukvårdsregionen.
Leverantören ska underteckna Region Norrbottens personuppgiftsbiträ- desavtal som bifogas upphandlingsunderlaget
Leverantören ska uppvisa vilka tekniska och organisatoriska åtgärder som finns tillgängliga för att skydda de personuppgifter som behandlas. Vid in- lämnandet av anbudet ska leverantören bifoga all relevant dokumentation
Formatted: List Paragraph, Line spacing: Multiple 1,07 li, Bulleted + Level: 1 + Aligned at: 0,89 cm + Indent at: 1,52 cm
avseende dessa åtgärder. Dokumentationen ska vara utformad på en så de- taljerad nivå som möjligt för att möjliggöra att Region Norrbotten – utan att särskilt behöva begära uppgifterna av leverantören – kunna utläsa på vilket sätt leverantörer efterlever gällande rätt i fråga om personuppgifts- | |
behandling, informationssäkerhet och dataskydd, inbegripet: | |
• Tekniska åtgärder: kryptering, anonymisering, pseudonymisering, separering av information, logisk åtkomstkontroll, spårbarhet, in- tegritetsövervakning, arkivering, hantering av pappersunderlag, driftssäkerhet, virusskydd och brandväggar, hantering av enheter, webbplatssäkerhet, säkerhetskopiering, tekniskt underhåll, nät- verkssäkerhet, övervakning, fysisk åtkomstkontroll, hårdvara sä- kerhet, skydd mot miljörisker (översvämning etc.) • Organisatoriska åtgärder: ansvar och roller, styrande doku- ment, riskhantering, incidenthantering, hantering av anställda, revision och uppföljning Fysisk säkerhet • Datorutrustning och system • Datorer och mobila enheter • Autentisering • Behörighetssystem • Åtkomstkontroll • Nätverkssäkerhet • Skydd mot skadlig kod och ej tillförlitliga program • Process för mjukvaruutveckling • Rapportering av personuppgiftsincidenter • Rapportering av funktionsfel och brister • Driftdokumentation • Utbildning av personal |
Commented [HT31]: Finns det en risk att ha detta som ett skall- krav? Har leverantörer kunskap om vad som krävs? Eller kan det an- ses strida mot transparensprincipen och proportionalitetsprincipen? Bättre att skriva något I stil med “Leverantören ska besvara bifogat frågeformulär angående vilka tekniska och organisatoriska åtgärder som finns tillgängliga för att skydda de personuppgifter som kom- mer att behandlas.” Möjligt att även lägga till: “Upphandlande myn- dighet kan därutöver komma att ställa kompletterande frågor och begära in rutiner och andra stöddokument som tydliggör dessa för- hållanden för det fall att avtalstecknande blir aktuellt”. |
Commented [DK32R31]: Bra text. Upphandlingen får gärna saga hur ordagrant de vill formulera det. Tanken här är att GDPR är ett ska-krav, i GDPR ingår krav på tek&org åtgärder. Denna lista ex- emplifierar tek&org åtgärder. Hur detaljerad listan ska vara är upp till IT/MT att formulera eftersom det blir de som granskar - klistrar nu in den som Malin och Xxxxxx föreslog idag. |
Commented [HT33]: Tänker vi isf denna I kombination med ovan? Behövs det? |
Commented [DK34R33]: Ja, gärna någon lämplig kombination |
Exempel 2. Allmän bakgrund till krav
Commented [DK35]: Formuleringen är hämtad från avsnitt 5.1 i Skatteverkets remissvar 2021-05-03, Promemoria om ersättning av Skype i Skatteverkets och Kronofogdens verksamhet | Skatteverket |
Commented [DK36]: Skriva klarspråk - Publications Office of the Myndigheternas skrivregler | Institutet för språk och folkminnen (xxxx.xx) xxxxx://xxx.xxx.xx/xxxxxxxxxxxx/xxxxxxxx/xxxxxxxxxx-xx-xxxxx- het-och-information-till-registrerade.pdf |
Region Norrbotten bedriver verksamhet som till stora delar är författningsre- glerade, inte minst mot bakgrund av dess samhällsviktiga funktion. Många av uppgifterna i Region Norrbottens verksamheter omfattas av sekretess för att skydda såväl de enskilda som det allmännas intresse. Härutöver behandlar Region Norrbotten känsliga personuppgifter gällande såväl de egna anställda som enskilda privatpersoner.
Exempel 3. Språkliga överväganden vid formulering av information till de registrerade enligt ”Skriva klarspråk” (EU kommissionen, 2011).
