Ineras fullmakt mellan kommunstyrelser och självständiga nämnder

[Namn på nämnd som uppdrar åt kommunstyrelsen att teckna Avtal om Kundens användning av Ineras tjänster, som inkluderar SKR-koncernens personuppgiftsbiträdesavtal samt instruktioner till Inera], nedan kallad ”Fullmaktsgivaren”.

Fullmaktstagare (kommunstyrelsen):

[Kommunstyrelsen i X stad/kommun, nedan kallad ”Fullmaktstagare”, genom kommundirektören (eller motsvarande befattning).

1. BAKGRUND OCH SYFTE

1.1 Inera AB (fortsättningsvis ”Inera”) ägs gemensamt av Sveriges Kommuner och Regioner (SKR) regioner. Ineras uppdrag är att utveckla och förvalta en nationell tjänsteplattform (Nationella tjänsteplattformen) samt nationella och gemensamma digitala tjänster på ägarnas vägnar. Inera får även upplåta Nationella tjänsteplattformen och specifika digitala tjänster åt både enskilda personer, privata utförare som är anlitade av kommuner och regioner eller bedriver verksamhet självständigt samt statliga myndigheter. Säljverksamhet i offentlig regi begränsas av kommunallagen och konkurrenslagen.

1.2 Inera är en teknisk tillhandahållare av Nationella tjänsteplattformen och digitala tjänster, vilket kan innebära Behandling av personuppgifter, där sådana förekommer, enligt uppdrag. Personuppgiftsbehandlingen sker således enbart för de kommuner, regioner och andra aktörer som väljer att ansluta sig till Nationella tjänsteplattformen och/eller aktuella digitala tjänster. Dessa aktörer är normalt Personuppgiftsansvariga. Inera hanterar i det sammanhanget således personuppgifter i rollen som Personuppgiftsbiträde.

1.3 När Personuppgifter behandlas av ett Personuppgiftsbiträde ska enligt Dataskyddsförordningen, artikel 28.3, hanteringen regleras genom ett skriftligt avtal eller annan rättsakt. För dessa syften ska SKR-koncernens personuppgiftsbiträdesavtal och bilagan Ineras Allmänna instruktioner samt tjänstespecifika Instruktioner i avtalsdokumentet [Tjänsten] – Beskrivning och tjänstespecifika villkor – användas mellan Personuppgiftsansvarige och Personuppgiftsbiträdet. SKR-koncernens personuppgiftsbiträdesavtal tecknas av kommuner, regioner och andra aktörer som väljer att ansluta sig till Nationella tjänsteplattformen och/eller aktuella digitala tjänster. Av Ineras Allmänna villkor följer anvisningar för vilket Personuppgiftsbiträdesavtal som ska tecknas mellan kommuner, regioner och andra aktörer och deras utförare som är indirekt anslutna till Nationella tjänsteplattformen och Ineras digitala tjänster via kommun, regioner och andra direkt anslutna aktörer.

1.4 En kommunal nämnd som är förvaltningsmyndighet är normalt Personuppgiftsansvarig för de behandlingar av personuppgifter som nämnden har att utföra. I större kommuner kan det

förväntas att flera nämnder inom samma kommun, som var och en är Personuppgiftsansvariga, använder Ineras digitala tjänster. Ineras avtalsparter flerdubblas, och därmed som en konsekvens en ökad avtalsadministrationen för både kommunen och Inera.

1.5 Av Ineras Allmänna villkor till Kundavtal 2 framgår att Kund ansvarar för att självständiga organisationsdelar, genom fullmakt eller annan likvärdig rättsakt, uppdragit åt Kunden att binda dem i SKR-koncernens personuppgiftsbiträdesavtal. Vidare att om Kunden är en offentlig organisation som har eller kommer ha självständiga organisationsdelar, vilka har skyldighet och behörighet att teckna SKR-koncernens personuppgiftsbiträdesavtal för sin respektive del av den offentliga organisationens verksamhet, ansvarar Kunden för att sådana organisationsdelar lämnat Kunden fullmakt - eller genom annan likvärdig rättsakt ombesörjt - att genom detta Avtal binda även dem i SKR-koncernens personuppgiftsbiträdesavtal.

1.6 I syfte att minimera avtalsadministrationen samt uppfylla Ineras krav i de Allmänna villkoren ska kommunala nämnder som avser att ansluta sig till den Nationella tjänsteplattformen samt en eller flera av Ineras digitala tjänster nyttja föreliggande fullmakt. Genom fullmakten befullmäktigar en nämnd kommunstyrelsen att teckna SKR-koncernens personuppgiftsbiträdesavtal och att därmed företräda nämnden gentemot Inera såvitt beträffar behandling av personuppgifter för nämndens räkning. De rättshandlingar som kommunstyrelsen företar – att teckna SKR-koncernens personuppgiftsbiträdesavtal och Instruktioner med Inera – blir bindande för nämnden.

