DETTE DOKUMENTET BESTÅR AV FØLGENDE BILAG:
VEDLEGG A – OPPLYSNINGER OM BEHANDLINGEN
VEDLEGG B – VILKÅR FOR DATABEHANDLERENS BRUK AV UNDERDATABEHANDLERE
BILAG C – INSTRUKSJONER VEDRØRENDE BEHANDLING AV PERSONOPPLYSNINGER
BILAG D – ENDRINGER I DATABEHANDLERAVTALENS STANDARDTEKST OG ENDRINGER ETTER AVTALENS INNGÅELSE
A. INFORMASJON OM BEHANDLINGEN
A.1 Hovedavtalen og formålet med behandlingen av personopplysninger
Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige er knyttet til å levere tjenester som beskrevet i Hovedavtalen.
Med Hovedavtalen menes følgende avtale(r) inngått mellom partene:
Avtalen gjelder SSA-L for levering og drift av identitets- og tilgangsadministrasjon – eADM, og er inngått mellom Identum AS og (Kunde/dato)
Behandlingen har følgende formål:
Leveranse av eADM for drift og vedlikehold av helhetlig brukerkontostyring og tilgangskontroll (IAM) for alle ansatte i (Kunde)
A.2 Databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige
Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige omhandler (karakteren av behandlingen):
Data som samles inn og lagres i eADM, skal sikre at ansatte får riktig pålogging og tilgang, samt forhindre at personopplysninger kommer på avveie.
● Informasjonstypene som lagres i eADM er:
o Navn
o Adresse
o Fødsels- og personnummer
o Bostedskommune
o Statsborgerskap
o Kjønn
o E-post arbeid og privat
o Tlf.nr. arbeid og privat
o Stillingsprosent
o Stillingskategori
o Tjenestested
o Stillingsbenevnelse
o Ansattstatus fra-til.
o Stillingsinformasjon, fra-til
o Stillingstittel
o Stillingstype
o Offentlig kode
o Regnskapskontering/ansvarsområde/tjenestested/kode
o Yrkeskode
o Tjenestested PAI
o Organisasjonsrolle (rettigheter i organisasjonsstruktur)
o Permisjon -> Type permisjon, start- og sluttdato, per stilling.
o Identifikasjon knyttet til person og konto: brukernavn, bruker-ID
o Hvilke tjenester sluttbrukeren har benyttet i tilknyttede fagsystemer
o Rettigheter knyttet til rollen som administrator
o Data om aktivitet og bruk: Hvem som har logget på løsningen, hvem som har endret passord og når passordet er endret.
A.3 Typer av personopplysninger
Behandlingen omfatter følgende typer av personopplysninger om de registrerte (flere valg mulig):
☐ Særlige kategorier av personopplysninger i henhold til GDPR artikkel 9 (1):
<Angi type, f.eks. helseopplysninger, rasemessig eller etnisk opprinnelse eller fagforeningstilhørighet>
☒ Andre opplysninger med særlig behov for beskyttelse:
<Angi type, f.eks. fødselsnummer, opplysninger om økonomi, prestasjonsvurderinger i ansettelsesforhold osv.>
☒ Andre personopplysninger:
<Angi type, f.eks. navn og kontaktinformasjon, utdanning, kommunikasjonspreferanser osv.>
A.4 Kategorier av registrerte
Behandlingen omfatter følgende kategorier av registrerte:
Behandlingen omfatter alle ansatte i kommunen.
A.5 Behandlingens varighet
Databehandlerens behandling av personopplysninger i henhold til hovedavtalen kan påbegynnes når databehandleravtalen har trådt i kraft. Behandlingen har følgende varighet (velg ett alternativ):
☒ Behandlingen er ikke tidsbegrenset, og varer frem til opphør av Hovedavtalen.
☐ Behandlingen er tidsbegrenset, og gjelder frem til <angi dato eller kriterium for avslutning, eksempelvis avslutningen av et prosjekt. Merk at behandlingen normalt ikke kan avslutte før Hovedavtalen utløper>.
Ved opphør (av avtalen eller en behandling) skal personopplysninger leveres tilbake og slettes i samsvar med punkt 12 i databehandleravtalen og instruksjonene i vedlegg C.
databehandlerens bruk av underdatabehandlere.
B. VILKÅR FOR DATABEHANDLERENS BRUK OG ENDING AV EVENTUELLE UNDERDATABEHANDLERE
B.1 Den behandlingsansvarliges godkjennelse av bruk av underdatabehandlere
Ved inngåelse av databehandleravtalen godkjenner den behandlingsansvarlige bruk av de underdatabehandlere som er oppført i punkt B.2. Merk at også morselskaper, søsterselskaper og datterselskaper til databehandleren regnes som underdatabehandlere dersom de bidrar til leveransen og behandler personopplysninger.
For endringer i bruk av Underdatabehandlere er det i tillegg avtalt følgende:
☒ Databehandleren kan benytte underdatabehandlere som tilhører samme konsern (morselskap, søsterselskap eller datterselskap) og som er etablert i et land innenfor EØS-området. Databehandleren skal på forhånd informere den behandlingsansvarlige om bruken av slike underdatabehandlere. (Dette alternativet kan kombineres med et av de andre alternativene.)
