DETTE DOKUMENT BESTÅR AV FØLGENDE BILAG:
BIJLAGE A – INFORMATIE OVER DE VERWERKING
BIJLAGE B – VOORWAARDEN VOOR HET GEBRUIK VAN SUBVERWERKERS DOOR DE VERWERKER
BIJLAGE C – INSTRUCTIES BETREFFENDE DE VERWERKING VAN PERSOONSGEGEVENS
BIJLAGE D – WIJZIGINGEN IN DE STANDAARDTEKST VAN DE VERWERKERSOVEREENKOMST EN WIJZIGINGEN NA HET SLUITEN VAN DE OVEREENKOMST
A. INFORMATIE OVER DE BEHANDELING
A.1 De hoofdovereenkomsten en het doel van de verwerking van persoonsgegevens
Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige er knyttet til å levere tjenester som beskrevet i Hovedavtalen.
Med Hovedavtalen menes følgende avtale(r) inngått mellom partene:
De overeenkomst heeft betrekking op SSA-L voor de levering en het beheer van identiteits- en toegangsbeheer (eADM) en is gesloten tussen Identum AS en (klant/datum)
Behandlingen hebben een følgende vorm:
Leveranse av eADM for drift og vedlikehold av helhetlig brukerkontostyring og tilgangskontroll (IAM) for alle ansatte i (Kunde)
A.2 De verwerking van persoonsgegevens door de gegevensverwerker namens de verwerkingsverantwoordelijke
Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige omhandler (karakteren av behandlingen):
De gegevens die in eADM worden verzameld en opgeslagen, moeten ervoor zorgen dat medewerkers de juiste inloggegevens en toegang krijgen en moeten voorkomen dat persoonsgegevens in verkeerde handen vallen.
● Het soort informatie dat in eADM wordt opgeslagen, is:
o Naam
o Adres
o Geboortedatum en burgerservicenummer
o Woonplaats
o Nationaliteit
o Geslacht
o E-mail werk en privé
o Tel.nr. werk en privé
o Functiepercentage
o Functiecategorie
o Dienstplaats
o Functiebenaming
o Dienstverband van-tot.
o Functie-informatie, van-tot
o Functietitel
o Functietype
o Openbare code
o Boekhoudkundige codering/verantwoordelijkheidsgebied/werkplek/code
o Beroepscode
o Werkplek PAI
o Organisatorische rol (rechten in de organisatiestructuur)
o Verlof -> Type verlof, begin- en einddatum, per functie.
o Identificatie gekoppeld aan persoon en account: gebruikersnaam, gebruikers-ID
o Welke diensten de eindgebruiker heeft gebruikt in gekoppelde vakgebieden
o Rechten gekoppeld aan de rol als beheerder
o Gegevens over activiteit en gebruik: Wie heeft zich aangemeld bij de oplossing, wie heeft het wachtwoord gewijzigd en wanneer is het wachtwoord gewijzigd.
A.3 Soort persoonsgegevens
Behandlingen omfatter følgende typer av personopplysninger om de registrerte (flere valg mulig):
☐ Særlige kategorier av personopplysninger i henhold til GDPR artikkel 9 (1):
<Angi type, f.eks. helseopplysninger, rasemessig eller etnisk opprinnelse eller fagforeningstilhørighet>
☒ Andre opplysninger med særlig behov for beskyttelse:
<Angi type, f.eks. fødselsnummer, opplysninger om økonomi, prestasjonsvurderinger i ansettelsesforhold osv.>
☒ Andre personopplysninger:
<Angi type, f.eks. navn og kontaktinformasjon, utdanning, kommunikasjonspreferanser osv.>
A.4 Categorieën van betrokkenen
De verwerking heeft betrekking op de volgende categorieën van betrokkenen:
De verwerking heeft betrekking op alle medewerkers van de gemeente.
A.5 Duur van de verwerking
De verwerking van persoonsgegevens door de verwerker in het kader van de Hoofdovereenkomst kan van start gaan zodra de Verwerkersovereenkomst in werking is getreden. De verwerking heeft de volgende looptijd (kies één optie):
☒ Behandlingen er ikke tidsbegrenset, og varer frem til opphør av Hovedavtalen.