Region Norrbotten ska tänka på följande vid val av formuleringar för när R ger PUB-instruktioner resp.och information till de registrerade.
Bestämningsord som ”får”, ”kan”, ”viss”, ”ofta”, ”eventuellt” bör undvikas.
Inte tillräckligt tydliga syften | Klara och tydliga syften |
”Vi får använda dina personuppgif- ter för att utveckla nya tjänster” (det är oklart vilka dessa ”tjänster” är eller hur uppgifterna kommer att bidra till utvecklingen av dessa). ”Vi får använda dina personuppgif- ter för forskningsändamål” (det är oklart vilken typ av forskning som avses). ”Vi får använda dina personuppgif- ter för att erbjuda personliga tjäns- ter” (det är oklart vad som avses med ”personliga”). | ”Vi kommer att spara din shop- pinghistorik och använda uppgifter om de produkter som du tidigare har köpt för att föreslå andra pro- dukter som vi tror att du också är intresserad av” ”Vi kommer att spara och granska uppgifter om dina senaste besök på vår webbplats och om hur du navi- gerar mellan olika delar av denna för analysändamål, för att få kun- skap om hur personer använder vår webbplats så att vi kan göra den mer intuitiv” ”Vi kommer att registrera de artik- lar på vår webbplats som du har klickat på och använda denna in- formation för att du ska få reklam på vår webbplats utifrån dina in- tressen, som vi har fastställt utifrån de artiklar som du har läst” |
Frågor att diskutera gemensamt:
• Gemensam mapp – var och vilket innehåll? Hur ser vi till att den är full- ständig och när vet man att den ska granskas / är färdig för nästa steg?
• Vad ska göras? Av vem? När, var och hur det ska utföras?
• Underlag för att resp. berörd enhet ska kunna fullgöra sitt åtagande
• Hur ska förberedelser resp. granskning av PUB-avtal ske för att det ska vara effektiv samverkan? Vilken mall ska användas för gransk- ning? Standardtext som ska användas för kravställning och granskning av anbud?
• Vid diskussionen kan utgångpunkt tas i Sveriges Kommuners och Reg- ioners dokumentation avseende syfte med PUB-avtal, vad och hur de re- glerar förhållandet mellan upphandlare och anbudsgivare, samt riskhante- ring och konsekvensbedömning i samråd med tillsynsmyndigheten IMY
exv.
Avtal, personuppgiftsbiträde | SKR & Kommentar PUB-avtal
Commented [HT37]: Skulle denna länk kunna finnas med I ut- skicket inför Upphandling så anbudsgivarna kan få mer information om vad PUB-avtalet omfattar och deras skylidgheter? |
Commented [DK38R37]: Ja, på så sätt hänvisar vi alltid till den senaste versionen och behöver inte ha den i VIS |
Dnr: [diarienummer] Sida 9 (12)
Tvingande, art. 28.3 1 st. GDPR
a) PUB ska behandla personuppgifter
Ej tvingande
Om PUA ändrar sin instruktion kan
[exv.
RISK
KONSEKVENS
[exv.
BEDÖMNING
[exv.
[exv.
ÅTGÄRD
Commented [DK39]: Skulle en sådan tabell vara till stöd för verksamheterna att förstå vad de egentligen förväntas göra?
endast enligt PUA:s instruktionen
PUB få ökade kostnader, vid upp-
Obehöriga får del
brott mot lag och Reg-
färgskala
Åtgärd eliminerar risM-er information v.g. se xxxxx://xxx.xxx.xx/xxxxxxxxxx/xxxx-
• Inte PUBs egna ändamål (t.ex. inte för att leverantören ska
handling exv. ändring av avtalets övergripande karaktär, ”de mini-
av personuppgifter (konfidentialitet)
ionens interna rutiner och instruktioner till
Hög Medel
ken
skydd/det-har-galler-enligt-gdpr/konsekvensbedomningar-och-for- handssamrad/
förbättra sina egna tjänster mha. personuppgifter om reg- ionens medborgare)
• Inte för att PUB ska överföra
mis”, optionsklausuler, (o)förutse- bara ändringar såsom (o)planerade lag- eller organisationsändringar, kompletterande beställningar.
