Hoppa till huvudinnehåll
Hoppa över innehållsförteckningen

Bilagor till databehandlingsavtal - eADM

DETTA DOKUMENT BESTÅR AV FÖLJANDE BILAGOR:

BILAG A - OPPLYSNINGER OM BEHANDLINGEN
BILAG B - BETINGELSER FOR DATABEHANDLERENS BRUK AV UNDERDATABEHANDLERE
BILAG C - INSTRUKS VEDRØRENDE BEHANDLING AV PERSONOPPLYSNINGER
BILAG D - ENDRINGER TIL DATABEHANDLERAVTALENS STANDARDTEKST OG ENDRINGER ETTER AVTALEINNGÅELSEN


A. UPPLYSNINGAR OM BEHANDLINGEN

A.1 Huvudavtal och uppdrag med behandling av personuppgifter

Databehandlerens behandling av personuppgifter på vegne av den Behandlingsansvarlige er knyttet til å levere tjenester som beskrevet i Hovedavtalen.

Med Hovedavtalen menes følgende avtale(r) inngått mellom partene:

Avtalen gjelder SSA-L for leveranse av drift av Identitets- og tilgangsadministrasjon - eADM, og er inngått mellom Identum AS og (Kunde/dato)

Behandlingen har följande ändamål:

Leveranse av eADM for drift og vedlikehold av helhetlig brukerkontostyring og tilgangskontroll (IAM) for alle ansatte i (Kunde)

A.2 Databehandlerens behandling av personuppgifter på vegne av den Behandlingsansvarlige

Databehandlerens behandling av personuppgifter på vegne av den Behandlingsansvarlige omhandler (karakteren av behandlingen):

Data som blir samlade och lagrade i eADM, ska säkerställa att anställda får rätt innlogging och rätt tilgang og hindra at personopplysninger kommer på avveie.
● Type information som blir lagret i eADM er:
o Navn
o Adresse
o Fødsels- og personnummer
o Bostedskommune
o Statsborgerskap
o Kjønn
o E-post arbeid og privat
oTlf.nr. arbeid og privat
o Stillingsprosent
o Stillingskategori
o Tjenestested
o Stillingsbenevnelse
o Ansattstatus fra-til.
o Stillingsinformasjon, fra-til
o Stillingstittel
o Stillingstype
o Offentlig kode
o Regnskapskontering/ansvarsområde/tjenestested/kode
o Yrkeskode
o Tjenestested PAI
o Organisasjonsrolle (rettigheter i organisasjonsstruktur)
o Permisjon -> Type permisjon, start og sluttdato, per stiling.
o Identifikasjon knyttet til person og konto: brukernavn, bruker-ID
o Hvilke tjenester sluttbrukaren har benyttet i tilknyttede fagsystem
o Rettigheter knyttet til rollen som administrator
o Data om aktivitet og bruk: Vem som har loggat in på lösningen, vem som har ändrat lösenord och när lösenord har blivit ändrat.

A.3 Typer av personuppgifter

Behandlingen omfattar följande typer av personuppgifter om de registrerade (flera val möjliga):

☐ Særlige kategorier av personopplysninger i henhold til GDPR artikkel 9 (1):
<Angi type, f.eks. helseopplysninger, rasemessig eller etnisk opprinnelse eller fagforeningstilhørighet>
☒ Andre opplysninger med særlig behov for beskyttelse:
<Angi type, f.eks. fødselsnummer, opplysninger om økonomi, prestasjonsvurderinger i ansettelsesforhold osv.>
☒ Andre personopplysninger:
<Angi type, f.eks. navn og kontaktinformasjon, utdanning, kommunikasjonspreferanser osv.>

A.4 Kategorier av registrerade
Behandlingen omfattar följande kategorier av registrerade:

Behandlingen omfattar alla anställda i kommunen.
A.5 Varighet av behandlingen
Databehandlers behandling av personopplysninger under Hovedavtalen kan påbegynnes når Databehandleravtalen har trådt i kraft. Behandlingen har följande varighet (velg ett alternativ):

☒ Behandlingen er ikke tidsbegrenset, og varer frem til opphør av Hovedavtalen.
☐ Behandlingen er tidsbegrenset, og gjelder frem til <angi dato eller kriterium for avslutning, eksempelvis avslutningen av et prosjekt. Merk at behandlingen normalt ikke kan avslutte før Hovedavtalen utløper>.

