PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

inklusive Instruktioner (bilaga 1) och lista över godkända Underbiträden (bilaga 2)

1 PARTER

1.1 Region Östergötland, org. nr. 23 21 00-0040, nedan ”Personuppgiftsansvarige” OMDA, org. nr. 556569-8338, nedan ”Personuppgiftsbiträdet”‌

1.2 Personuppgiftsansvarige och Personuppgiftsbiträdet benämns nedan gemensamt som ”Parterna”.

2 DEFINITIONER

2.1 Utöver de begrepp som definieras i löptext i detta personuppgiftsbiträdesavtal, ska följande definitioner, oavsett om de används i plural eller singular, i bestämd eller obestämd form, ha nedanstående innebörd när de anges med versal som begynnelsebokstav.

Behandling

En åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Dataskyddslagstiftning

Avser all integritets- och personuppgiftslagstiftning, samt annan lagstiftning, förordningar och föreskrifter som är tillämplig på den Behandling som sker enligt detta PUB-avtal, inklusive nationell sådan lagstiftning och EU-lagstiftning.

Personuppgiftsansvarig

Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamål och medlen för Behandlingen av Personupp- gifter.

Instruktion

De skriftliga instruktioner som närmare anger föremål, varaktighet, art och ändamål, typ av Personuppgifter samt kategorier av Registrerade och särskilda behov som omfattas av Behandlingen.

Logg

Logg är resultatet av Loggning.

Loggning

Loggning är ett kontinuerligt insamlande av uppgifter om den Behandling av Personuppgifter som utförs enligt detta PUB-avtal och som kan knytas till en enskild fysisk person.

Personuppgiftsbiträde

Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Personuppgiftsansvariges räkning

Personuppgift

Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Personuppgiftsincident

En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.

Registrerad

Fysisk person vars Personuppgifter Behandlas.

Tredje land

En stat som inte ingår i Europeiska unionen (EU) eller inte är ansluten till Europeiska ekonomiska samarbetsområdet (EES).

Underbiträde

Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Personuppgiftsbiträdet Behandlar Personuppgifter för Personuppgiftsansvariges räkning.

3 BAKGRUND OCH OMFATTNING

3.1 Med detta Personuppgiftsbiträdesavtal jämte vid var tid gällande Instruktioner och en eventuell förteckning över Underbiträden (nedan gemensamt ”PUB-avtalet”) reglerar den Personuppgiftsansvarige Personuppgiftsbiträdets Behandling av Personuppgifter åt den MBPersonuppgiftsansvarige. PUB-avtalets syfte är att säkerställa den Registrerades fri- och rättigheter vid Behandlingen, i enlighet med vad som stadgas i artikel 28.3 i Allmänna dataskyddsförordningen EU 2016/679 (”Dataskyddsförordningen”).

3.2 PUB-avtalet ingår som en avtalshandling i ett sammanhållet avtal mellan Parterna benämnt Avtal om molntjänster Dnr XXXXXX som i detta PUB-avtal benämns som ”Huvudavtalet”. I Huvudavtalet har Parterna kommit överens om anlitande av Personuppgiftsbiträdets tjänster för det i Huvudavtalet angivna uppdraget.

3.3 PUB-avtalet reglerar Personuppgiftsbiträdets Behandling av Personuppgifter åt den Personuppgiftsansvarige inom ramen för uppdraget enligt Huvudavtalet.

3.4 Vid motstridiga uppgifter i PUB-avtalet och Huvudavtalet ska de uppgifter som följer av PUB- avtalet ha företräde vad avser Behandlingen av Personuppgifter.

3.5 Hänvisningar i PUB-avtalet till nationell eller unionsrättslig lagstiftning avser vid var tid tillämpliga bestämmelser.

4 BEHANDLING AV PERSONUPPGIFTER OCH SPECIFIKATION

4.1 Den Personuppgiftsansvarige utser härmed Personuppgiftsbiträdet att utföra Behandlingen för den Personuppgiftsansvariges räkning enligt vad som stadgas i PUB-avtalet.

4.2 Den Personuppgiftsansvarige ska ge skriftliga Instruktioner till Personuppgiftsbiträdet om hur den ska utföra Behandlingen.