☐ Behandlingen er tidsbegrenset, og gjelder frem til <angi dato eller kriterium for avslutning, eksempelvis avslutningen av et prosjekt. Merk at behandlingen normalt ikke kan avslutte før Hovedavtalen utløper>.
Bij beëindiging (van de overeenkomst of een behandeling) moeten persoonsgegevens worden teruggegeven en gewist in overeenstemming met artikel 12 van de gegevensverwerkersovereenkomst en de instructies in bijlage C.
het gebruik van subverwerkers door de gegevensverwerker.
B. VOORWAARDEN VOOR HET GEBRUIK EN DE WIJZIGING VAN EVENTUELE SUBVERWERKERS DOOR DE VERWERKER
B.1 Goedkeuring door de verwerkingsverantwoordelijke van het gebruik van subverwerkers
Bij het aangaan van de Verwerkersovereenkomst keurt de Verwerkingsverantwoordelijke het gebruik goed van de Subverwerkers die zijn vermeld in punt B.2. Let op: ook moeder-, zuster- en dochterondernemingen van de Verwerker worden beschouwd als Subverwerkers indien zij bijdragen aan de levering en persoonsgegevens verwerken.
Voor endringer i bruk av Underdatabehandlere er det i tillegg avtalt følgende:
☒ De gegevensverwerker mag subverwerkers inschakelen die deel uitmaken van dezelfde groep (moeder-, zuster- of dochteronderneming) en die gevestigd zijn in een land binnen de EER. De gegevensverwerker moet de verwerkingsverantwoordelijke vooraf informeren over het inschakelen van dergelijke subverwerkers. (Deze optie kan worden gecombineerd met een van de andere opties.)
☒ De gegevensverwerker kan wijzigingen doorvoeren in het gebruik van subverwerkers, mits de verwerkingsverantwoordelijke hiervan op de hoogte wordt gesteld en de mogelijkheid krijgt om bezwaar te maken tegen de wijzigingen. Een dergelijke kennisgeving moet uiterlijk 1 maand voordat de wijziging van kracht wordt door de verwerkingsverantwoordelijke zijn ontvangen, tenzij anders schriftelijk tussen de partijen is overeengekomen. Let op: wijzigingen die leiden tot de doorgifte van persoonsgegevens naar landen buiten de EER (derde landen) vereisen in ieder geval schriftelijke goedkeuring overeenkomstig artikel 10 van de verwerkersovereenkomst.
Indien de verwerkingsverantwoordelijke bezwaar maakt tegen de wijziging, dient de gegevensverwerker hiervan zo spoedig mogelijk op de hoogte te worden gesteld. De verwerkingsverantwoordelijke kan geen bezwaar maken tegen de wijziging zonder gegronde reden.
☐ De verwerker kan alleen wijzigingen in het gebruik van subverwerkers doorvoeren na specifieke en voorafgaande schriftelijke goedkeuring van de verwerkingsverantwoordelijke. De subverwerker mag geen persoonsgegevens verwerken in het kader van de hoofdovereenkomst voordat een dergelijke goedkeuring is verleend. Goedkeuring kan niet zonder gegronde reden worden geweigerd.
B.2 Erkende subverwerkers
Den Behandlingsansvarlige har godkjent bruk av følgende Underdatabehandlere:
Naam Organisatienummer Adres Beschrijving van de verwerking Locatie van de verwerking Contactgegevens Bijzondere categorieën persoonsgegevens
Microsoft Norge AS 957 485 030 Dronning Eufemias gate 71, 0194 Oslo Beheer van de server via het Microsoft Azure-portaal Alle gegevens worden in Noorwegen opgeslagen.
Databehandleren kan ikke bruke den enkelte Underdatabehandleren til en annen behandling enn avtalt eller la en annen Underdatabehandler utføre den beskrevne behandlingen i andre tilfeller enn det som følger av Bilag B, punkt B.1 om skifte av Underdatabehandler.
C. Richtsnoeren inzake de verwerking van persoonsgegevens
C.1 Omvang en doel van de verwerking
De persoonsgegevens worden uitsluitend verwerkt in de mate en voor de doeleinden zoals beschreven in
● De hoofdovereenkomst
● De verwerkersovereenkomst met bijlagen
Databehandler heeft een overzicht van de personopplysningene utover det som er nødvendig for å oppfylle sine plikter etter Databehandleravtalen, og kan ikke behandle disse til egne formål.