1.7 Eftersom nämnden är Personuppgiftsansvarig, och Inera är Personuppgiftsbiträde, måste nämnden uppdra till kommunstyrelsen att lämna Instruktioner till Inera för Ineras behandling av personuppgifter för nämndens räkning. Enligt Dataskyddsförordningen ska regleringen av Behandling av Personuppgifter mellan en Personuppgiftsansvarig och ett Personuppgiftsbiträde ske genom ett avtal eller annan ”rättsakt”. Denna fullmakt utgör en sådan rättsakt. Föreliggande fullmakt innefattar därför instruktioner som motsvarar Instruktioner i SKR-koncernens personuppgiftsbiträdesavtal version 1.2 och Ineras Instruktioner i avtalsdokumentet Allmänna instruktioner (bilaga 1) samt kommunstyrelsens befullmäktigande att lämna Instruktioner till Inera att som Personuppgiftsbiträde till nämnden, som är Personuppgiftsansvarig, att iaktta de Instruktioner som framgår av avtalsdokumentet [Tjänsten] – Beskrivning och tjänstespecifika villkor – för respektive tjänst som kommunen tecknat avtal om med Inera och som nämnden använder.

1.8 Överlåtelse av en sådan arbetsuppgift genom fullmakt till kommunstyrelsen, varvid bundenhet för nämnden uppstår genom kommunstyrelsens tecknande av avtal med Inera, torde förutsätta ett enligt kommunalrätten beslut av nämnden.

1.9 Fullmaktstagaren ska instruera Inera att Behandla Personuppgifter, och i förekommande fall även avlidna personers uppgifter, i enlighet med denna fullmakt samt Ineras avtalsdokument Allmänna instruktioner och [Tjänsten] – Beskrivning och tjänstespecifika villkor, tillämplig svensk rätt och fullmaktsgivarens övriga dokumenterade Instruktioner samt att vidta de tekniska och organisatoriska åtgärder enligt Dataskyddsförordningen, artikel 32, som krävs för att skydda uppgifterna.

1.10 Ett avtal mellan fullmaktstagaren och Inera ska också syfta till att reglera parternas

skyldigheter och rättigheter i övrigt avseende Behandling av Personuppgifter. Fullmakten omfattar all Behandling av Personuppgifter som Inera utför för fullmaktstagarens räkning, och därmed också fullmaktsgivarens räkning.

2. DEFINITIONER

Utöver de begrepp som definieras i löptext, i denna fullmakt, ska dessa definitioner oavsett om de används i plural eller singular, i bestämd eller obestämd form, ha nedanstående innebörd när de anges med versal som begynnelsebokstav.

Behandling	En åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Dataskyddslagstiftning	Avser all integritets- och personuppgiftslagstiftning, samt all annan eventuell lagstiftning (inklusive förordningar och föreskrifter), som är tillämplig på den Behandling som sker enligt denna Fullmakt, inklusive nationell sådan lagstiftning och EU-lagstiftning.
Fullmakt	Ineras fullmakt som används av kommuner och självständiga nämnder i syfte för den självständiga nämnden att befullmäktiga kommunstyrelsen att teckna fullmakt innefattande SKR-koncernens personuppgiftsbiträdesavtal och instruktioner till Inera AB.
Personuppgiftsansvarig	Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamål och medlen för Behandlingen av Personuppgifter.
Instruktion	De skriftliga instruktioner som närmare anger föremål, varaktighet, art och ändamål, typ av Personuppgifter samt kategorier av Registrerade och särskilda behov som omfattas av Behandlingen.
Logg	Logg är resultatet av Loggning.
Loggning	Loggning är ett kontinuerligt insamlande av uppgifter om den Behandling av Personuppgifter som utförs enligt denna Fullmakt och som kan knytas till en enskild fysisk person.
Personuppgiftsbiträde	Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som Behandlar Personuppgifter för den Fullmaktsgivarens räkning.

Personuppgift	Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident	En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.
Registrerad	Fysisk person vars Personuppgifter Behandlas.
Tredje land	En stat som inte ingår i Europeiska unionen (EU) eller inte är ansluten till Europeiska ekonomiska samarbetsområdet (EES).
Underbiträde	Fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som i egenskap av underleverantör till Inera Behandlar Personuppgifter för Fullmaktsgivarens räkning.

3. ÄNDAMÅL OCH OMFATTNING

3.1 Med denna fullmakt jämte Instruktioner och eventuellt förteckning över Underbiträden som Fullmaktstagaren godkänt i avtal med Inera (nedan gemensamt ”Fullmakten”) reglerar Fullmaktstagaren Ineras Behandling av personuppgifter åt Fullmaktsgivaren. Fullmaktens syfte är att säkerställa den Registrerades fri- och rättigheter vid Behandlingen, i enlighet med vad stadgas i artikel 28.3 i Allmänna dataskyddsförordningen EU 2016/679

(”Dataskyddsförordningen”).

3.2 Hänvisningar i Fullmakten till nationell eller unionsrättslig lagstiftning, avser vid var tid tillämpliga bestämmelser.

4. BEHANDLING AV PERSONUPPGIFTER OCH SPECIFIKATION

4.1 Fullmaktstagaren utser härmed Inera att utföra Behandlingen för Fullmaktsgivarens räkning enligt vad som stadgas i denna Fullmakt.