4.3 Personuppgiftsbiträdet får endast utföra Behandlingen i enlighet med PUB-avtalet.

5 DEN PERSONUPPGIFTSANSVARIGES ANSVAR

5.1 Den Personuppgiftsansvarige ansvarar för att det vid var tid finns laglig grund för Behandlingen och för att utforma korrekta Instruktioner med hänsyn till Behandlingens art så att Person- uppgiftsbiträdet och eventuellt Underbiträde kan fullgöra sitt eller sina uppdrag enligt PUB- avtalet och Huvudavtalet.

5.2 Den Personuppgiftsansvarige ska utan onödigt dröjsmål informera Personuppgiftsbiträdet om förändringar i Behandlingen vilka påverkar Personuppgiftsbiträdets skyldigheter enligt Dataskyddslagstiftningen.

5.3 Den Personuppgiftsansvarige ansvarar för att informera Registrerade om Behandlingen och för att tillvarata Registrerades rättigheter enligt Dataskyddslagstiftningen samt vidta varje annan åtgärd som åligger den Personuppgiftsansvarige enligt Dataskyddslagstiftningen.

6 PERSONUPPGIFTSBITRÄDETS ÅTAGANDEN

6.1 Personuppgiftsbiträdet förbinder sig att endast utföra Behandlingen i enlighet med PUB- avtalet och för de specifika ändamål som anges i Instruktioner samt att följa Dataskydds- lagstiftningen. Personuppgiftsbiträdet förbinder sig även att fortlöpande hålla sig informerad om gällande rätt på området.

6.2 Personuppgiftsbiträdet ska vidta åtgärder för att skydda Personuppgifterna mot alla slag av Behandlingar som inte är förenliga med PUB-avtalet och Dataskyddslagstiftningen.

6.3 Personuppgiftsbiträdet åtar sig att säkerställa att samtliga fysiska personer som arbetar under dess ledning följer PUB-avtalet samt att de fysiska personerna informeras om relevant lagstiftning.

6.4 Personuppgiftsbiträdet ska på begäran från den Personuppgiftsansvarige bistå denne med att säkerställa att skyldigheterna enligt artikel 32–36 i Dataskyddsförordningen fullgörs och svara på begäran om utövande av den Registrerades rättigheter i enlighet med Dataskyddsförord- ningen, kap. III, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå.

6.5 För det fall att Personuppgiftsbiträdet finner att Instruktioner är otydliga, i strid med Dataskyddslagstiftningen eller saknas och Personuppgiftsbiträdet bedömer att nya eller kompletterande Instruktioner är nödvändiga för att genomföra sina åtaganden ska Personuppgiftsbiträdet utan dröjsmål informera den Personuppgiftsansvarige, tillfälligt upphöra med Behandlingen och invänta nya Instruktioner, om inte parterna kommer överens om annat.

6.6 Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige om denne gör bedömningen att nya eller ändrade förutsättningar föreligger avseende

Behandlingen av Personuppgifterna enligt detta PUB-avtal och hur det påverkar Personuppgiftsbiträdets genomförande av sina åtaganden.

6.7 Personuppgiftsbiträdets ersättning för att fullgöra sina skyldigheter enligt PUB-avtalet ingår i den ersättning som avtalats för uppdraget enligt Huvudavtalet. Personuppgiftsbiträdet har inte rätt till någon särskild ersättning utöver det som anges i Huvudavtalet.

7 SÄKERHETSÅTGÄRDER

7.1 Personuppgiftsbiträdet ska vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder som krävs enligt Dataskyddslagstiftningen för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.

7.2 Personuppgiftsbiträdet ska fortlöpande säkerställa att den tekniska och organisatoriska säkerheten i samband med Behandlingen medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.

7.3 Eventuella tillkommande eller ändrade krav på skyddsåtgärder från den Personuppgiftsansvarig, efter Parternas ingående av Huvudavtalet, ska betraktas som nya Instruktioner enligt PUB-avtalet.

7.4 Personuppgiftbiträdet ska genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Personuppgiftsbiträdets ledning och som behöver åtkomsten för att kunna utföra sina arbetsuppgifter.