Förvanskning av personuppgifter (riktighet)
leverantör enligt avtal, eller de registrerade förlorar kontrollen över personuppgif-
Låg]
Verksamheten ska åOr-BS lag (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter
ligen bedöma risken
och kontrollera regeEl-nligt art. 35.7 GDPR ska konsekvensbedömningen innehålla åt-
efterlevnad och att lmei-nstone:
personuppgifter till tredjeland som ej godkänts av EU-kom-
Förlust av person-
terna, fri- och rättig- heter begränsas, för-
verantör inkl. under- leverantörer doku-
a) en systematisk beskrivning av den planerade behandlingen
och behandlingens syften, inbegripet, när det är lämpligt, den personuppgiftsansvariges berättigade intresse,
missionen (Adequacy decis- ions | European Commission (xxxxxx.xx)) och observera ru-
uppgifter (tillgäng-
lighet)
lust av konfidentiali-
tet/riktighet/tillgäng- lighet, identitetsstöld,
menterar avtalsefter- b) en bedömning av behovet av och proportionaliteten hos be-
levnad inkl. intern re- handlingen i förhållande till syftena,
vision av säkerhetsåt-c) en bedömning av de risker för de registrerades rättigheter och
tinen "Information till använ-
dare" (lgverk-4-1315) som sä-
Brister i tekniska
och organisato-
bedrägeri, social eller
ekonomisk nackdel,
gärder
friheter som avses i punkt 1, och
d) de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa
ger bl.a. ”Med hänvisning till
riska åtgärder ris-
diskriminering, obehö-
Ingen åtgärd är möj- skyddet av personuppgifterna och för att visa att denna förord-
det rådande rättsläget efter domen Schrems II 16:e juli 2020, är det idag strängt för- bjudet att behandla känsliga personuppgifter i tredje land”.
b) Anställda hos PUB, vilka har behö- righet att behandla personuppgifter ska omfattas av sekretess (sekretess- avtal), om inte tystnadsplikt för dessa föreskrivs (exv. hälso- och sjukvård el- ler säkerhetspersonal).
c) PUB ska uppfylla krav på informat- ionssäkerhet enligt art. 32 GDPR såsom pseudonymisering och krypte-
kerar den person-
liga integriteten (rättigheter och friheter)
Risk för oavsiktlig eller olaglig förstöring, för- lust eller ändring eller till obehörigt röjande
rigt hävande av upp-
gifter, röjande av sek- retess, skadat anse- ende]
lig i detta fall]
ning efterlevs, med hänsyn till de registrerades och andra berörda
personers rättigheter och berättigade intressen.
ring; fortlöpande säkerställa konfiden- tialitet, integritet, tillgänglighet och motståndskraft; förmågan att åter- ställa tillgänglighet och tillgång till per- sonuppgifter i rimlig tid vid incidenter; regelbundet testa, undersöka och ut- värdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. | av eller obehörig åt- komst till de person- uppgifter som över- förts, lagrats eller på annat sätt behandlats | ||||
d) Om PUB i sin tur anlitar ett underbi- träde (en underleverantör), ska PUB ställa samma krav på underbiträdet som PUA ställer på PUB. | |||||
e) PUB ska bistå PUA med PUA:s skyl- dighet att uppfylla de registrerades rättigheter. Genom lämpliga tekniska och organisatoriska åtgärder ska PUB se till PUA kan exv. lämna registerut- drag på begäran av registrerade, er- bjuda dataportabilitet, radera person- uppgifter m.m.1 | För att undvika tvist ifall PUB skulle begära ersättning för engångskost- nader som uppstår vid exv. manuell hantering av begäran om utdrag - vilket torde vara icke-repetitivt - kan detta regleras i avtalet, då dylik skyldighet inte följer av bestäm- melsen uttryckligen, varför olika tolkningar är tänkbara. | ||||
f) PUB ska uppfylla krav avseende in- formationssäkerhet och incidentrap- portering enligt art. 32-26 GDPR: • 32 säkerhet i samband med personuppgiftsbehandling, |
1 De registrerades rättigheter följer av III kap. GDPR, nämligen art. 12-23.
• 33 anmälan av personupp- giftsincident till tillsynsmyn- digheten (IMY), • 34 information till de registre- rade vid en personuppgiftsin- cident • 35 konsekvensbedömning • 36 förhandssamråd med till- synsmyndighet (IMY) | |||||
g) Efter avslutad behandling av per- sonuppgifter ska PUB återlämna eller radera personuppgifterna, om inte an- nat följer av lag. I detta hänseende ska Regionarkivarier rådfrågas. | |||||
h) PUB ska ge PUA tillgång till all in- formation som behövs för att PUA ska kunna försäkra sig om att alla krav ovan (enligt 28.3 GDPR) har uppfyllts. | PUA kan granska själv eller anlita ett ombud för regelbunden gransk- ning. |
Dnr: [diarienummer] Sida 12 (12)
[dokumenttyp] [datum giltigt fr.o.m.]