Vid opphør (av avtalen eller en behandling) skal personopplysninger tilbakeleveres og slettes i samsvar med Databehandleravtalen punkt 12 og instruksjonene i Bilag C.
databehandlerens bruk av underdatabehandlere.

B. VILLKOR FÖR DATABEHANDLARENS ANVÄNDNING OCH ÄNDRING AV EVENTUELLA UNDERDATABEHANDLARE

B.1 Behandlingsansvarliges godkjennelse av bruk av Underdatabehandlere
Ved inngåelse av Databehandleravtalen godkjenner Behandlingsansvarlig bruk av de Underdatabehandlere som er oppført i punkt B.2. Merk at også mor-, søster- og datterselskaper til Databehandleren regnes som Underdatabehandlere hvis de bidrar til leveransen og behandler personopplysninger.

För ändringar i användning av Underdatabehandlere är det i tillegg avtalt følgende:

☒ Databehandlaren kan benytte Underdatabehandler som i samme konsern (mor- søster- eller datterselskap) som er etablert i et land innenfor EØS-området. Databehandlaren ska på förhand informera Behandlingsansvarlige om användningen av slik Underdatabehandler. (Dette alternativet kan kombineres med et av de andre alternativene.)
☒ Databehandler kan gjennomføre endringer i bruken av Underdatabehandlere forutsatt at den Behandlingsansvarlige underrettes og gis mulighet til å motsette seg endringene. En slik underretning skal være mottatt av Behandlingsansvarlig senest 1 måned før endringen trer i kraft, med mindre annet er avtalt skriftlig mellom partene. Merk at endringer som medfører overføring av personopplysninger til land utenfor EØS-området (Tredjestater) uansett krever skriftlig godkjenning etter Databehandleravtalens punkt 10.

Hvis Behandlingsansvarlig motsetter seg endringen skal Databehandler underrettes så snart som mulig. Den behandlingsansvarlige kan inte motsette seg endringen uten saklig grunn.
☐ Databehandler kan kun gjennomføre endringer i bruken av Underdatabehandlere etter spesifikk og forutgående skriftlig godkjennelse fra Behandlingsansvarlig. Underdatabehandlaren kan inte behandla personuppgifter under Hovedavtalen før slik godkjennelse er gitt. Godkjennelse kan ikke nektes uten saklig grunn.

B.2 Godkjente Underdatabehandlere

Den Behandlingsansvarlige har godkänt bruk av följande Underdatabehandlere:

NavnOrg.nr. Adresse Beskrivelse av behandling Behandlingssted Kontaktinformasjon Særlige kategorier personopplysninger
Microsoft Norge AS 957 485 030 Dronning Eufemias gate 71, 0194 Oslo Drift av server via Microsoft Azure portal All data är lagrad i Norge.

Databehandlaren kan inte använda den enkelte Underdatabehandlaren till en annan behandling än avtalt eller la en annen Underdatabehandler utføre den beskrevne behandlingen i andre tilfeller enn det som følger av Bilag B, punkt B.1 om skifte av Underdatabehandler.

C. INSTRUKTIONER AVSEENDE BEHANDLING AV PERSONUPPGIFTER

C.1 Behandlingens omfattning och ändamål
Personupplysningarna ska uteslutande behandlas i det omfattning och för det ändamål som är beskrivet i
● Huvudavtalet
● Databehandleravtalen med bilagor

Databehandler har inte råderett över personupplysningarna utover det som er nødvendig for å oppfylle sine plikter etter Databehandleravtalen, og kan ikke behandle disse til egne formål.