7.5 Personuppgiftsbiträdet åtar sig att kontinuerligt Logga åtkomst till Personuppgifterna enligt PUB-avtalet. Loggar får gallras först fem (5) år efter Loggningstillfället om inte annat anges i Instruktionen. Loggar ska omfattas av erforderliga skyddsåtgärder, i enlighet med Dataskyddslagstiftningen.

7.6 Personuppgiftsbiträdet ska systematiskt testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.

8 SEKRETESS/TYSTNADSPLIKT‌

8.1 Personuppgiftsbiträdet och samtliga fysiska personer som arbetar under dess ledning ska vid Behandlingen iaktta såväl sekretess som tystnadsplikt. Personuppgifterna får inte nyttjas eller spridas för andra ändamål, varken direkt eller indirekt.

8.2 Personuppgiftsbiträdet ska tillse att samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse avseende Behandlingen. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. Personuppgiftsbiträdet åtar sig även att tillse att det finns sekretessavtal med Underbiträ- det samt sekretessförbindelser mellan Underbiträdet och samtliga fysiska personer som arbe- tar under dess ledning, vilka deltar i Behandlingen.

8.3 Personuppgiftsbiträdet ska skyndsamt underrätta den Personuppgiftsansvarige om eventuella kontakter med tillsynsmyndighet avseende Behandlingen. Personuppgiftsbiträdet har inte rätt att företräda den Personuppgiftsansvarige eller agera för den Personuppgiftsansvariges räk- ning gentemot tillsynsmyndigheter i frågor avseende Behandlingen.

8.4 Om den Registrerade, tillsynsmyndighet eller tredje man begär information från Personupp- giftsbiträdet vilken rör Behandlingen, ska Personuppgiftsbiträdet informera den Personupp- giftsansvarige om saken. Information om Behandlingen får inte lämnas till den Registrerade, tillsynsmyndighet eller tredje man utan skriftligt medgivande från den Personuppgiftsan- svarige, såvida det inte framgår av tvingande lag att information ska lämnas. Personuppgifts- biträdet ska bistå med förmedling av den informationen som omfattas av ett medgivande eller lagkrav.

9 GRANSKNING, TILLSYN OCH REVISION‌

9.1 Personuppgiftsbiträdet ska utan onödigt dröjsmål som en del av sina garantier, enligt artikel

28.1 i Dataskyddsförordningen, på den Personuppgiftsansvariges begäran kunna redovisa vilka tekniska och organisatoriska säkerhetsåtgärder som används för att Behandlingen ska uppfylla kraven enligt PUB-avtalet och artikel 28.3.h i Dataskyddsförordningen.

9.2 Personuppgiftsbiträdet ska granska säkerheten avseende Behandlingen genom egenkontroll för att säkerställa att Behandlingen följer PUB-avtalet. Resultatet av sådan egenkontroll ska på begäran delges den Personuppgiftsansvarige.‌

9.3 Den Personuppgiftsansvarige äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till Personuppgiftsbiträdet), följa upp att Personupp- giftsbiträdet uppfyller PUB-avtalets och Dataskyddslagstiftningens krav. Personuppgiftsbiträdet ska vid sådan granskning bistå den Personuppgiftsansvarige, eller den som utför granskningen i den Personuppgiftsansvariges ställe, med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska Personuppgifts- biträdets efterlevnad av PUB-avtalet och Dataskyddslagstiftningen. Den Person- uppgiftsansvarige ska säkerställa att personal som genomför granskningen är underkastade sekretess eller tystnadsplikt enligt lag eller avtal.‌

9.4 Personuppgiftsbiträdet äger, alternativt till vad som stadgas i punkterna 9.2–9.3, rätt att erbjuda andra tillvägagångssätt för granskning av Behandlingen, exempelvis granskning genomförd av oberoende tredje part. Den Personuppgiftsansvarige ska i sådant fall äga rätt, men inte skyldighet, att tillämpa detta alternativa tillvägagångssätt för granskning. Vid sådan granskning ska Personuppgiftsbiträdet ge den Personuppgiftsansvarige eller en tredje part den assistans som behövs för utförandet av granskningen.