☒ Databehandleren kan gjennomføre endringer i bruken av underdatabehandlere forutsatt at den behandlingsansvarlige underrettes og gis mulighet til å motsette seg endringene. En slik underretning skal være mottatt av den behandlingsansvarlige senest 1 måned før endringen trer i kraft, med mindre annet er avtalt skriftlig mellom partene. Merk at endringer som medfører overføring av personopplysninger til land utenfor EØS-området (tredjestater) uansett krever skriftlig godkjenning i henhold til databehandleravtalens punkt 10.
Dersom den behandlingsansvarlige motsetter seg endringen, skal databehandleren underrettes så snart som mulig. Den behandlingsansvarlige kan ikke motsette seg endringen uten saklig grunn.
☐ Databehandleren kan kun gjennomføre endringer i bruken av underdatabehandlere etter spesifikk og forutgående skriftlig godkjennelse fra den behandlingsansvarlige. Underdatabehandleren kan ikke behandle personopplysninger under hovedavtalen før slik godkjennelse er gitt. Godkjennelse kan ikke nektes uten saklig grunn.
B.2 Godkjente underdatabehandlere
Den Behandlingsansvarlige har godkjent bruk av følgende Underdatabehandlere:
Navn Org.nr. Adresse Beskrivelse av behandlingen Behandlingssted Kontaktinformasjon Særlige kategorier av personopplysninger
Microsoft Norge AS 957 485 030 Dronning Eufemias gate 71, 0194 Oslo Drift av server via Microsoft Azure-portalen Alle data lagres i Norge.
Databehandleren kan ikke bruke den enkelte Underdatabehandler til en annen behandling enn avtalt eller la en annen Underdatabehandler utføre den beskrevne behandlingen i andre tilfeller enn det som følger av Bilag B, punkt B.1 om skifte av Underdatabehandler.
C. RETNINGSLINJER FOR BEHANDLING AV PERSONOPPLYSNINGER
C.1 Behandlingens omfang og formål
Personopplysningene skal utelukkende behandles i det omfang og for de formål som er beskrevet i
● Hovedavtalen
● Databehandleravtalen med vedlegg
Databehandler har ikke råderett over personopplysningene utover det som er nødvendig for å oppfylle sine plikter etter Databehandleravtalen, og kan ikke behandle disse til egne formål.
C.2 Sikkerhet ved behandlingen
C.2.1 Angivelse av sikkerhetsnivå
Ut fra en vurdering av omfanget av personopplysninger som blir behandlet, typen opplysninger og karakteren av behandlingen er det basert på en konkret risikovurdering fastsatt ved behandlingen (velg ett alternativ):
☒ Krever et høyt sikkerhetsnivå. Begrunnelse:
Behandlingen omfatter utstrakt behandling av personopplysninger.
☐ Krever ikke et høyt sikkerhetsnivå. Begrunnelse:
C.2.2 Styringssystem for informasjonssikkerhet
Databehandleren skal ha et egnet styringssystem for informasjonssikkerhet. Databehandleren skal etablere og forvalte tilstrekkelige sikkerhetstiltak for å ivareta informasjonssikkerheten for behandling av personopplysningene, herunder (flere valg mulig):
☐ Sikkerhetskrav som beskrevet i Hovedavtalen: Jf. pkt 7. i hovedavtalen
☒ Sikkerhetskrav som beskrevet nedenfor: <Sett inn beskrivelse av relevante sikkerhetskrav>
Forhindre uautorisert utlevering, modifisering, fjerning eller ødeleggelse av informasjon, herunder:
o Autentisering
o Tilgangsstyring fysisk og systemteknisk
o Logging og sporing
o Kryptering
o Fysisk sikring av områder og utstyr
o Sikkerhetskopi
● Fjernaksess og mobilt utstyr
● Sikkerhetsarkitektur, Nettverksarkitektur og sikker sone
● Overvåkning og avdekking av sikkerhetsbrudd og hendelser
● Rutiner og prosedyrer for å overholde krav til personvern og informasjonssikkerhet i organisasjonen
C.3 Dokumentasjon
Databehandleren skal dokumentere de rutiner og tiltak som er iverksatt for å oppfylle kravene som fremgår av gjeldende personvernregler og databehandleravtalen, herunder kravene til informasjonssikkerhet. Slik dokumentasjon skal oppbevares og ajourholdes så lenge databehandleravtalen består, og gjøres tilgjengelig for den behandlingsansvarlige eller tilsynsmyndigheter på forespørsel.
C.4 Overføring av personopplysninger – Behandlingssted og tilgang
Behandlingen av personopplysningene som omfattes av avtalen kan ikke, uten forhåndsgodkjenning fra den behandlingsansvarlige, utføres på eller med tilgang fra andre steder enn de som er angitt i vedlegg B.2. Med «sted» menes:
• Sted hvor personopplysningene er tilgjengelige (tilgang)
• Sted hvor personopplysningene behandles
• Sted hvor personopplysningene lagres
Begrensningen ovenfor gjelder ikke Databehandlerens mor-, søster- og datterselskaper som er etablert innenfor EØS-området. Databehandleren skal imidlertid på forespørsel fra den Behandlingsansvarlige redegjøre for hvor personopplysningene til enhver tid behandles.