C.2 Veiligheid bij de behandeling
C.2.1 Vermelding van het veiligheidsniveau
Ut fra en vurdering av omfanget av personopplysninger som blir behandlet, type opplysninger og karakteren av behandlingen er det basert på en konkret risikovurdering fastsatt at behandlingen (velg ett alternativ):
☒ Vereist een hoog veiligheidsniveau. Motivering:
Behandlingen omfatter utstrakt behandling av personopplysninger.
☐ Ik vereis een hoog beveiligingsniveau. Motivering:
C.2.2 Beheerssysteem voor informatiebeveiliging
Databehandleren heeft een egnet styringsysteem voor informasjonssikkerhet. Databehandleren skal etablere og forvalte tilstrekkelige sikkerhetstiltak for å ivareta informasjonssikkerheten for behandling av personopplysningene, herunder (flere valg mulig):
☐ Sikkerhetskrav som beskrevet i Hovedavtalen: Jf. pkt 7. i hovedavtalen
☒ Sikkerhetskrav som beskrevet nedenfor: <Sett inn beskrivelse av relevante sikkerhetskrav>
Forhindre uautorisert utlevering, modifisering, fjerning eller ødeleggelse av informasjon, herunder:
o Autentisering
o Tilgangsstyring fysisk og systemteknisk
o Logging og sporing
o Kryptering
o Fysisk sikring av områder og utstyr
o Sikkerhetskopi
● Fjernaksess og mobilt utstyr
● Sikkerhetsarkitektur, Nettverksarkitektur og sikker sone
● Overvåkning og avdekking av sikkerhetsbrudd og hendelser
● Rutiner og prosedyrer for å overholde krav til personvern og informasjonssikkerhet i organisasjonen
C.3 Documentatie
De gegevensverwerker dient de procedures en maatregelen te documenteren die zijn getroffen om te voldoen aan de vereisten die voortvloeien uit de geldende privacywetgeving en de gegevensverwerkersovereenkomst, met inbegrip van de vereisten inzake informatiebeveiliging. Deze documentatie moet worden bewaard en bijgewerkt zolang de gegevensverwerkersovereenkomst van kracht is, en op verzoek ter beschikking worden gesteld aan de verwerkingsverantwoordelijke of toezichthoudende autoriteiten.
C.4 Doorgifte van persoonsgegevens – Locatie van verwerking en toegang
De verwerking van de persoonsgegevens waarop de overeenkomst betrekking heeft, mag niet plaatsvinden op of met toegang vanaf andere locaties dan die welke zijn vermeld in bijlage B.2, tenzij de verwerkingsverantwoordelijke hiervoor vooraf schriftelijk toestemming heeft gegeven. Onder „locatie“ wordt verstaan:
• De plaats waar de persoonsgegevens kunnen worden geraadpleegd (toegang)
• De plaats waar de persoonsgegevens worden verwerkt
• De plaats waar de persoonsgegevens worden opgeslagen
Begrensningen ovenfor gjelder ikke Databehandlerens mor-, søster- og datterselskaper som er etablert innenfor EØS-området. Databehandleren skal imidlertid på forespørsel fra den Behandlingsansvarlige redegjøre for hvor personopplysningene til enhver tid behandles.
C.5 Procedures voor controle en toezicht
Voor het controleren van de etterlevelse van Gjeldende personvernregler og Databehandleravtalen er det avtalt følgende (flere valg mulig):
☐ De verwerkingsverantwoordelijke heeft het recht om een controle uit te voeren op de bedrijfslocatie van de verwerker om na te gaan of de verwerker zijn verplichtingen uit hoofde van deze verwerkersovereenkomst of de geldende privacyregels nakomt.
Een soort revisjoner skal:
● Wordt uitgevoerd na een redelijke voorafgaande kennisgeving en maximaal één keer per jaar, tenzij een inbreuk op de beveiliging bij de gegevensverwerker of andere bijzondere omstandigheden aanleiding geven tot frequentere controles;
● Vindt plaats tijdens de normale werktijden en mag de activiteiten van de gegevensverwerker niet onnodig verstoren;
● Uitgevoerd door medewerkers van de Verwerkingsverantwoordelijke of door een derde partij die door de Partijen is goedgekeurd en aan een geheimhoudingsplicht is gebonden.