9.5 Personuppgiftbiträdet ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande lagstiftning, även om sådan tillsyn annars skulle stå i strid med bestämmelserna i PUB-avtalet.

9.6 Personuppgiftsbiträdet ska tillförsäkra den Personuppgiftsansvarige rättigheter gentemot Underbiträdet vilka motsvarar den Personuppgiftsansvariges samtliga rättigheter gentemot Personuppgiftsbiträdet enligt avsnitt 9 i PUB-avtalet.

10 HANTERING AV RÄTTELSER OCH RADERING M.M.

10.1 För det fall den Personuppgiftsansvarige begär rättelse eller radering på grund av Person- uppgiftsbiträdets felaktiga Behandling ska Personuppgiftsbiträdet vidta lämpliga åtgärder utan onödigt dröjsmål och senast inom trettio (30) dagar från det att Personuppgiftsbiträdet mottagit begäran om rättelse eller radering från den Personuppgiftsansvarige. När den

Personuppgiftsansvarige begärt radering får Personuppgiftsbiträdet endast utföra Behandling av den aktuella Personuppgiften som ett led i processen för rättelse eller radering.

10.2 Om tekniska och organisatoriska åtgärder (t.ex. uppgraderingar eller felsökningar) vidtas av Personuppgiftsbiträdet i Behandlingen, vilka kan påverka Behandlingen, ska Personuppgifts- biträdet skriftligt informera den Personuppgiftsansvariges kontaktperson för PUB-avtalet. Informationen ska lämnas i god tid innan åtgärderna vidtas.

11 PERSONUPPGIFTSINCIDENTER

11.1 Personuppgiftsbiträdet ska ha förmåga att återställa tillgängligheten och tillgången till Personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt artikel 32.1.c i Dataskyddsförordningen.

11.2 Personuppgiftbiträdet åtar sig att med beaktande av Behandlingens art, och den information som Personuppgiftsbiträdet har att tillgå, bistå den Personuppgiftsansvarige med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande Behandlingen. Personuppgifts- biträdet ska på den Personuppgiftsansvariges begäran även bistå med att utreda misstankar om eventuell obehörigs Behandling och/eller åtkomst till Personuppgifterna.

11.3 Vid Personuppgiftsincident, som Personuppgiftbiträdet fått vetskap om, ska Personuppgifts- biträdet utan onödigt dröjsmål underrätta den Personuppgiftsansvarige om händelsen genom att kontakta kundtjänst för Ekonomi och patientfrågor på telefonnummer 000-000 00 00 eller via e-postadressen xxxxxxx@xxxxxxxxxxxxxxxxxx.xx. Personuppgiftsbiträdet ska, med beaktande av typen av Behandling och den information som Personuppgiftsbiträdet har att tillgå, tillhandahålla den Personuppgiftsansvarige en skriftlig beskrivning av Personuppgiftsincidenten.‌

11.4 Beskrivningen ska redogöra för:

a. Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,

b. de sannolika konsekvenserna av Personuppgiftsincidenten, och

c. åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter.

11.5 Om det inte är möjligt för Personuppgiftsbiträdet att tillhandahålla hela beskrivningen samtidigt, enligt punkterna 11.3 och 11.4 i PUB-avtalet, får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

12 UNDERBITRÄDE

12.1 Personuppgiftsbiträdet äger rätt att anlita den eller de Underbiträden som framgår av bilagd förteckningen över Underbiträden, bilaga 2.‌

12.2 Personuppgiftsbiträdet åtar sig att teckna ett skriftligt avtal med respektive Underbiträde som reglerar den Behandling som Underbiträdet utför å den Personuppgiftsansvariges vägnar samt att endast anlita Underbiträden som ger tillräckliga garantier. Underbiträdet ska genomföra lämpliga tekniska och organisatoriska åtgärder så att Behandlingen uppfyller kraven i Dataskyddslagstiftningen. I fråga om dataskydd ska avtalet ålägga Underbiträdet samma skyldigheter som åläggs Personuppgiftsbiträdet i detta PUB-avtal.

