DATABEHANDLERAVTALE
Sist oppdatert: 05.12.2022
Om avtalen
Avtalen inngås mellom Virksomheter (heretter kalt «Behandlingsansvarlig») som tilbyr Tjenester fra Assistert selvhjelp videre til tjenestemottakere (heretter kalt «Sluttbrukere»), og Assistert Selvhjelp AS (heretter kalt «Databehandler»).
Avtalen regulerer Databehandlers bruk av personopplysninger om Sluttbrukere på vegne av den Behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse, i forbindelse med bruk av tjenester levert av Databehandler.
Avtalen regulerer rettigheter og plikter mellom Behandlingsansvarlig og Databehandler etter personopplysningsloven (LOV-2018-06-15-38) og EUs personvernforordning (2016/679/EC av 27.april 2016, General Data Protection Regulation, heretter omtalt som personvernforordningen). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.
Ved motstrid mellom databehandleravtalens regulering og de rammer som følger av personvernforordningen eller annen relevant lovgivningen, viker avtalens regulering.
Omfang
Denne avtalen kommer til anvendelse på all behandling av Personopplysninger som Databehandler foretar på grunnlag av Assistert Selvhjelp på for internettassistert behandling/selvhjelp rettet mot psykisk helse (heretter omtalt som “tjeneste/oppdragsavtalen”). I tilfelle konflikt mellom denne avtalen og tjeneste/oppdragsavtalen, skal denne databehandleravtalen gjelde.
Tjenester som inngår i denne avtalen, er de tjenester som inngår i tjeneste/oppdragsavtalen og som innebærer behandling av personopplysninger.
Denne databehandleravtalen regulerer behandling av personopplysninger som gjøres på vegne av Behandlingsansvarlig for å sikre at all behandling av Personopplysninger i forbindelse med “tjeneste/oppdragsavtalen” skjer i henhold til gjeldende lovgivning om behandling av personopplysninger.
«Personopplysning» skal bety informasjon som kan knyttes til en enkeltperson, som definert i til enhver tid gjeldende personopplysningslovgivning.
«Behandling» av Personopplysninger, skal bety enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, som definert i til enhver tid gjeldende lovgivning.
Denne avtalen vil i tillegg gjelde for ytterligere behandling av personopplysninger basert på eventuelle skriftlige avtaler mellom partene som inngås i løpet av denne avtalens virksomhetsperiode og som innebærer at Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig (heretter omtalt som “senere skriftlige avtaler mellom partene”)
Personopplysninger skal kun benyttes til de formålene som følger av denne avtalen, tjeneste/oppdragsavtalen og senere skriftlige avtaler mellom partene i den utstrekning det er strengt nødvendig for å gjennomføre og imøtekomme kravene i avtalene.
Tema for behandlingen
De fleste Sluttbrukere får tilgang til Tjenestene fra Assistertselvhjelp.no. I et avgrenset pilotprosjekt får Sluttbrukere tilgang via Helsenorge.no. Prosjektdeltagere er forhåndsdefinert, og verken Sluttbruker eller Fagpersoner kan velge tilgangsmåte. De fleste rammebetingelsene er like, men de ulike betingelsene beskrives i avsnitt A og B nedenfor.
A Tilgang fra Assistertselvhjelp.no
Partene til denne Databehandleravtalen har inngått “tjeneste/oppdragsavtalen”:
Databehandleren skal Behandle Personopplysninger som Sluttbrukere registrerer i tjenesten med en anonymisert tilgangskode som tildeles av Behandlingsansvarlig:
Databehandler skal lagre data og gjøre dem tilgjengelig for Sluttbrukere ved innlogging med den anonymiserte tilgangskoden. Det er bare i den utstrekning at tredjepersoner gjøres kjent med tilleggsopplysninger som identifiserer Sluttbrukeren som benytter en anonymisert tilgangskode at dette er Personopplysninger (jfr. «pseudonnymisering»).
Behandlingsansvarlig vil ha tilgang på en rapportfunksjon hvor de, forutsatt samtykke fra Sluttbrukeren ved innlogging i Tjenesten, kan se registreringer og fremdrift i den anonymiserte tilgangskoden. Databehandler får ikke tilgang til Personopplysninger så lenge det kun benyttes anonymisert tilgangskode.
