Skip to main content
Skip table of contents

Bilag til databehandleravtalen - eFeide

DETTE DOKUMENT BESTÅR AV FØLGENDE BILAG:

BILAG A – OPPLYSNINGER OM BEHANDLINGEN
BILAG B - BETINGELSER FOR DATABEHANDLERENS BRUK AV UNDERDATABEHANDLERE
BILAG C - INSTRUKS VEDRØRENDE BEHANDLING AV PERSONOPPLYSNINGER
BILAG D - ENDRINGER TIL DATABEHANDLERAVTALENS STANDARDTEKST OG ENDRINGER ETTER AVTALEINNGÅELSEN


  
A. OPPLYSNINGER OM BEHANDLINGEN

A.1 Hovedavtalen og formålet med behandlingen av personopplysninger

Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige er knyttet til å levere tjenester som beskrevet i Hovedavtalen.

Med Hovedavtalen menes følgende avtale(r) inngått mellom partene:

Avtalen gjelder SSA-V lille for leveranse av drift av Identitets- og tilgangsadministrasjon -
eFeide, og er inngått mellom Identum AS og Kundenavn og dato.

Behandlingen har følgende formål:

Leveranse av eFeide for drift og vedlikehold av Feidekatalog for Kundenavn.

A.2 Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige

Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige omhandler (karakteren av behandlingen):

Data som blir samlet og lagret i eFeide, skal sikre at elev eller lærer får rett innlogging og rett
tilgang og hindra at personopplysninger kommer på avveie.
● Type informasjon som blir lagret i eFeide er:
● Navn
● Kontaktinformasjon: telefon, epost, adresse
● Fødselsnummer
● Identifikasjon knyttet til person og konto: brukernavn, bruker-ID
● Organisasjonstilknytning og roller i organisasjonen: lærer, elev, administrator
● Gruppetilhørighet: klasse, fag, emne
● Brukerprofil
● Hvilke Feide-tjenester sluttbrukaren har benyttet
● Rettigheter knyttet til rollen som administrator
● Data om aktivitet og bruk: Hvem som har logget på løsningen, hvem som har
endret passord og når passord har blitt endret.

● Hvem informasjonen i løsningen gjelder for: elever og lærere, kontaktpersoner i
organisasjonen
● Hvilken periode behandlingen omfatter: gjelder så lenge en person er knyttet til
organisasjonen eller til avtalen opphører.

Typer av personopplysninger

Behandlingen omfatter følgende typer av personopplysninger om de registrerte (flere valg mulig):

☐ Særlige kategorier av personopplysninger i henhold til GDPR artikkel 9 (1):
<Angi type, f.eks. helseopplysninger, rasemessig eller etnisk opprinnelse eller fagforeningstilhørighet>
☒ Andre opplysninger med særlig behov for beskyttelse:
<Angi type, f.eks. fødselsnummer, opplysninger om økonomi, prestasjonsvurderinger i ansettelsesforhold osv.>
☒ Andre personopplysninger:
<Angi type, f.eks. navn og kontaktinformasjon, utdanning, kommunikasjonspreferanser osv.>

A.3 Kategorier av registrerte
Behandlingen omfatter følgende kategorier av registrerte:

Behandlingen omfatter alle elever og ansatte ved kommunens skoler.
A.4 Varighet av behandlingen
Databehandlers behandling av personopplysninger under Hovedavtalen kan påbegynne når Databehandleravtalen har trådt i kraft. Behandlingen har følgende varighet (velg ett alternativ):

☒ Behandlingen er ikke tidsbegrenset, og varer frem til opphør av Hovedavtalen.
☐ Behandlingen er tidsbegrenset, og gjelder frem til <angi dato eller kriterium for avslutning, eksempelvis avslutningen av et prosjekt. Merk at behandlingen normalt ikke kan avslutte før Hovedavtalen utløper>.

Ved opphør (av avtalen eller en behandling) skal personopplysninger tilbakeleveres og slettes i samsvar med Databehandleravtalen punkt 12 og instruksjonene i Bilag C.
databehandlerens bruk av underdatabehandlere.

B. BETINGELSER FOR DATABEHANDLERENS BRUK OG ENDRING AV EVENTUELLE UNDERDATABEHANDLERE

B.1 Behandlingsansvarliges godkjennelse av bruk av Underdatabehandlere
Ved inngåelse av Databehandleravtalen godkjenner Behandlingsansvarlig bruk av de Underdatabehandlere som er oppført i punkt B.2. Merk at også mor-, søster- og datterselskaper til Databehandleren regnes som Underdatabehandlere hvis de bidrar til leveransen og behandler personopplysninger.