12.3 Personuppgiftsbiträdet ska i avtalet med respektive Underbiträde säkerställa att den Personuppgiftsansvarige har rätt att med omedelbar verkan säga upp Underbiträdet och instruera Underbiträdet att exempelvis radera eller återlämna Personuppgifterna om Personuppgiftsbiträdet har upphört att existera i faktisk eller rättslig mening eller hamnat på obestånd.

12.4 Personuppgiftsbiträdet ansvarar fullt ut för Underbiträdets Behandling gentemot den Personuppgiftsansvarige. Personuppgiftsbiträdet ska skyndsamt underrätta den Personupp- giftsansvarige om Underbiträdet underlåter att uppfylla sina skyldigheter i PUB-avtalet.

12.5 Personuppgiftsbiträdet äger rätt att anlita nya underbiträden och ersätta befintliga underbiträden om inte annat anges i Instruktionen.

12.6 När Personuppgiftsbiträdet avser att anlita ett nytt eller ersätta ett befintligt Underbiträde ska Personuppgiftsbiträdet säkerställa Underbiträdets kapacitet och förmåga att uppfylla sina skyldigheter enligt Dataskyddslagstiftningen. Personuppgiftsbiträdet ska skriftligen meddela den Personuppgiftsansvarige om

a. Underbiträdets namn, organisationsnummer och säte (adress och land),

b. vilken typ av uppgifter och kategorier av Registrerade som behandlas, och

c. var Personuppgifterna ska behandlas.

12.7 Den Personuppgiftsansvarige äger rätt att inom trettio (30) dagar från dag för meddelande enligt punkten 12.6 invända mot Personuppgiftsbiträdets anlitande av ett nytt Underbiträde. Om det finns rimlig grund för invändningen, exempelvis om det kan antas att Underbiträdet inte kommer att uppfylla kraven enligt Dataskyddslagstiftningen eller PUB-avtalet eller om det kan antas att anlitandet av Underbiträdet medför en säkerhetsrisk, har den Personuppgiftsansvarige rätt att neka anlitandet av Underbiträdet eller kräva att Personuppgiftsbiträdet utan dröjsmål, och innan Underbiträdet får anlitas, vidtar sådana åtgärder att det inte längre föreligger grund för invändningen.

Personuppgiftsbiträdet ska skriftligen underrätta den Personuppgiftsansvarige om vilka åtgärder som har vidtagits och visa att det inte föreligger grund för den Personuppgiftsansvariges invändning mot Personuppgiftsbiträdets anlitande av ett nytt Underbiträde, för att Personuppgiftsbiträdet ska ha rätt att anlita Underbiträdet.

12.8 Personuppgiftsbiträdet ska vid var tid föra en korrekt och uppdaterad förteckning över de Underbiträden som anlitas för Behandling av Personuppgifter för den Personuppgiftsan- svariges räkning samt göra denna förteckning tillgänglig för den Personuppgiftsansvarige. Av förteckningen ska särskilt framgå i vilket land Underbiträdet behandlar Personuppgifterna och vilka typer av Behandlingar som Underbiträdet utför.

12.9 När Personuppgiftsbiträdet slutar använda ett Underbiträde ska Personuppgiftsbiträdet skriftligen meddela den Personuppgiftsansvarige om detta. Personuppgiftsbiträdet ska när ett avtal upphör säkerställa att Underbiträdet raderar eller återlämnar Personuppgifterna.

12.10 Personuppgiftsbiträdet ska på den Personuppgiftsansvariges begäran översända en kopia av det avtal som reglerar Underbiträdets Behandling av Personuppgifter och förteckningen över Underbiträden enligt punkten 12.1.

13 LOKALISERING OCH ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND

13.1 Personuppgiftsbiträdet ska säkerställa att Personuppgifterna hanteras och lagras inom EU/EES av en fysisk eller juridisk person som är etablerad inom EU/EES, om inte Parterna kommer överens om något annat.

13.2 Personuppgiftsbiträdet äger endast rätt att överföra Personuppgifter till Tredje land för Behandling (t.ex. service, support, underhåll, utveckling, drift eller liknande hantering) om den Personuppgiftsansvarige på förhand skriftligen godkänt sådan överföring och utfärdat Instruktioner för detta ändamål.‌

13.3 Överföring till Tredje land för Behandling enligt PUB-avtalet, punkten 13.2, får endast ske om den är förenlig med Dataskyddslagstiftningen och uppfyller de krav på Behandlingen vilka ställs i PUB-avtalet och Instruktioner.