4.2 Fullmaktstagaren ska ge skriftliga Instruktioner till Inera om hur det ska utföra Behandlingen.

4.3. Inera får endast utföra Behandlingen i enlighet med Xxxxxxxxxx och vid var tid gällande Instruktioner.

5. FULLMAKTSGIVARENS ANSVAR ‌

5.1 Fullmaktsgivaren ansvarar för att det vid var tid finns laglig grund för Behandlingen och för att, genom Fullmaktstagaren, utforma korrekta Instruktioner så att Inera och eventuellt Underbiträde kan fullgöra sitt eller sina uppdrag enligt denna Fullmakt och avtal i förekommande fall.

5.2 Fullmaktsgivaren genom Fullmaktstagaren ska utan onödigt dröjsmål informera Inera om förändringar i Behandlingen vilka påverkar Ineras skyldigheter enligt Dataskyddslagstiftningen.

5.3 Fullmaktsgivaren genom Fullmaktstagaren ansvarar för att informera Registrerade om Behandlingen och för att tillvarata Registrerades rättigheter enligt Dataskyddslagstiftningen samt vidta varje annan åtgärd som åligger Fullmaktsgivaren enligt Dataskyddslagstiftningen.

6. INERAS ÅTAGANDEN

Fullmaktstagaren ska säkerställa att Xxxxx i avtal förbinder sig att iaktta följande skyldigheter:

6.1 Inera förbinder sig att endast utföra Behandlingen i enlighet med Fullmakten och Instruktioner samt att följa Dataskyddslagstiftningen. Inera förbinder sig även att fortlöpande hålla sig informerad om gällande rätt på området.

6.2 Inera ska vidta åtgärder för att skydda Personuppgifterna mot alla slag av Behandlingar som inte är förenliga med Fullmakten, Instruktioner och Dataskyddslagstiftningen.

6.3 Inera åtar sig att säkerställa att samtliga fysiska personer som arbetar under dess ledning följer Xxxxxxxxxx och Instruktioner samt att de fysiska personerna informeras om relevant lagstiftning.

6.4 Inera ska på begäran från Fullmaktstagaren eller Fullmaktsgivaren bistå denne med att säkerställa att skyldigheterna enligt artikel 32–36 i Dataskyddsförordningen fullgörs och svara på begäran om utövande av den Registrerades rättigheter i enlighet med Dataskyddsförordningen, kap. III, med beaktande av typen av Behandling och den information som Inera har att tillgå.

6.5 För det fall att Xxxxx finner att Instruktioner är otydliga, i strid med Dataskyddslagstiftningen eller saknas och Inera bedömer att nya eller kompletterande Instruktioner är nödvändiga för att genomföra sina åtaganden ska Inera utan dröjsmål informera Fullmaktstagaren eller Fullmaktsgivaren, tillfälligt upphöra med Behandlingen och invänta nya Instruktioner.

6.6 För det fall att Fullmaktsgivaren genom Fullmaktstagaren förser Inera med nya eller ändrade Instruktioner ska Inera, utan onödigt dröjsmål från mottagandet, meddela Fullmaktstagaren huruvida genomförandet av de nya Instruktionerna föranleder förändrade kostnader för Inera.

7. SÄKERHETSÅTGÄRDER

Fullmaktstagaren ska säkerställa att Xxxxx i avtal förbinder sig att iaktta följande skyldigheter

7.1 Inera ska vidta alla lämpliga tekniska och organisatoriska säkerhetsåtgärder som krävs enligt Dataskyddslagstiftningen för att förhindra Personuppgiftsincidenter, genom att säkerställa att Behandlingen uppfyller kraven i Dataskyddsförordningen och att den Registrerades rättigheter skyddas.

7.2 Inera ska fortlöpande säkerställa att den tekniska och organisatoriska säkerheten i samband med Behandlingen medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.

7.3 Eventuella tillkommande eller ändrade krav på skyddsåtgärder från Fullmaktsgivaren genom Fullmaktstagaren efter parternas tecknande av Fullmakten, ska betraktas som nya Instruktioner enligt Fullmakten.

7.4 Inera ska genom behörighetskontrollsystem endast ge åtkomst till Personuppgifterna för sådana fysiska personer som arbetar under Ineras ledning och som behöver åtkomsten för att kunna utföra sina arbetsuppgifter.

7.5 Inera åtar sig att kontinuerligt Logga åtkomst till Personuppgifterna enligt Xxxxxxxxxx i den utsträckning det krävs enligt Instruktionen. Loggar får gallras först fem (5) år efter Loggningstillfället om inte annat anges i Instruktionen. Loggar ska omfattas av erforderliga skyddsåtgärder, i enlighet med Dataskyddslagstiftningen.