C.2 Säkerhet vid behandling

C.2.1 Angivelse av säkerhetsnivå

Ut från en vurdering av omfanget av personopplysninger som blir behandlet, typen opplysninger og karakteren av behandlingen er det basert på en konkret risikovurdering fastsatt at behandlingen (velg ett alternativ):

☒ Krever et høyt sikkerhetsnivå. Begrunnelse:

Behandlingen omfattar utstrakt behandling av personuppgifter.

☐ Ikke krever et høyt sikkerhetsnivå. Begrunnelse:

C.2.2 Styrsystem för informationssäkerhet

Databehandlaren ska ha ett lämpligt styrsystem för informationssäkerhet. Databehandlaren ska etablera och förvalta tilstrekkelige sikkerhetstiltak for å ivareta informasjonssikkerheten for behandling av personopplysningene, herunder (flere valg mulig):

☐ Sikkerhetskrav som beskrevet i Hovedavtalen: Jf. pkt 7. i hovedavtalen
☒ Sikkerhetskrav som beskrevet nedenfor: <Sett inn beskrivelse av relevante sikkerhetskrav>
Forhindre uautorisert utlevering, modifisering, fjerning eller ødeleggelse av informasjon, herunder:
o Autentisering
o Tilgangsstyring fysisk og systemteknisk
o Logging og sporing
o Kryptering
o Fysisk sikring av områder og utstyr
o Sikkerhetskopi
● Fjernaksess og mobilt utstyr
● Sikkerhetsarkitektur, Nettverksarkitektur og sikker sone
● Overvåkning og avdekking av sikkerhetsbrudd og hendelser
● Rutiner og prosedyrer for å overholde krav til personvern og informasjonssikkerhet i organisasjonen

C.3 Dokumentasjon
Databehandler skal dokumentere de rutiner og tiltak som er iverksatt for å oppfylle kravene som fremkommer av Gjeldende personvernregler og Databehandleravtalen, herunder kravene til informasjonssikkerhet. Sådan dokumentation ska oppbevares og ajourholdes så lenge Databehandleravtalen består, og gjøres tilgjengelig for Behandlingsansvarlig eller tilsynsmyndigheter på forespørsel.

C.4 Overføring av personopplysninger - Lokasjon for behandling og tilgang
Behandling av de personopplysninger som avtalen omfatter kan ikke uten den Behandlingsansvarliges forutgående skriftlige godkjennelse utføres på eller med tilgang fra andre lokasjoner enn de som er angitt i Bilag B.2. Med lokation menes:

- Sted det er mulig å få tilgang til personopplysningene fra (aksessering)
- Sted hvor personopplysningene bearbeides (prosesseres)
- Sted hvor personopplysningene lagres

Begränsningen ovenfor gjelder ikke Databehandlerens mor-, søster- og datterselskaper som er etablert innenfor EØS-området. Databehandlaren ska emellertid på begäran från den Behandlingsansvarlige redegjøre for hvor personopplysningene til enhver tid behandles.

C.5 Rutiner för revision och tillsyn

För att kontrollera efterlevnaden av Gjeldende personvernregler och Databehandleravtalen är det avtalt följande (flere valg mulig):

☐ Behandlingsansvarig har rätt till att utföra revision på Databehandlers forretningssted för att verifiera Databehandlers etterlevelse av sine plikter i henhold til denne Databehandleravtalen eller Gjeldende personvernregler.

Slike revisjoner skal:

● Genomförs efter rimligt förhandsvarsel och maximalt en gång i året, med mindre säkerhetsbrudd hos Databehandler eller andre særlige forhold gir grunn for hyppigere revisjoner;
● Foregå innenfor normal arbeidstid og ikke forstyrre Databehandlers virksomhet unødvendig;
● Utføres av ansatte hos Behandlingsansvarlig eller av tredjepart som er godkjent av Partene og underlagt taushetsplikt.