C.5 Rutiner for revisjon og tilsyn
For å kontrollere etterlevelse av Gjeldende personvernregler og Databehandleravtalen er det avtalt følgende (flere valg mulig):
☐ Den behandlingsansvarlige har rett til å gjennomføre revisjon på databehandlerens forretningssted for å kontrollere at databehandleren oppfyller sine forpliktelser i henhold til denne databehandleravtalen eller gjeldende personvernregler.
Slike revisjoner skal:
● Gjennomføres etter rimelig forhåndsvarsel og maksimalt én gang i året, med mindre sikkerhetsbrudd hos databehandleren eller andre særlige forhold gir grunn til hyppigere revisjoner;
● Foregå innenfor normal arbeidstid og ikke forstyrre databehandlerens virksomhet unødvendig;
● Utføres av ansatte hos den behandlingsansvarlige eller av tredjepart som er godkjent av partene og underlagt taushetsplikt.
Databehandler plikter å stille til rådighet de ressurser som med rimelighet kan kreves for å gjennomføre revisjonen.
Den behandlingsansvarlige skal dekke kostnadene for eventuelle tredjeparter som benyttes til å gjennomføre revisjonen. For øvrig dekker partene sine egne kostnader ved gjennomføring av revisjonen. Dersom revisjonen avdekker vesentlige brudd på forpliktelsene etter gjeldende personvernregler eller databehandleravtalen, skal databehandleren likevel dekke den behandlingsansvarliges rimelige kostnader ved revisjonen.
☒ Databehandleren skal benytte ekstern revisor til å attestere at sikkerhetstiltak er etablert og virker etter hensikten. Slik revisjon skal:
i. gjennomføres én gang årlig,
ii. utføres i henhold til anerkjente attestasjonsstandarder, for eksempel ISAE 3402.
iii. utføres av en uavhengig tredjepart med tilstrekkelig kunnskap og erfaring
Rapportene skal fremlegges for Behandlingsansvarlig på forespørsel.
Databehandler skal i tillegg gi slik informasjon og bistand som er nødvendig for at Behandlingsansvarlig kan etterleve sine forpliktelser etter Gjeldende personvernregelverk.
☐ For standardiserte tredjepartstjenester som leveres av Underdatabehandler kan det fremlegges tredjepartsrevisjon forutsatt at revisjonen er gjennomført etter alminnelig anerkjente prinsipper og av sertifisert revisor.
☐ <Sett inn eventuelle andre avtalte rutiner for revisjon, herunder eventuelle særskilte eller avvikende rutiner for revisjon hos Underdatabehandlere>
C.6 Sletting og tilbakelevering av personopplysninger ved avtalens opphør
Partene har avtalt følgende om sletting/tilbakelevering av personopplysninger (velg ett alternativ):
☒ Alle personopplysninger som behandles i henhold til denne databehandleravtalen skal slettes uten unødig opphold og senest innen 90 kalenderdager etter at hovedavtalen er opphørt. Det samme gjelder eventuell annen relevant informasjon som forvaltes på vegne av den behandlingsansvarlige.
☐ Alle personopplysninger som behandles under denne databehandleravtalen, samt eventuell annen relevant informasjon som forvaltes på vegne av den behandlingsansvarlige, skal leveres tilbake ved opphør av hovedavtalen.
Etter tilbakelevering er skjedd, plikter Databehandler å slette alle personopplysninger og annen relevant informasjon som forvaltes på vegne av Behandlingsansvarlig innen 30 kalenderdager.
Tilbakelevering skal skje på følgende måte:
<Angi hvordan og hvilket format som skal benyttes for tilbakelevering>
☐ <Sett inn eventuelle andre avtalte rutiner for sletting eller tilbakelevering>
C.7 Sektorspesifikke bestemmelser om behandling av personopplysninger
<Sett inn eventuelle sektorspesifikke bestemmelser om behandling av personopplysninger som skal omfattes av begrepet "Gjeldende personvernregler", se databehandleravtalen punkt 2.>
C.8 Kontaktinformasjon
Ved henvendelser i henhold til denne avtalen, eksempelvis ved varsling om brudd på personopplysningssikkerheten eller endring i bruk av underdatabehandlere, skal følgende kanaler benyttes:
Til den behandlingsansvarlige
Sikkerhetsbrudd:
Telefon: 924 38 853
E-post support@identum.no
Andre henvendelser:
Navn: Navn: Alf Aukan
Stilling: Stilling: Kundeansvarlig
Telefon: Telefon: 986 74 118
E-post: E-post: alf@identum.no
D. ENDRINGER I STANDARDTEKSTEN TIL DATABEHANDLERAVTALEN OG ENDRINGER ETTER AVTALENS INNGÅELSE