7.6 Inera ska systematiskt testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet.

8. SEKRETESS/TYSTNADSPLIKT

Fullmaktstagaren ska säkerställa att Xxxxx i avtal förbinder sig att iaktta följande skyldigheter:

8.1 Inera och samtliga fysiska personer som arbetar under dess ledning ska vid Behandlingen iaktta såväl sekretess som tystnadsplikt. Personuppgifterna får inte nyttjas eller spridas för andra ändamål, vare sig direkt eller indirekt, såvida inte annat avtalats.

8.2 Inera ska tillse att samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen, är bundna av sekretessförbindelse avseende Behandlingen. Detta krävs dock inte om dessa redan omfattas av en straffsanktionerad tystnadsplikt som följer av lag. Inera åtar sig även att tillse att det finns sekretessavtal med Underbiträdet samt sekretessförbindelser mellan Underbiträdet och samtliga fysiska personer som arbetar under dess ledning, vilka deltar i Behandlingen.

8.3 Inera ska skyndsamt underrätta Fullmaktstagaren eller Fullmaktsgivaren om eventuella kontakter med tillsynsmyndighet avseende Behandlingen. Inera har inte rätt att företräda

Fullmaktsgivaren eller agera för Fullmaktsgivarens räkning gentemot tillsynsmyndigheter i frågor avseende Behandlingen.

8.4 Om den Registrerade, tillsynsmyndighet eller tredje man begär information från Inera vilken rör Behandlingen, ska Inera informera den Fullmaktstagaren om saken. Information om Behandlingen får inte lämnas till den Registrerade, tillsynsmyndighet eller tredje man utan skriftligt medgivande från den Fullmaktsgivaren, såvida det inte framgår av tvingande lag att information ska lämnas. Inera ska bistå med förmedling av den informationen som omfattas av ett medgivande eller lagkrav.

9. GRANSKNING, TILLSYN OCH REVISION

Fullmaktstagaren ska säkerställa att Xxxxx i avtal förbinder sig att iaktta följande skyldigheter:

9.1 Inera ska utan onödigt dröjsmål som en del av sina garantier, enligt artikel 28.1 i Dataskyddsförordningen, på Fullmaktstagarens eller Fullmaktsgivarens begäran kunna redovisa vilka tekniska och organisatoriska säkerhetsåtgärder som används för att Behandlingen ska uppfylla kraven enligt Fullmakten och artikel 28.3.h i Dataskyddsförordningen.

9.2 Inera ska minst en (1) gång om året granska säkerheten avseende Behandlingen genom en egenkontroll för att säkerställa att Behandlingen följer Fullmakten. Resultatet av sådan egenkontroll ska på begäran delges den Fullmaktstagaren eller Fullmaktsgivaren.

9.3 Fullmaktsgivaren äger rätt att, själv eller genom annan av denne utsedd tredje part (som inte får vara en konkurrent till Inera), följa upp att Inera uppfyller Fullmaktens, Instruktionernas och Dataskyddslagstiftningens krav. Inera ska vid sådan granskning bistå Fullmaktsgivaren, eller den som utför granskningen i Fullmaktsgivarens ställe, med dokumentation, tillgång till lokaler, IT-system och andra tillgångar som behövs för att kunna granska Ineras efterlevnad av Fullmakten, Instruktioner och Dataskyddslagstiftningen. Fullmaktsgivaren ska säkerställa att personal som genomför granskningen är underkastade sekretess eller tystnadsplikt enligt lag eller avtal.

9.4 Inera äger alternativt till vad som stadgas i punkterna 9.2–9.3, rätt att erbjuda andra tillvägagångssätt för granskning av Behandlingen, exempelvis granskning genomförd av oberoende tredje part. Fullmaktsgivaren ska i sådant fall äga rätt, men inte skyldighet, att tillämpa detta alternativa tillvägagångssätt för granskning. Vid sådan granskning ska Inera ge Fullmaktsgivaren eller en tredje part den assistans som behövs för utförandet av granskningen.

9.5 Inera ska bereda tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande lagstiftning, även om sådan tillsyn annars skulle stå i strid med bestämmelserna i avtalet med Xxxxx.

9.6 Inera ska tillförsäkra Fullmaktsgivaren rättigheter gentemot Underbiträdet vilka motsvarar Fullmaktsgivarens samtliga rättigheter gentemot Inera enligt punkten 9 i Fullmakten.

10. HANTERING AV RÄTTELSER OCH RADERING M.M.

Fullmaktstagaren ska säkerställa att Inera i avtal förbinder sig att iaktta följande skyldigheter och rättigheter för Fullmaktsgivaren:

10.1 För det fall Fullmaktsgivaren eller Fullmaktstagaren begärt rättelse eller radering på grund av Ineras felaktiga Behandling ska Inera vidta lämplig åtgärd utan onödigt dröjsmål, senast inom trettio (30) dagar, från det att Inera mottagit erforderlig information från Fullmaktsgivaren eller Fullmaktstagaren. När Fullmaktsgivaren själv eller genom Fullmaktstagaren begärt radering får Inera endast utföra Behandling av den aktuella Personuppgiften som ett led i processen för rättelse eller radering.