14 ANSVAR FÖR SKADA I SAMBAND MED BEHANDLING

14.1 Vid ersättning för skada i samband med Behandling som, genom fastställd dom eller förlikning, ska utgå till den Registrerade på grund av överträdelse av bestämmelse i PUB-avtalet, Instruktioner och/eller tillämplig bestämmelse i Dataskyddslagstiftningen ska artikel i 82 i Dataskyddsförordningen tillämpas.‌

14.2 Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, ska bäras av den av PUB- avtalets parter som påförts en sådan avgift.‌

14.3 Om endera part får kännedom om omständighet som kan leda till skada för motparten ska parten utan onödigt dröjsmål informera motparten om förhållandet och aktivt arbeta tillsammans med motparten för att förhindra och minimera sådan skada.

14.4 Oaktat vad som sägs i Huvudavtalet gäller detta PUB-avtal, punkterna 14.1 och 14.2, före andra regler om fördelning mellan parterna av krav sinsemellan såvitt avser Behandlingen.

15 AVTALSTID, UPPHÖRANDE MED BEHANDLINGEN OCH UPPSÄGNING

15.1 PUB-avtalet träder ikraft när Huvudavtalet har undertecknats av Xxxxxxxx och ska vara giltigt så länge Personuppgiftsbiträdet behandlar Personuppgifter för den Personuppgiftsansvariges räkning, om inte annat anges i Huvudavtalet.

15.2 När någon av Parterna får kännedom om att motparten agerar i strid med PUB-avtalet ska parten utan dröjsmål meddela motparten om agerandet. Därefter äger parten rätt att med omedelbar verkan upphöra med Behandlingen enligt PUB-avtalet till den tidpunkt motparten förklarat att agerandet upphört och förklaringen accepterats av den part som påtalat agerandet.

15.3 Bestämmelser om uppsägning och hävning finns i Huvudavtalet.

16 ÄNDRINGAR OCH TILLÄGG

16.1 Endera part äger rätt att påkalla omförhandling av PUB-avtalet om motpartens ägarförhållanden ändras väsentligt eller om tillämplig lagstiftning, eller tolkningen av den, ändras på ett för Behandlingen avgörande sätt. Påkallande av omförhandling enligt första

meningen innebär inte att PUB-avtalet till någon del upphör att gälla utan endast att en omförhandling om PUB-avtalet ska påbörjas.

16.2 Tillägg till, och ändringar i, PUB-avtalet ska vara skriftliga och undertecknade av båda parter, om inte annat anges i Huvudavtalet.

17 ÅTGÄRDER VID HUVUDAVTALETS OCH PUB-AVTALETS UPPHÖRANDE

17.1 Vid PUB-avtalets upphörande ska Personuppgiftsbiträdet utan onödigt dröjsmål, beroende på vad den Personuppgiftsansvarige väljer, antingen radera och intyga för den Personuppgifts- ansvarige att det är utfört, eller återlämna

a. alla Personuppgifter som Behandlats för den Personuppgiftsansvariges räkning och

b. all tillhörande information såsom Loggar, Instruktioner, systemlösningar, beskrivningar och andra handlingar som Personuppgiftsbiträdet erhållit genom informationsutbyte enligt PUB-avtalet.

17.2 I samband med återlämning ska Personuppgiftsbiträdet även radera befintliga kopior av Personuppgifter och tillhörande information.

17.3 Skyldigheten att radera eller återlämna Personuppgifter eller tillhörande information gäller inte om lagring av Personuppgifterna eller informationen krävs enligt unionsrätten eller relevant nationell rätt där Behandling får utföras enligt PUB-avtalet.

17.4 Om Personuppgifter eller tillhörande information återlämnas ska det ske i ett allmänt använt och standardiserat format, om parterna inte har kommit överens om något annat format.

17.5 Till dess att uppgifterna raderas eller återlämnas ska Personuppgiftsbiträdet säkerställa efterlevnaden av PUB-avtalet.