Databehandler plikter å stille til rådighet de ressurser som med rimelighet kan kreves for å gjennomføre revisjonen.

Behandlingsansvarig ska täcka kostnader för eventuella tredjeparter som benyttes til å gjennomføre revisjonen. For øvrig dekker Partene sine egne kostnader ved gjennomføring av revisjonen. Dersom revisjonen avdekker vesentlige brudd på forpliktelsene etter Gjeldende personvernregler eller Databehandleravtalen, skal Databehandler likevel dekke Behandlingsansvarliges rimelige kostnader ved revisjonen.
☒ Databehandleren skal benytte ekstern revisor til å attestere at sikkerhetstiltak er etablert og virker etter hensikten. Slik revisjon skal:
i. gjennomføres én gang årlig,
ii. utføres i henhold til anerkjente attestasjonsstandarder, for eksempel ISAE 3402.
iii. utføres av en uavhengig tredjepart med tilstrekkelig kunnskap og erfaring

Rapportene ska fremlegges for Behandlingsansvarlig på forespørsel.

Databehandler skal i tillegg gi slik informasjon og bistand som er nødvendig for at Behandlingsansvarlig kan etterleve sine forpliktelser etter Gjeldende personvernregelverk.
☐ For standardiserte tredjepartstjenester som leveres av Underdatabehandler kan det fremlegges tredjepartsrevisjon forutsatt at revisjonen er gjennomført etter alminnelig anerkjente prinsipper og av sertifisert revisor.
☐ <Sett inn eventuelle andre avtalte rutiner for revisjon, herunder eventuelle særskilte eller avvikende rutiner for revisjon hos Underdatabehandlere>

C.6 Sletting och tilbakelevering av personuppgifter vid avtalets opphør

Partene har avtalt följande om sletting/tilbakelevering av personopplysninger (velg ett alternativ):

☒ Alla personuppgifter som behandlas enligt detta databehandlingsavtal ska slettes uten ugrunnet opphold og senest innen 90 kalenderdager etter opphør av Hovedavtalen. Dette samme gjelder eventuell annen relevant informasjon som forvaltes på vegne av Behandlingsansvarlig.
☐ Alle personopplysninger som behandles under denne Databehandleravtale, samt eventuell annen relevant informasjon som forvaltes på vegne av Behandlingsansvarlig, skal tilbakeleveres ved opphør av Hovedavtalen.

Etter tilbakelevering er skjedd, plikter Databehandler å slette alle personopplysninger og annen relevant informasjon som forvaltes på vegne av Behandlingsansvarlig innen 30 kalenderdager.

Tilbakelevering ska ske på följande sätt:

<Angi hvordan og hvilket format som skal benyttes for tilbakelevering>

☐ <Sett inn eventuelle andre avtalte rutiner for sletting eller tilbakelevering>

C.7 Sektorspesifikke bestemmelser om behandling av personopplysninger
<Sett inn eventuelle sektorspesifikke bestemmelser om behandling av personopplysninger som skal omfattes av begrepet "Gjeldende personvernregler", se databehandleravtalen punkt 2.>

C.8 Kontaktinformation

Vid henvendelser i henhold til denne avtalen, eksempelvis ved varsling om brudd på personopplysningssikkerheten eller endring i bruk av underdatabehandlere, skal følgende kanaler benyttes:

Hos Behandlingsansvarlig
Sikkerhetsbrudd:
Telefon: 924 38 853
E-post support@identum.no
Andre henvendelser:
Navn: Navn: Alf Aukan
Stilling: Stilling: Kundeansvarlig
Telefon: Telefon: 986 74 118
E-post: E-post: alf@identum.no


D. ÄNDRINGAR TILL DATABEHANDLINGSAVTALETS STANDARDTEXT OCH ÄNDRINGAR EFTER AVTALSINGÅELSEN

JavaScript-fel har upptäckts

Observera att dessa fel kan bero på din webbläsares inställningar.

Om problemet kvarstår, vänligen kontakta vår support.

Kontakta support Nära