10.2 Om tekniska och organisatoriska åtgärder (t.ex. uppgraderingar eller felsökningar) vidtas av Xxxxx i Behandlingen, vilka kan väntas påverka Behandlingen, ska Inera skriftligt informera Fullmaktsgivaren eller Fullmaktstagaren om detta i enlighet med vad stadgas om meddelanden i punkten 19 i Fullmakten. Informationen ska lämnas i god tid innan åtgärderna vidtas.

11. PERSONUPPGIFTSINCIDENTER

Fullmaktstagaren ska säkerställa att Xxxxx i avtal förbinder sig att iaktta följande skyldigheter:

11.1 Inera ska ha förmåga att återställa tillgängligheten och tillgången till Personuppgifterna i rimlig tid vid en fysisk eller teknisk incident enligt artikel 32.1.c i Dataskyddsförordningen.

11.2 Inera åtar sig att med beaktande av Behandlingens art, och den information som Inera har att tillgå, bistå Fullmaktsgivaren med att fullgöra dennes skyldigheter vid en Personuppgiftsincident beträffande Behandlingen. Inera ska på Fullmaktsgivarens eller Fullmaktstagarens begäran även bistå med att utreda misstankar om eventuell obehörigs Behandling och/eller åtkomst till Personuppgifterna.

11.3 Vid Personuppgiftsincident, vilken Xxxxx fått vetskap om, ska Inera utan onödigt dröjsmål skriftligen underrätta Fullmaktsgivaren om händelsen. Inera ska, med beaktande av typen av Behandling och den information som Inera har att tillgå, tillhandahålla Fullmaktsgivaren en skriftlig beskrivning av Personuppgiftsincidenten.

Beskrivningen ska redogöra för:

1. Personuppgiftsincidentens art och, om möjligt, de kategorier och antalet Registrerade som berörs samt kategorier och antalet personuppgiftsposter som berörs,

2. de sannolika konsekvenserna av Personuppgiftsincidenten, och

3. åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter.

11.4 Om det inte är möjligt för Inera att tillhandahålla hela beskrivningen samtidigt, enligt punkten 11.3 i Fullmakten, får beskrivningen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

12. UNDERBITRÄDE

Fullmaktstagaren ska säkerställa att Inera i avtal förbinder sig att iaktta följande skyldigheter och rättigheter för Fullmaktsgivaren:

12.1 Inera äger rätt att anlita den eller de Underbiträden som framgår av förteckning över Underbiträden som Fullmaktstagaren godkänt i avtal med Inera.

12.2 Inera åtar sig att teckna ett skriftligt avtal med Underbiträdet som reglerar Behandlingen som Underbiträdet utför å Fullmaktsgivarens vägnar samt att endast anlita Underbiträden som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder så att Behandlingen uppfyller kraven i Dataskyddsförordningen. I fråga om dataskydd ska avtalet ålägga Underbiträdet samma skyldigheter som åläggs Inera i denna Fullmakt.

12.3 Inera ansvarar fullt ut för Underbiträdets Behandling gentemot Fullmaktsgivaren.

12.4 Inera äger rätt att anlita nya underbiträden och ersätta befintliga underbiträden.

12.5 När Inera avser att anlita ett nytt eller ersätta ett befintligt Underbiträde ska Inera säkerställa Underbiträdets kapacitet och förmåga att uppfylla sina skyldigheter enligt Dataskyddslagstiftningen. Inera ska skriftligen meddela Fullmaktsgivaren genom Fullmaktstagaren om

1. Underbiträdets namn, organisationsnummer och säte (adress och land),

2. vilken typ av uppgifter och kategorier av Registrerade som behandlas, och

3. var Personuppgifterna ska behandlas.

12.6 Fullmaktsgivaren genom Fullmaktstagaren äger rätt att inom trettio (30) dagar från dag för meddelande enligt punkten 12.5 invända mot Ineras anlitande av ett nytt underbiträde och att, med anledning av sådan invändning, Fullmaktsgivaren genom Fullmaktstagaren, säga upp denna Fullmakt att upphöra i enlighet med vad stadgas i Fullmakten, punkten 17.4.

12.7 När Inera upphör med att anlita Underbiträdet ska Inera skriftligen meddela Fullmaktsgivaren om att det upphör med att anlita Underbiträdet.

12.8 Inera ska på Fullmaktsgivarens egen begäran eller genom Fullmaktstagaren översända en kopia av det avtal som reglerar Behandling av Underbiträdets Behandling av Personuppgifter enligt punkten 12.2.

13. LOKALISERING OCH ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND

Fullmaktstagaren ska säkerställa att Xxxxx i avtal förbinder sig att iaktta följande skyldigheter:

13.1 Inera ska säkerställa att Personuppgifterna hanteras och lagras inom EU/EES av en fysisk

eller juridisk person som är etablerad inom EU/EES, om inte Fullmaktens parter kommer överens om något annat.

13.2 Inera äger endast rätt att överföra Personuppgifter till Tredje land för Behandling (t.ex. service, support, underhåll, utveckling, drift eller liknande hantering) om Fullmaktsgivaren på förhand skriftligen godkänt sådan överföring och utfärdat Instruktioner för detta ändamål.

