DETTA DOKUMENT BESTÅR AV FÖLJANDE BILAGOR:
BILAGA A – INFORMATION OM BEHANDLINGEN
BILAGA B – VILLKOR FÖR DATABEHANDLARENS ANVÄNDNING AV UNDERLEVERANTÖRER
BILAGA C – INSTUKTIONER FÖR BEHANDLING AV PERSONUPPGIFTER
BILAGA D – ÄNDRINGAR AV DATABEHANDLARAVTALETS STANDARDTEXT OCH ÄNDRINGAR EFTER AVTALETS INGÅENDE
A. INFORMATION OM BEHANDLINGEN
A.1 Huvudavtalen och syftet med behandlingen av personuppgifter
Databehandlerens behandling av personuppgifter på vegne av den Behandlingsansvarlige er knyttet til å levere tjenester som beskrevet i Hovedavtalen.
Med Hovedavtalen menes følgende avtale(r) inngått mellom partene:
Avtalet avser SSA-V lille för leverans och drift av identitets- och åtkomsthantering –
eFeide – och har ingåtts mellan Identum AS och kundens namn samt datum.
Behandlingen har följande ändamål:
Leveranse av eFeide for drift og vedlikehold av Feidekatalog for Kundenavn.
A.2 Databehandlarens behandling av personuppgifter på uppdrag av den personuppgiftsansvarige
Databehandlerens behandling av personuppgifter på vegne av den Behandlingsansvarlige omhandler (karakteren av behandlingen):
De uppgifter som samlas in och lagras i eFeide ska säkerställa att elever och lärare får rätt inloggning och rätt
åtkomst samt förhindra att personuppgifter hamnar i orätta händer.
● Den typ av information som lagras i eFeide är:
● Namn
● Kontaktuppgifter: telefon, e-post, adress
● Personnummer
● Identifiering kopplad till person och konto: användarnamn, användar-ID
● Organisationsanknytning och roller i organisationen: lärare, elev, administratör
● Grupptillhörighet: klass, ämne, kurs
● Användarprofil
● Vilka Feide-tjänster slutanvändaren har använt
● Rättigheter kopplade till rollen som administratör
● Data om aktivitet och användning: Vem som har loggat in på lösningen, vem som har
ändrat lösenord och när lösenordet har ändrats.
● Vem uppgifterna i lösningen avser: elever och lärare, kontaktpersoner inom
organisationen
● Vilken tidsperiod behandlingen omfattar: gäller så länge en person är knuten till
organisationen eller tills avtalet upphör.
Skriv av personuppgifter
Behandlingen omfattar följande typer av personuppgifter om de registrerade (flera val möjliga):
☐ Særlige kategorier av personopplysninger i henhold til GDPR artikkel 9 (1):
<Angi type, f.eks. helseopplysninger, rasemessig eller etnisk opprinnelse eller fagforeningstilhørighet>
☒ Andre opplysninger med særlig behov for beskyttelse:
<Angi type, f.eks. fødselsnummer, opplysninger om økonomi, prestasjonsvurderinger i ansettelsesforhold osv.>
☒ Andre personopplysninger:
<Angi type, f.eks. navn og kontaktinformasjon, utdanning, kommunikasjonspreferanser osv.>
A.3 Kategorier av registrerade
Behandlingen omfattar följande kategorier av registrerade:
Behandlingen omfattar alla elever och anställda vid kommunens skolor.
A.4 Behandlingens varaktighet
Personuppgiftsbiträdets behandling av personuppgifter enligt huvudavtalet kan påbörjas när avtalet om personuppgiftsbiträde har trätt i kraft. Behandlingen har följande varaktighet (välj ett alternativ):
☒ Behandlingen er ikke tidsbegrenset, og varer frem til opphør av Hovedavtalen.
☐ Behandlingen er tidsbegrenset, og gjelder frem til <angi dato eller kriterium for avslutning, eksempelvis avslutningen av et prosjekt. Merk at behandlingen normalt ikke kan avslutte før Hovedavtalen utløper>.
Vid upphörande (av avtalet eller en behandling) ska personuppgifter återlämnas och raderas i enlighet med punkt 12 i personuppgiftsbehandlaravtalet och anvisningarna i bilaga C.
personuppgiftsbehandlarens användning av underleverantörer.
B. Villkor för databehandlarens användning och byte av eventuella underdatabehandlare
B.1 Den personuppgiftsansvariges godkännande av användning av underleverantörer
Genom ingåendet av databehandlaravtalet godkänner den personuppgiftsansvarige användningen av de underleverantörer som anges i punkt B.2. Observera att även moder-, syster- och dotterbolag till databehandlaren räknas som underleverantörer om de bidrar till leveransen och behandlar personuppgifter.
För ändringar i användning av Underdatabehandlere är det i tillegg avtalt følgende:
☒ Databehandlaren får anlita underdatabehandlare som ingår i samma koncern (moder-, syster- eller dotterbolag) och som är etablerade i ett land inom EES-området. Databehandlaren ska i förväg informera den personuppgiftsansvarige om användningen av sådana underdatabehandlare. (Detta alternativ kan kombineras med något av de andra alternativen.)