17.6 Återlämning eller radering enligt PUB-avtalet ska vara utfört senast vid PUB-avtalets upphörande, om inte Parterna kommer överens om annat. Behandling av Personuppgifter som Personuppgiftsbiträdet utför efter PUB-avtalets upphörande är att betrakta som otillåten Behandling.

17.7 Bestämmelser om sekretess/tystnadsplikt i avsnitt 8 ska fortsätta gälla även om PUB-avtalet i övrigt upphör att gälla.

18 KONTAKTPERSONER

18.1 Parterna ska under hela PUB-avtalets giltighetstid ha en utsedd kontaktperson för PUB-avtalet.

18.2 Den Personuppgiftsansvariges kontaktperson för administration av PUB-avtalet är: Xxxxx Xxxxxxxx, xxxxx.xxxxxxxx@xxxxxxxxxxxxxxxxxx.xx, 010-1034957.

18.3 Personuppgiftsbiträdets kontaktperson för administration av PUB-avtalet är: Xxxxx Xxxxx xxxxx.xxxxx@xxxx.xxx, 073-8080828.

18.4 Part ska underrätta motparten för det fall dennes kontaktperson för PUB-avtalet byts ut eller tillfälligt ersätts eller om andra förändringar sker som kan påverka kontakten mellan Parterna.

19 LAGVAL OCH TVISTER

19.1 Bestämmelser om lagval och tvister följer av Huvudavtalet.

20 PARTERNAS SIGNERING

Detta dokument har signerats via digital signeringstjänst i varav parterna erhållit varsin kopia

För Personuppgiftsansvarige För Personuppgiftsbiträdet

Linköping den

2/11/2024

Halmstad den

2024-02-09

Xxxxxx Xxxxxx Xxxxx Xxxxx

Verksamhetschef Kvinnokliniken Business Area Manager, Omda Health Analytics AB

Bilaga 1 - Personuppgiftsansvariges Instruktion för Behandling av

Utöver vad som redan framgår av Personuppgiftsbiträdesavtalet ska Personuppgiftsbiträdet även följa nedanstående Instruktioner:

1. Ändamålet, föremålet och arten

1 a. Föremålet för Personuppgiftsbiträdets Behandling av Personuppgifter åt den Personuppgiftsansvarige är att:

Tillhandahålla ett elektroniskt verktyg för att samla in hälsodata i samband med implementering och utvärdering av en ny riktlinje i förlossningsvården.

1 b. Ändamålet med Personuppgiftsbiträdets Behandling av Personuppgifter åt den Personuppgiftsansvarige är att:

Ändamålet är att lagra personuppgifter via det elektroniska monitoreringsverktyget då den möjligheten inte finns i tillgängliga journalsystem.

1 c. Personuppgiftsbiträdets Behandling av Personuppgifter på uppdrag av den Personuppgiftsansvarige avser huvudsakligen följande behandlingsåtgärder (Behandlingens art eller natur):

Överföring och lagring

2. Behandlingen omfattar följande typer av Personuppgifter

Personuppgiftsbiträdet har rätt att behandla följande typer av Personuppgifter för den Personuppgiftsansvariges räkning:

Personalens HSAid

Kvinnornas namn, personnummer och hälsouppgifter

3. Behandlingen omfattar vissa kategorier av Registrerade

Personuppgiftsbiträdet har rätt att Behandla Personuppgifter avseende följande kategorier av Registrerade:

Läkare, barnmorskor och undersköterskor på deltagande förlossningskliniker Kvinnor som föder barn på deltagande kliniker under studietiden

4. Ange särskilda hanteringskrav vad gäller Behandling av Personuppgifter som utförs av Personuppgiftsbiträdet

Personuppgiftsbiträdet ska iaktta följande hanteringskrav vid Behandlingen av Personuppgifter åt den Personuppgiftsansvarige:

Hantera data tills studien är klar och har överförts till PUA och sedan raderas.

5. Ange de särskilda tekniska och organisatoriska säkerhetsåtgärder som gäller för Personuppgiftsbiträdets Behandling av Personuppgifter

Personuppgiftbiträdet ska vidta följande säkerhetsåtgärder vid Behandlingen av Personuppgifterna:

• Personuppgifterna ska av Personuppgiftsbiträdet skyddas mot förstöring, ändringar, otillåten spridning och obehörig tillgång. Personuppgifterna ska även skyddas mot varje annat slag av otillåten Behandling.