13.3 Överföring till Tredje land för Behandling enligt Xxxxxxxxxx, punkten 13.2, får endast ske om den är förenlig med Dataskyddslagstiftningen och uppfyller de krav på Behandlingen vilka ställs i Fullmakten och Instruktioner.

14. ANSVAR FÖR SKADA I SAMBAND MED BEHANDLING

Fullmaktstagaren ska acceptera som villkor och med bindande verkan för Fullmaktsgivaren följande för ansvar för skada i avtal med Inera:

14.1 Vid ersättning för skada i samband med Behandling som, genom fastställd dom eller förlikning, ska utgå till den Registrerade på grund av överträdelse av bestämmelse i Fullmakten, Instruktioner och/eller tillämplig bestämmelse i Dataskyddslagstiftningen ska artikel i 82 i Dataskyddsförordningen tillämpas.

14.2 Sanktionsavgifter enligt artikel 83 i Dataskyddsförordningen, eller 6 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska bäras av den, Inera eller Fullmaktsgivaren, som påförts en sådan avgift.

14.3 Om parterna eller Inera får kännedom om omständighet som kan leda till skada för Fullmaktsgivaren eller Xxxxx ska den parten omedelbart informera motparten om förhållandet och aktivt arbeta tillsammans för att förhindra och minimera sådan skada.

14.4 Oaktat vad som sägs i avtal mellan Fullmaktstagaren och Inera ska punkterna 14.1 och 14.2 gälla före andra regler om fördelning mellan Fullmaktsgivaren och Inera av krav sinsemellan såvitt avser Behandlingen.

15. LAGVAL OCH TVISTLÖSNING

Fullmaktstagaren ska acceptera som villkor och med bindande verkan för Fullmaktsgivaren följande för lagval och tvistelösning i avtal med Inera

15.1 För avtal som Fullmaktstagaren tecknar med Inera ska svensk rätt äga tillämpning. Eventuell tolkning eller tvist i anledning av Xxxxxxxxxx, som parterna inte kan lösa på egen hand, ska avgöras av svensk allmän domstol.

16. AVTALS TECKNANDE, AVTALSTID OCH UPPSÄGNING

16.1 Fullmaktstagaren ska säkerställa att avtal som tecknas med Inera ska gälla från och med den tidpunkt avtalet undertecknas av båda parter och tillsvidare. Fullmaktstagaren ska säkerställa villkor som innebär att parterna äger ömsesidig rätt att säga upp avtalet att upphöra med trettio (30) dagars varsel

17. ÄNDRINGAR OCH UPPSÄGNING MED OMEDELBAR VERKAN M.M.

Fullmaktstagaren ska säkerställa att avtal som tecknas med Inera reglerar följande villkor:

17.1 Fullmaktsgivaren genom Fullmaktstagaren och Xxxxx äger rätt att påkalla omförhandling av avtal om Xxxxxx tjänster om motpartens ägarförhållanden ändras väsentligt eller om tillämplig lagstiftning, eller tolkningen av den, ändras på ett för Behandlingen avgörande sätt. Påkallande av omförhandling enligt första meningen innebär inte att avtal som Fullmaktstagaren och Inera tecknat till någon del upphör att gälla utan endast att en omförhandling ska påbörjas.

17.2 Fullmaktstagaren äger rätt att göra tillägg till, och ändringar i, avtal med Inera. Tillägg och ändringar som påverkar Ineras skyldigheter och rättigheter enligt avtalet ska förmedlas av Fullmaktstagaren till Inera. Fullmaktstagaren äger rätt att avtala med Inera om tillägg och ändringar. Sådana ändringar och tillägg ska vara skriftliga och undertecknade av både Fullmaktstagaren och Inera.

17.3 När Fullmaktsgivaren, genom Fullmaktstagaren, eller Inera får kännedom om att motparten agerar i strid med avtalet och/eller Instruktioner ska parten utan dröjsmål meddela motparten om agerandet. Därefter äger parten rätt att med omedelbar verkan upphöra att utföra sina förpliktelser enligt avtalet till den tidpunkt motparten förklarat att agerandet upphört och förklaringen accepterats av den part som påtalat agerandet.

17.4 Om Fullmaktsgivaren, själv eller genom Fullmaktstagaren, invänder mot Ineras anlitande av ett nytt underbiträde, enligt avtal och denna Fullmakt punkten 12.5, har Fullmaktsgivaren, själv eller genom Fullmaktstagaren, rätt att säga upp avtalet att upphöra med omedelbar verkan.

18. ÅTGÄRDER VID AVTALS UPPHÖRANDE

Fullmaktstagaren ska säkerställa att avtal som tecknas med Inera reglerar följande villkor:

18.1 Vid uppsägning av avtalet med Inera ska Fullmaktsgivaren, själv eller genom Fullmaktstagaren, utan onödigt dröjsmål begära att Inera överlämnar samtliga Personuppgifter till Fullmaktsgivaren eller raderar dem, enligt dennes önskemål. Om Personuppgifterna överlämnas ska det ske i ett öppet och standardiserat format. Med samtliga Personuppgifter avses alla Personuppgifter vilka har omfattats av Behandlingen samt annan tillhörande information såsom Loggar, Instruktioner, systemlösningar, beskrivningar och andra handlingar som Inera erhållit genom informationsutbyte enligt Fullmakten.