☒ Databehandlaren kan genomföra ändringar i användningen av underdatabehandlare förutsatt att den personuppgiftsansvarige underrättas och ges möjlighet att motsätta sig ändringarna. En sådan underrättelse ska ha mottagits av den personuppgiftsansvarige senast 1 månad innan ändringen träder i kraft, om inte annat skriftligen avtalats mellan parterna. Observera att ändringar som medför överföring av personuppgifter till länder utanför EES-området (tredjeländer) i alla fall kräver skriftligt godkännande enligt punkt 10 i databehandlaravtalet.
Om den personuppgiftsansvarige motsätter sig ändringen ska personuppgiftsbiträdet underrättas så snart som möjligt. Den personuppgiftsansvarige får inte motsätta sig ändringen utan saklig grund.
☐ Databehandlaren får endast genomföra ändringar i användningen av underdatabehandlare efter specifikt och förhandsgodkännande i skriftlig form från den personuppgiftsansvarige. Underdatabehandlaren får inte behandla personuppgifter enligt huvudavtalet innan sådant godkännande har givits. Godkännande får inte nekas utan saklig grund.
B.2 Godkända underleverantörer
Den Behandlingsansvarlige har godkänt bruk av följande Underdatabehandlere:
Namn Org.nr. Adress Beskrivning av behandlingen Behandlingsplats Kontaktuppgifter Särskilda kategorier av personuppgifter
Microsoft Norge AS 957 485 030 Dronning Eufemias gate 71, 0194 Oslo Drift av server via Microsoft Azure-portalen Alla uppgifter lagras i Norge.
Databehandlaren kan inte använda den enkelte Underdatabehandlaren till en annan behandling än avtalt eller la en annen Underdatabehandler utføre den beskrevne behandlingen i andre tilfeller enn det som følger av Bilag B, punkt B.1 om skifte av Underdatabehandler.
C. ANVISNINGAR OM BEHANDLING AV PERSONUPPGIFTER
C.1 Behandlingens omfattning och syfte
Personuppgifterna får endast behandlas i den utsträckning och för de ändamål som beskrivs i
● Huvudavtalet
● Databehandlaravtalet med bilagor
Databehandler har inte råderett över personupplysningarna utover det som er nødvendig for å oppfylle sine plikter etter Databehandleravtalen, og kan ikke behandle disse til egne formål.
C.2 Säkerhet vid behandlingen
C.2.1 Angivande av säkerhetsnivå
Ut från en vurdering av omfanget av personopplysninger som blir behandlet, typen opplysninger og karakteren av behandlingen er det basert på en konkret risikovurdering fastsatt at behandlingen (velg ett alternativ):
☒ Kräver en hög säkerhetsnivå. Motivering:
Behandlingen omfattar utstrakt behandling av personuppgifter.
☐ Kräver inte någon hög säkerhetsnivå. Motivering:
C.2.2 Styrsystem för informationssäkerhet
Databehandlaren ska ha ett lämpligt styrsystem för informationssäkerhet. Databehandlaren ska etablera och förvalta tilstrekkelige sikkerhetstiltak for å ivareta informasjonssikkerheten for behandling av personopplysningene, herunder (flere valg mulig):
☐ Sikkerhetskrav som beskrevet i Hovedavtalen: Jf. pkt 7. i hovedavtalen
☒ Sikkerhetskrav som beskrevet nedenfor: <Sett inn beskrivelse av relevante sikkerhetskrav>
Forhindre uautorisert utlevering, modifisering, fjerning eller ødeleggelse av informasjon, herunder:
o Autentisering
o Tilgangsstyring fysisk og systemteknisk
o Logging og sporing
o Kryptering
o Fysisk sikring av områder og utstyr
o Sikkerhetskopi
● Fjernaksess og mobilt utstyr
● Sikkerhetsarkitektur, Nettverksarkitektur og sikker sone
● Overvåkning og avdekking av sikkerhetsbrudd og hendelser
● Rutiner og prosedyrer for å overholde krav til personvern og informasjonssikkerhet i organisasjonen
C.3 Dokumentation
Databehandlaren ska dokumentera de rutiner och åtgärder som vidtagits för att uppfylla kraven i gällande dataskyddsbestämmelser och databehandlaravtalet, inklusive kraven på informationssäkerhet. Sådan dokumentation ska bevaras och hållas uppdaterad så länge databehandlaravtalet gäller, och göras tillgänglig för den personuppgiftsansvarige eller tillsynsmyndigheter på begäran.
C.4 Överföring av personuppgifter – Plats för behandling och åtkomst
Behandlingen av de personuppgifter som avtalet omfattar får inte, utan den personuppgiftsansvariges föregående skriftliga godkännande, utföras på eller med åtkomst från andra platser än de som anges i bilaga B.2. Med plats avses:
• Plats där personuppgifterna kan hämtas (åtkomst)
• Plats där personuppgifterna behandlas
• Plats där personuppgifterna lagras
Begränsningen ovenfor gjelder ikke Databehandlerens mor-, søster- og datterselskaper som er etablert innenfor EØS-området. Databehandlaren ska emellertid på begäran från den Behandlingsansvarlige redegjøre for hvor personopplysningene til enhver tid behandles.