Databehandler plikter å stille til rådighet de ressurser som med rimelighet kan kreves for å gjennomføre revisjonen.
De verwerkingsverantwoordelijke draagt de kosten van eventuele derde partijen die worden ingeschakeld om de controle uit te voeren. Voor het overige dragen de partijen hun eigen kosten bij de uitvoering van de controle. Indien de audit wezenlijke schendingen van de verplichtingen uit hoofde van de Toepasselijke privacyregels of de Verwerkersovereenkomst aan het licht brengt, draagt de Verwerker niettemin de redelijke kosten van de Verwerkingsverantwoordelijke in verband met de audit.
☒ De Verwerker schakelt een externe auditor in om te certificeren dat beveiligingsmaatregelen zijn getroffen en naar behoren functioneren. Een dergelijke audit moet:
i. eenmaal per jaar worden uitgevoerd,
ii. worden uitgevoerd in overeenstemming met erkende certificeringsnormen, zoals ISAE 3402.
iii. worden uitgevoerd door een onafhankelijke derde partij met voldoende kennis en ervaring
Rapportene skal fremlegges for Behandlingsansvarlig på forespørsel.
Databehandler skal i tillegg gi slik informasjon og bistand som er nødvendig for at Behandlingsansvarlig kan etterleve sine forpliktelser etter Gjeldende personvernregelverk.
☐ For standardiserte tredjepartstjenester som leveres av Underdatabehandler kan det fremlegges tredjepartsrevisjon forutsatt at revisjonen er gjennomført etter alminnelig anerkjente prinsipper og av sertifisert revisor.
☐ <Sett inn eventuelle andre avtalte rutiner for revisjon, herunder eventuelle særskilte eller avvikende rutiner for revisjon hos Underdatabehandlere>
C.6 Verwijdering en teruggave van persoonsgegevens bij beëindiging van de overeenkomst
Partene har avtalt følgende om sletting/tilbakelevering av personopplysninger (velg ett alternativ):
☒ Alle persoonsgegevens die in het kader van deze verwerkersovereenkomst worden verwerkt, moeten zonder onnodige vertraging en uiterlijk binnen 90 kalenderdagen na beëindiging van de hoofdovereenkomst worden gewist. Hetzelfde geldt voor eventuele andere relevante informatie die namens de verwerkingsverantwoordelijke wordt beheerd.
☐ Alle persoonsgegevens die in het kader van deze Verwerkersovereenkomst worden verwerkt, alsmede eventuele andere relevante informatie die namens de Verwerkingsverantwoordelijke wordt beheerd, moeten bij beëindiging van de Hoofdovereenkomst worden teruggegeven.
Etter tilbakelevering er skjedd, plikter Databehandler å slette alle personopplysninger og annen relevante informasjon som forvaltes på vegne av Behandlingsansvarlig innen 30 kalenderdager.
Tilbakelevering skal skje på følgende måte:
<Angi hvordan og hvilket format som skal benyttes for tilbakelevering>
☐ <Sett inn eventuelle andre avtalte rutiner for sletting eller tilbakelevering>
C.7 Sektorspesifikke bestemmelser om behandling av personopplysninger
<Sett inn eventuelle sektorspesifikke bestemmelser om behandling av personopplysninger som skal omfattes av begrepet "Gjeldende personvernregler", se databehandleravtalen punkt 2.>
C.8 Contactgegevens
Bij henvendelser i henhold til denne avtalen, eksempelvis ved varsling om brudd på personopplysningssikkerheten eller endring i bruk av underdatabehandlere, skal følgende kanaler benyttes:
Contactgegevens van de verwerkingsverantwoordelijke
Beveiligingsinbreuk:
Telefoon: 924 38 853
E-mailsupport@identum.no
Overige vragen:
Naam: Naam: Alf Aukan
Functie: Functie: Klantverantwoordelijke
Telefoon: Telefoon: 986 74 118
E-mail: E-mail: alf@identum.no
D. WIJZIGINGEN IN DE STANDAARDTEKST VAN DE VERWERKERSOVEREENKOMST EN WIJZIGINGEN NA HET SLUITEN VAN DE OVEREENKOMST