Behandlingens formål, kategorier av opplysninger og hvem er registrert
Disse opplysningene er angitt i vedlegg 1.
Rammene for databehandlers behandling av personopplysninger
Databehandleren skal bare behandle personopplysningene basert på dokumenterte instrukser fra den behandlingsansvarlige, med mindre det kreves i henhold til rettsregler som databehandleren er underlagt; i så fall skal databehandleren underrette den behandlingsansvarlige om nevnte rettslige krav før behandlingen, med mindre denne rett av hensyn til viktige allmenne interesser forbyr en slik underretning. Databehandleren skal til enhver tid kunne dokumentere Behandlingsansvarliges instrukser. Databehandler skal varsle Behandlingsansvarlig om instrukser og rutiner som innebærer brudd på gjeldende lovgivning om behandling av personopplysninger. Databehandleren vil benytte kontaktopplysninger som er oppgitt for Behandlingsansvarlig, og skal bruke kommunikasjonsform som er hensiktsmessig ut fra hastegrad.
Databehandler har ikke selvstendig råderett over personopplysningene, og kan ikke behandle disse til egne formål.
Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysninger som behandles hos databehandleren. Sluttbrukerens gjør registreringene i tjenesten med en anonymisert tilgangskode, og det er bare Behandlingsansvarlig som vil ha tilgang på tilleggsopplysninger som gjør det mulig å finne ut hvem som registrerer opplysninger i tilgangskodene.
Behandlingsansvarlig og Sluttbrukere vil ha tilgang de opplysningene som er registrert hos databehandler. Dersom Behandlingsansvarlig likevel ønsker innsyn og tilgang til opplysninger som er registrert hos Databehandler, må anmodning kun ta utgangspunkt i den anonymiserte tilgangskoden til den aktuelle Sluttbrukeren.
Sluttbruker kan påvirke behandlingen
Sluttbrukere kan bruke Tjenesten etter at behandlingsansvarlig har avsluttet tilbudet, og må aktivt ta stilling til om de vil endre tilgangskoden de har fått av Behandlingsansvarlig, og/eller trekke tilbake samtykke til å sine dele data forutsatt at dette er gitt. Sluttbruker kan også når som helst slette egne data. Dette beskrives for Sluttbrukere i Personvernerklæringen,
Dersom Sluttbrukeren kun trekker tilbake samtykke til å dele sine registreringer med Behandlingsansvarlig, uten å endre tilgangskode, vil det medføre at Behandlingsansvarlig mister tilgang på Sluttbrukerens registreringer i tjenesten. Dersom Sluttbrukeren i tillegg velger å endre tilgangskoden vil det medføre at de opprinnelige tilleggsopplysningene hos Behandlingsansvarlig ikke lenger vil kunne benyttes til å identifisere personen. Dette får som konsekvens at informasjonen ikke lenger utgjør personopplysninger, og følgelig at behandlingen av personopplysninger vil opphøre.
B Tilgang fra Helsenorge.no
Behandlingsansvarlig skal etterleve de forpliktelser som fremkommer av personopplysningsloven, personvernforordningen og annen særlovgivning, samt denne avtalen.
Behandlingsansvarlig bekrefter at Behandlingsansvarlig:
- har tilstrekkelig hjemmelsgrunnlag for Behandling av Personopplysninger
- har rett til å la Databehandler behandle Personopplysningene
- har ansvaret for nøyaktigheten, integriteten, innholdet, pålitelighet og lovligheten av Personopplysningene
- oppfyller gjeldende lovkrav om eventuell melding og konsesjon til aktuelle tilsynsmyndigheter
- har informert den som Personopplysningene gjelder i tråd med gjeldende lovgivning
Behandlingsansvarlig skal:
svare på henvendelser fra de registrerte om Behandling av Personopplysninger i henhold til denne Databehandleravtalen,
vurdere nødvendigheten av spesifikke tiltak som angitt i denne Databehandleravtalens pkt. 2.3.2 og 2.3.4, og bestille slike tiltak fra Databehandler.
Behandlingsansvarlig har plikt til å melde avvik til aktuelle tilsynsmyndigheter og eventuelt til de registrerte uten ugrunnet opphold i henhold til gjeldende lovgivning.