For endringer i bruk av Underdatabehandlere er det i tillegg avtalt følgende:

☒ Databehandleren kan benytte Underdatabehandler som i samme konsern (mor- søster- eller datterselskap) som er etablert i et land innenfor EØS-området. Databehandleren skal på forhånd informere Behandlingsansvarlige om bruken av slik Underdatabehandler. (Dette alternativet kan kombineres med et av de andre alternativene.)
☒ Databehandler kan gjennomføre endringer i bruken av Underdatabehandlere forutsatt at den Behandlingsansvarlige underrettes og gis mulighet til å motsette seg endringene. En slik underretning skal være mottatt av Behandlingsansvarlig senest 1 måned før endringen trer i kraft, med mindre annet er avtalt skriftlig mellom partene. Merk at endringer som medfører overføring av personopplysninger til land utenfor EØS-området (Tredjestater) uansett krever skriftlig godkjenning etter Databehandleravtalens punkt 10.

Hvis Behandlingsansvarlig motsetter seg endringen skal Databehandler underrettes så snart som mulig. Den behandlingsansvarlige kan ikke motsette seg endringen uten saklig grunn.
☐ Databehandler kan kun gjennomføre endringer i bruken av Underdatabehandlere etter spesifikk og forutgående skriftlig godkjennelse fra Behandlingsansvarlig. Underdatabehandleren kan ikke behandle personopplysninger under Hovedavtalen før slik godkjennelse er gitt. Godkjennelse kan ikke nektes uten saklig grunn.

B.2 Godkjente Underdatabehandlere

Den Behandlingsansvarlige har godkjent bruk av følgende Underdatabehandlere:

Navn Org.nr. Adresse Beskrivelse av behandling Behandlingssted Kontaktinformasjon Særlige kategorier personopplysninger
Microsoft Norge AS 957 485 030 Dronning Eufemias gate 71, 0194 Oslo Drift av server via Microsoft Azure portal Alle data er lagret i Norge.

Databehandleren kan ikke bruke den enkelte Underdatabehandleren til en annen behandling enn avtalt eller la en annen Underdatabehandler utføre den beskrevne behandlingen i andre tilfeller enn det som følger av Bilag B, punkt B.1 om skifte av Underdatabehandler.

C. INSTRUKS VEDRØRENDE BEHANDLING AV PERSONOPPLYSNINGER

C.1 Behandlingens omfang og formål
Personopplysningene skal utelukkende behandles i det omfang og for de formål som er beskrevet i
● Hovedavtalen
● Databehandleravtalen med bilag

Databehandler har ikke råderett over personopplysningene utover det som er nødvendig for å oppfylle sine plikter etter Databehandleravtalen, og kan ikke behandle disse til egne formål.

C.2 Sikkerhet ved behandlingen

C.2.1 Angivelse av sikkerhetsnivå

Ut fra en vurdering av omfanget av personopplysninger som blir behandlet, typen opplysninger og karakteren av behandlingen er det basert på en konkret risikovurdering fastsatt at behandlingen (velg ett alternativ):

☒ Krever et høyt sikkerhetsnivå. Begrunnelse:

Behandlingen omfatter utstrakt behandling av personopplysninger.

☐ Ikke krever et høyt sikkerhetsnivå. Begrunnelse:

C.2.2 Styringssystem for informasjonssikkerhet

Databehandleren skal ha et egnet styringssystem for informasjonssikkerhet. Databehandleren skal etablere og forvalte tilstrekkelige sikkerhetstiltak for å ivareta informasjonssikkerheten for behandling av personopplysningene, herunder (flere valg mulig):

☐ Sikkerhetskrav som beskrevet i Hovedavtalen: Jf. pkt 7. i hovedavtalen
☒ Sikkerhetskrav som beskrevet nedenfor: <Sett inn beskrivelse av relevante sikkerhetskrav>
Forhindre uautorisert utlevering, modifisering, fjerning eller ødeleggelse av informasjon, herunder:
o Autentisering
o Tilgangsstyring fysisk og systemteknisk
o Logging og sporing
o Kryptering
o Fysisk sikring av områder og utstyr
o Sikkerhetskopi
● Fjernaksess og mobilt utstyr
● Sikkerhetsarkitektur, Nettverksarkitektur og sikker sone
● Overvåkning og avdekking av sikkerhetsbrudd og hendelser
● Rutiner og prosedyrer for å overholde krav til personvern og informasjonssikkerhet i organisasjonen

C.3 Dokumentasjon
Databehandler skal dokumentere de rutiner og tiltak som er iverksatt for å oppfylle kravene som fremkommer av Gjeldende personvernregler og Databehandleravtalen, herunder kravene til informasjonssikkerhet. Slik dokumentasjon skal oppbevares og ajourholdes så lenge Databehandleravtalen består, og gjøres tilgjengelig for Behandlingsansvarlig eller tilsynsmyndigheter på forespørsel.

C.4 Overføring av personopplysninger - Lokasjon for behandling og tilgang
Behandling av de personopplysninger som avtalen omfatter kan ikke uten den Behandlingsansvarliges forutgående skriftlige godkjennelse utføres på eller med tilgang fra andre lokasjoner enn de som er angitt i Bilag B.2. Med lokasjon menes:

• Sted det er mulig å få tilgang til personopplysningene fra (aksessering)
• Sted hvor personopplysningene bearbeides (prosesseres)
• Sted hvor personopplysningene lagres

Begrensningen ovenfor gjelder ikke Databehandlerens mor-, søster- og datterselskaper som er etablert innenfor EØS-området. Databehandleren skal imidlertid på forespørsel fra den Behandlingsansvarlige redegjøre for hvor personopplysningene til enhver tid behandles.