18.2 Överlämning och radering enligt avtal och Xxxxxxxxxx, punkten 18.1, ska vara utförda senast trettio (30) dagar räknat från den tidpunkt uppsägning gjorts av avtal med Inera, se denna

Fullmakt, punkten 16.1.

18.3 Behandling som utförs av Inera efter den tidpunkt som stadgas i punkten 18.2 är att betrakta som en otillåten Behandling.

18.4 Bestämmelser om sekretess/tystnadsplikt i avtal med Xxxxx och punkten 8 enligt denna Fullmakt ska fortsätta gälla även om avtalet i övrigt upphör av gälla.

19. MEDDELANDEN INOM RAMEN FÖR DENNA FULLMAKT OCH INSTRUKTIONER

Fullmaktstagaren ska säkerställa att avtal som tecknas med Inera reglerar följande villkor:

19.1 Meddelanden om avtal med Inera och dess administration inklusive uppsägning ska skickas till respektive parts kontaktperson enligt avtalet.

19.2 Meddelanden om parternas samarbete om dataskydd, gällande Behandlingen, ska skickas till respektive parts kontaktperson för parternas samarbete om dataskydd.

19.3 Meddelanden inom ramen för avtal med Inera och Instruktioner ska skickas skriftligt. Ett meddelande ska anses ha kommit fram till mottagaren senast en (1) arbetsdag efter att meddelandet har skickats.

20. KONTAKTPERSONER

Fullmaktstagaren ska säkerställa att avtal som tecknas med Inera reglerar följande villkor:

20.1 Parterna ska utse var sin kontaktperson för avtalet som tecknas mellan Fullmaktstagaren och Inera.

20.2 Parterna ska utse var sin kontaktperson för parternas samarbete om dataskydd.

21. ANSVAR FÖR UPPGIFTER OM PARTERNA OCH KONTAKTPERSONER SAMT KONTAKTUPPGIFTER

Fullmaktstagaren ska säkerställa att avtal som tecknas med Inera reglerar följande villkor:

21.1Varje part ansvarar för att de uppgifter som anges i avtal och punkten 1 i Fullmakten alltid är aktuella. Ändring av uppgifter i punkten 1 ska meddelas skriftligen enligt avtalet, se punkten

19.1 i Fullmakten.

Ort och datum

För Fullmaktsgivaren

Namnförtydligande

Bilaga 1: Allmänna instruktioner för behandling av personuppgifter i Ineras Tjänster

Allmänna instruktioner för behandling av personuppgifter i Ineras Tjänster

1 Inledning

1.1 Detta dokument, Allmänna instruktioner för behandling av personuppgifter i Ineras Tjänster (”Allmänna instruktioner”) innehåller Kundens allmänna instruktioner för

Ineras behandling av personuppgifter och utgör en integrerad del av Avtalet. Det består av kompletterande regleringar gällande för Xxxxx och Xxxxxx. I [Tjänsten] - Beskrivning och tjänstespecifika villkor finns specifika instruktioner för Ineras behandling av personuppgifter i Tjänsten.

1.2 Dessa Allmänna instruktioner ska tillämpas på Ineras tillhandahållande av Tjänster som behandlar personuppgifter. Tjänsterna kan tillhandahållas (i) direkt till Kunden enligt avtal mellan Inera och Kunden eller (ii) via Agent enligt avtal mellan Inera och Agenten samt mellan Inera och Kunden. Dessa Allmänna instruktioner ska tillämpas både i de fall då tillhandahållandet sker direkt till Kunden respektive via Agent.

2 Tekniska och organisatoriska säkerhetsåtgärder

Inera ska vid behandling av Kundens personuppgifter vidta följande tekniska och organisatoriska åtgärder:

2.1 Allmänt

a. Inera tillämpar en av Ineras styrelse beslutad informationssäkerhetspolicy.

b. I syfte att säkerställa ett systematiskt informationssäkerhetsarbete använder Inera ett ledningssystem för informationssäkerhet. Ledningssystemet är utformat i linje med SS-EN ISO/IEC 27001 Ledningssystem för informationssäkerhet.

c. Inera informationsklassificerar känslig information enligt fastställd informationsklassningsmodell som grundas på Myndigheten för samhällsskydd och beredskaps metodstöd.

d. Inera har en avdelad tjänsteförvaltare för Tjänsten.

e. Inera genomför riskanalyser regelbundet och vid förändringar.

f. Ineras personal omfattas av lagstadgad tystnadsplikt enligt offentlighets- och sekretesslagen.

g. Drift av Tjänster sker inom EU/EES.

h. Inera har ett utsett dataskyddsombud vilket är ansvarigt för att kontrollera att personuppgifter behandlas i enlighet med dataskyddsförordningen och verka som rådgivande till verksamheten.