C.5 Rutiner för revision och tillsyn
För att kontrollera efterlevnaden av Gjeldende personvernregler och Databehandleravtalen är det avtalt följande (flere valg mulig):
☐ Den personuppgiftsansvarige har rätt att genomföra revisioner på personuppgiftsbehandlarens verksamhetsställe för att kontrollera att personuppgiftsbehandlaren fullgör sina skyldigheter enligt detta personuppgiftsbehandlaravtal eller gällande dataskyddsbestämmelser.
Slike revisjoner skal:
● Genomförs efter rimligt förhandsmeddelande och högst en gång per år, såvida inte säkerhetsöverträdelser hos databehandlaren eller andra särskilda omständigheter motiverar oftare revisioner;
● Ska ske inom normal arbetstid och inte i onödan störa databehandlarens verksamhet;
● Utföras av anställda hos den personuppgiftsansvarige eller av tredje part som godkänts av parterna och som är bundna av tystnadsplikt.
Databehandler plikter å stille til rådighet de ressurser som med rimelighet kan kreves for å gjennomføre revisjonen.
Den personuppgiftsansvarige ska stå för kostnaderna för eventuella tredje parter som anlitas för att genomföra granskningen. I övrigt ska parterna själva stå för sina egna kostnader i samband med genomförandet av granskningen. Om revisionen avslöjar väsentliga överträdelser av skyldigheterna enligt gällande integritetsregler eller databehandlaravtalet, ska databehandlaren ändå täcka den personuppgiftsansvariges rimliga kostnader för revisionen.
☒ Databehandlaren ska anlita en extern revisor för att intyga att säkerhetsåtgärder har införts och fungerar enligt avsikten. En sådan revision ska:
i. genomföras en gång per år,
ii. utföras i enlighet med erkända intygandestandarder, till exempel ISAE 3402.
iii. utföras av en oberoende tredje part med tillräcklig kunskap och erfarenhet
Rapportene ska fremlegges for Behandlingsansvarlig på forespørsel.
Databehandler skal i tillegg gi slik informasjon og bistand som er nødvendig for at Behandlingsansvarlig kan etterleve sine forpliktelser etter Gjeldende personvernregelverk.
☐ For standardiserte tredjepartstjenester som leveres av Underdatabehandler kan det fremlegges tredjepartsrevisjon forutsatt at revisjonen er gjennomført etter alminnelig anerkjente prinsipper og av sertifisert revisor.
☐ <Sett inn eventuelle andre avtalte rutiner for revisjon, herunder eventuelle særskilte eller avvikende rutiner for revisjon hos Underdatabehandlere>
C.6 Radering och återlämnande av personuppgifter vid avtalets upphörande
Partene har avtalt följande om sletting/tilbakelevering av personopplysninger (velg ett alternativ):
☒ Alla personuppgifter som behandlas inom ramen för detta uppdrag avseende personuppgifter ska raderas utan onödigt dröjsmål och senast inom 90 kalenderdagar efter det att huvudavtalet har upphört att gälla. Detsamma gäller eventuell annan relevant information som hanteras på uppdrag av den personuppgiftsansvarige.
☐ Alla personuppgifter som behandlas enligt detta databehandlaravtal, samt eventuell annan relevant information som förvaltas på uppdrag av den personuppgiftsansvarige, ska återlämnas vid huvudavtalets upphörande.
Etter tilbakelevering er skjedd, plikter Databehandler å slette alle personopplysninger og annen relevant informasjon som forvaltes på vegne av Behandlingsansvarlig innen 30 kalenderdager.
Tilbakelevering ska ske på följande sätt:
<Angi hvordan og hvilket format som skal benyttes for tilbakelevering>
☐ <Sett inn eventuelle andre avtalte rutiner for sletting eller tilbakelevering>
C.7 Sektorspesifikke bestemmelser om behandling av personopplysninger
<Sett inn eventuelle sektorspesifikke bestemmelser om behandling av personopplysninger som skal omfattes av begrepet "Gjeldende personvernregler", se databehandleravtalen punkt 2.>
C.8 Kontaktuppgifter
Vid henvendelser i henhold til denne avtalen, eksempelvis ved varsling om brudd på personopplysningssikkerheten eller endring i bruk av underdatabehandlere, skal følgende kanaler benyttes:
Hos leverantören
Dataintrång:
Telefon: +47 924 38 853
E-post: support@identum.no
Övriga kontakter:
Namn: Stein Mjåtveit
Befattning: VP of Business Development
Telefon: +47 901 901 32
E-post: stein@identum.no
D. ÄNDRINGAR AV STANDARDTEXTEN I DATABEHANDLARAVTALET SAMT ÄNDRINGAR EFTER ATT AVTALET INGÅTTS