C.5 Rutiner for revisjon og tilsyn

For å kontrollere etterlevelse av Gjeldende personvernregler og Databehandleravtalen er det avtalt følgende (flere valg mulig):

☐ Behandlingsansvarlig har rett til å utføre revisjon på Databehandlers forretningssted for å verifisere Databehandlers etterlevelse av sine plikter i henhold til denne Databehandleravtalen eller Gjeldende personvernregler.

Slike revisjoner skal:

● Gjennomføres etter rimelig forhåndsvarsel og maksimalt én gang i året, med mindre sikkerhetsbrudd hos Databehandler eller andre særlige forhold gir grunn for hyppigere revisjoner;
● Foregå innenfor normal arbeidstid og ikke forstyrre Databehandlers virksomhet unødvendig;
● Utføres av ansatte hos Behandlingsansvarlig eller av tredjepart som er godkjent av Partene og underlagt taushetsplikt.

Databehandler plikter å stille til rådighet de ressurser som med rimelighet kan kreves for å gjennomføre revisjonen.

Behandlingsansvarlig skal dekke kostnader for eventuelle tredjeparter som benyttes til å gjennomføre revisjonen. For øvrig dekker Partene sine egne kostnader ved gjennomføring av revisjonen. Dersom revisjonen avdekker vesentlige brudd på forpliktelsene etter Gjeldende personvernregler eller Databehandleravtalen, skal Databehandler likevel dekke Behandlingsansvarliges rimelige kostnader ved revisjonen.
☒ Databehandleren skal benytte ekstern revisor til å attestere at sikkerhetstiltak er etablert og virker etter hensikten. Slik revisjon skal:
i. gjennomføres én gang årlig,
ii. utføres i henhold til anerkjente attestasjonsstandarder, for eksempel ISAE 3402.
iii. utføres av en uavhengig tredjepart med tilstrekkelig kunnskap og erfaring

Rapportene skal fremlegges for Behandlingsansvarlig på forespørsel.

Databehandler skal i tillegg gi slik informasjon og bistand som er nødvendig for at Behandlingsansvarlig kan etterleve sine forpliktelser etter Gjeldende personvernregelverk.
☐ For standardiserte tredjepartstjenester som leveres av Underdatabehandler kan det fremlegges tredjepartsrevisjon forutsatt at revisjonen er gjennomført etter alminnelig anerkjente prinsipper og av sertifisert revisor.
☐ <Sett inn eventuelle andre avtalte rutiner for revisjon, herunder eventuelle særskilte eller avvikende rutiner for revisjon hos Underdatabehandlere>

C.6 Sletting og tilbakelevering av personopplysninger ved avtalens opphør

Partene har avtalt følgende om sletting/tilbakelevering av personopplysninger (velg ett alternativ):

☒ Alle personopplysninger som behandles under denne Databehandleravtale skal slettes uten ugrunnet opphold og senest innen 90 kalenderdager etter opphør av Hovedavtalen. Dette samme gjelder eventuell annen relevant informasjon som forvaltes på vegne av Behandlingsansvarlig.
☐ Alle personopplysninger som behandles under denne Databehandleravtale, samt eventuell annen relevant informasjon som forvaltes på vegne av Behandlingsansvarlig, skal tilbakeleveres ved opphør av Hovedavtalen.

Etter tilbakelevering er skjedd, plikter Databehandler å slette alle personopplysninger og annen relevant informasjon som forvaltes på vegne av Behandlingsansvarlig innen 30 kalenderdager.

Tilbakelevering skal skje på følgende måte:

<Angi hvordan og hvilket format som skal benyttes for tilbakelevering>

☐ <Sett inn eventuelle andre avtalte rutiner for sletting eller tilbakelevering>

C.7 Sektorspesifikke bestemmelser om behandling av personopplysninger
<Sett inn eventuelle sektorspesifikke bestemmelser om behandling av personopplysninger som skal omfattes av begrepet "Gjeldende personvernregler", se databehandleravtalen punkt 2.>

C.8 Kontaktinformasjon

Ved henvendelser i henhold til denne avtalen, eksempelvis ved varsling om brudd på personopplysningssikkerheten eller endring i bruk av underdatabehandlere, skal følgende kanaler benyttes:

Hos Leverandøren
Sikkerhetsbrudd:
Telefon: Telefon: +47 924 38 853
E-post: support@identum.no

Andre henvendelser:
Navn: Navn: Stein Mjåtveit
Stilling: Stilling: VP of Business Development
Telefon: Telefon: +47 901 901 32
E-post: E-post: stein@identum.no


D. ENDRINGER TIL DATABEHANDLERAVTALENS STANDARDTEKST OG ENDRINGER ETTER AVTALEINNGÅELSEN

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close