2.2 Incidenthantering och uppföljning

Inera:

a. har rutiner vilka stödjer en korrekt hantering av informationssäkerhetsincidenter.

b. följer lagstadgad rapportering av incidenter till tillsynsmyndigheter samt informerar Xxxxxx om inträffade incidenter på sådant sätt att Xxxxxx kan uppfylla sin lagstadgade rapportering av incidenter till tillsynsmyndigheter.

c. har rutiner för uppföljning av SLA-nivåer för de Tjänster Inera tillhandahåller.

d. genomför systematiskt och regelbundet säkerhetstester i syfte att säkerställa att det tekniska skyddet är uppdaterat och verkningsfullt.

e. genomför systematiska informationssäkerhetsgranskningar i enlighet med Ineras revisionsprogram.

2.3 Skalskydd

Inera har:

a. ett implementerat och kontinuerligt aktiverat skydd för att upptäcka och förhindra dataintrång.

b. ett implementerat och kontinuerligt aktiverat skydd för att upptäcka och förhindra skadlig kod.

c. lokaler skyddade mot obehörigt tillträde genom magnet- eller chipkort.

d. kryptografiska metoder för skydd av känslig information.

2.4 Åtkomst och loggning

Inera:

a. sparar tekniska loggar innehållande driftsinformation.

b. sparar åtkomstloggar gällande patientuppgifter i minst fem år.

c. tillämpar användaridentitet och lösenord vilka är personliga och inte får lämnas ut eller överlåtas på någon annan.

d. tillämpar vid åtkomst till patientinformation i Tjänster stark autentisering.

e. beslutar och godkänner autentiseringsmetoder.

x. xxxxxxx att loggning av åtkomst till information sker i enlighet med gällande lagstiftning.

g. har ett behörighetssystem för att styra och kontrollera att användare har behörighet för åtkomst och ändring av data.

h. begränsar medarbetares behörighet varigenom dessa har åtkomst till information vilken krävs för att utföra dessas arbetsuppgifter.

2.5 Tillgänglighet

Inera:

a. har en driftsmiljö vilken är redundant uppbyggd i syfte att upprätthålla avtalade tillgänglighetsnivåer.

b. utför regelbunden säkerhetskopiering.

c. utför drift av Tjänster i lokaler vilka skyddas med larm för bränder, vattenskador och inbrott.

d. utför drift av Tjänster i separata datahallar med ett individuellt avstånd av minst 15 km.

e. utför regelbunden mätning och uppföljning av kapacitet i syfte att förebygga kapacitets- eller prestandaproblem.

f. upprättar för varje Tjänst system-, drift- och användardokumentation.

g. övervakar kontinuerligt Ineras driftsmiljöer.

h. har separata IT-miljöer för utveckling, test och drift.

3 Övriga instruktioner

Vid behandling av Kundens personuppgifter ska Inera:

x. xxxxxx de skyldigheter som åligger Xxxxx enligt Xxxxxxx och gällande lagstiftning.

b. säkerställa, om Kunden är vårdgivare, att endast vårdgivare med fast driftställe i Sverige och registrering hos Inspektionen för vård och omsorg (”IVO”) får ta del av Kundens patientuppgifter inom ramen för Tjänsten, om Tjänsten hanterar patientuppgifter.

x. xxxxxx personuppgifter vilka mellanlagras hos Inera när dessa inte längre behövs för att tillhandahålla Tjänsten.

d. inte utan tillåtelse av den personuppgiftsansvarige ta del av personuppgifter som behandlas för den personuppgiftsansvariges räkning. Xxxxxx detta har emellertid Inera tillåtelse av den personuppgiftsansvarige att:

i. ta del av den personuppgiftsansvariges data i Nationella tjänsteplattformen, centrala tjänster och andra digitala tjänster och i loggar, inklusive personuppgifter, för felsökning, driftskontroll, support och statistik, liksom för att utreda missbruk eller analysera intrång, om det är oundgängligen nödvändigt för att tillhandahålla Tjänsten och om andra, mindre ingripande åtgärder av hänsyn till den personliga integriteten är uttömda;

ii. säkerställa Kundens behov av statistik över användningen av Tjänsten samt tillåtelse för Inera att fritt sammanställa sådan statistik i avidentifierad form med andra Kunders användning av Tjänsten;

iii. ta del av den personuppgiftsansvariges uppgifter, inklusive personuppgifter, för att upprätthålla en förteckning över anslutna organisationer till Ineras Tjänster samt upprätthålla kravet i artikel 30.2 dataskyddsförordningen på ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning; och

iv. behandla personuppgifter om den personuppgiftsansvariges personal och uppdragstagare; sådana personuppgifter är t.ex. uppgifter avseende namn, personnummer, mobiltelefonnummer, e-postadress, IP-adress och andra anteckningar; sådana personuppgifter behandlas för att Inera ska kunna fullfölja avtal om Tjänsten samt för administration, inklusive säkerhetsadministration.

Document Metadata

Table of Contents

Ineras fullmakt mellan kommunstyrelser och självständiga nämnder

Document Metadata