• Leverans. Tekniska skyddsåtgärder enligt krav i upphandling och/eller huvudavtal ska vid varje tidpunkt vara i funktion.

• Åtkomstskydd. När datorutrustning och löstagbara datamedier hos Personuppgiftsbiträdet, som innehåller eller kan ge tillgång till Personuppgifter som Personuppgiftsbiträdet behandlar för Region Östergötlands räkning, inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska Personuppgifterna krypteras.

• Säkerhetskopia. Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att Personuppgifterna kan återskapas efter en störning. Personuppgiftsbiträdet ska ha en dokumenterad rutin för säkerhetskopiering och återläsning av säkerhetskopior, samt för test av återläsning.

• Behörighetskontroll. Ett tekniskt system för behörighetskontroll ska styra åtkomsten till Personuppgifterna för Personuppgiftsbiträdet. Behörigheten ska begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter.

• Datakommunikation. All åtkomst via datorkommunikation utanför lokaler som kontrolleras av Personuppgiftsbiträdet ska skyddas av tvåfaktorsautentisering. Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Personuppgiftsbiträdet ska skyddas med kryptering.

• Utplåning. När fasta eller löstagbara lagringsmedier som innehåller Personuppgifter inte längre ska användas för sitt ändamål ska Personuppgifterna raderas på sådant sätt att de inte kan återskapas.

• Reparation och service. När reparation och service av datorutrustning, vilken används för att lagra Region Östergötlands Personuppgifter, utförs av annan än Personuppgiftsbiträdet, ska kontrakt som reglerar säkerhet och sekretess träffas med serviceföretaget.

6. Ange särskilda krav på Loggning vad gäller Behandling av Personuppgifter samt vilka som ska ha tillgång till dem

Personuppgiftsbiträdet ska iaktta följande krav avseende loggning av användaraktivitet och logghantering:

7. Lokalisering och överföring av Personuppgifter till Tredje land

Personuppgiftsbiträdet ska iaktta följande krav avseende lokalisering av Personuppgifter: Personuppgiftsbiträdet har endast rätt att behandla Personuppgifterna på följande plats/er: Inom EU

Om den Personuppgiftsansvarige inte har gett anvisningar om överföring av Personuppgifter till ett Tredje land i Instruktionen, har Personuppgiftsbiträdet inte rätt att göra en sådan överföring.

Personuppgiftsbiträdet ska iaktta följande krav avseende överföring av Personuppgifter till Tredje land:

Ingen överföring till tredjeland är tillåten

8. Behandlingens varaktighet

Behandlingen av personuppgifter kommer att pågå så länge studien fortgår.

9. Övriga Instruktioner angående Behandling av Personuppgifter som utförs av Personuppgiftsbiträdet

Bilaga 2 – Lista över godkända Underbiträden

Den Personuppgiftsansvarige godkänner att Personuppgiftsbiträdet anlitar nedanstående Underbiträden för Behandling av Personuppgifter.

Bolag/ organisatio n	Adress och kontaktuppgifter	Lokalisering av Personuppgifte r (adress, land)	Typer av Personuppgifte r som Behandlas av Underbiträdet	Ändamål med Underbiträdet s Behandling	Behandlings -tid	Ytterligare information om Underbiträdets Behandling av Personuppgifter
GTT EMEA Ltd	New Castle House, CastleBoulevard, Nottingham, United Kingdom, NG7 1FT	Stockholm Virtual Datacentre Xxxxxxxxxx 000,	All relevant data beskriven I PuB avtalet ovan	All relevant data beskriven I PuB avtalet ovan	Kontakt tid; fram till Dec 31st 2027 (möjlighet	xxxxx://xxx.xxx/xx -en/about- us/security-and- compliance
		11526			till
	Kontaktperson:	STOCKHOLM			förlängning finns i
	Boelie Vigeveno				avtalet)
	Xxxxxx.Xxxxxxxx@xxx.xx	(all data lagras
	t	och behandlas
		inom Sverige)