Databehandlers plikter
Generelt
Databehandler forplikter seg til å behandle personopplysninger kun i samsvar med relevant lov og regelverk, denne avtalen, tjeneste/oppdragsavtalen, Behandlingsansvarliges dokumenterte instruksjoner og andre gjeldende avtaler mellom partene. Databehandler skal ikke ved noen handling eller unnlatelse, sette behandlingsansvarlig i en slik situasjon at behandlingsansvarlig bryter noen bestemmelse i gjeldende lov og regelverk.
Databehandler skal:
- ha løpende kontroll på alle kategorier av behandlingsaktiviteter utført på vegne av behandlingsansvarlig.
- gi behandlingsansvarlig tilgang til og innsyn i personopplysninger som Behandles hos Databehandleren (jfr. «Rammene for databehandlers behandling av personopplysninger»).
- føre og vedlikeholde en oversikt over alle opplysninger og behandlinger eller dersom det er relevant, protokoll over sine egne behandlingsaktiviteter i henhold til personvernforordningen artikkel 30.
- treffe alle rimelige tiltak for å sikre at Personopplysningene til enhver tid er korrekt og oppdatert.
- etablere rutiner for å slette informasjon når den ikke lenger er nødvendig ut fra formålet med Behandlingen og slette informasjon i henhold til fastsatte rutiner og retningslinjer.
- ha rutiner for og teknisk mulighet til å begrense Behandlingen av den registrertes personopplysninger dersom den registrerte ønsker det med hjemmel i gjeldende lovgivning.
- påse at samtlige personer som gis tilgang til Personopplysninger som behandles på vegne av Behandlingsansvarlig er kjent med denne avtalen og gjeldende avtaler mellom partene, og er underlagt disse avtalenes bestemmelser.
- sikre at krav til innebygd personvern og personvern som standardinnstilling innfris i databehandlers løsninger dersom dette er relevant. Dette inkluderer å bygge inn funksjonalitet for å oppfylle personvernprinsipper samt funksjonalitet for å sikre den registrertes rettigheter.
- gi behandlingsansvarlig nødvendig bistand slik at behandlingsansvarlig skal kunne oppfylle sine forpliktelser overfor de registrerte.
- samarbeide med og bistå Behandlingsansvarlig ved oppfyllelse av de registrertes rettigheter knyttet til tilgang til opplysninger, herunder å svare på anmodninger fra den registrerte med henblikk på å utøve sine rettigheter fastsatt i personvernforordningen kapittel III
- omgående underrette den Behandlingsansvarlige dersom Databehandler mener at en instruks er i strid med personvernforordningen eller andre bestemmelser om vern av personopplysninger.
- bistå Behandlingsansvarlig for å sikre overholdelse av forpliktelsene i personvernforordningen artiklene 35-36 som omhandler vurdering av personvernkonsekvenser og forhåndsdrøftinger med Datatilsynet. Ved vurderinger av personvernkonsekvenser plikter Databehandler å vurdere sikkerhetstiltak som kan bidra til å redusere risikoen behandlingen medfører for de registrerte.
Databehandlerens bistand i forbindelse med ovennevnte skal gjøres kostnadsfritt.
Avvik og avviksmeldinger
Enhver bruk av informasjonssystemene og Personopplysninger i strid med etablerte rutiner, instrukser fra Behandlingsansvarlig eller gjeldende lovgivning om Behandling av Personopplysninger, så vel som sikkerhetsbrudd, skal behandles som avvik.
Databehandler skal ha rutiner og systematiske prosesser for å følge opp avvik, som skal inkludere reetablering av normaltilstanden, eliminasjon av årsaken til avviket, og hindre gjentagelse.
Databehandler skal umiddelbart og uten unødig opphold varsle Behandlingsansvarlig om ethvert brudd på denne Avtalen eller utilsiktet, ulovlig eller uautorisert tilgang, bruk eller utlevering av Personopplysninger, eller at Personopplysninger kan ha blitt kompromittert eller brudd på Personopplysningenes integritet. Databehandler skal gi Behandlingsansvarlig all informasjon nødvendig for å sette Behandlingsansvarlig i stand til å overholde gjeldende lovgivning om Behandling av Personopplysninger og sette Behandlingsansvarlig i stand til å besvare henvendelser fra datatilsynsmyndigheter. Databehandler vil dersom ikke annet er skriftlig avtalt bruke kontaktopplysninger som er oppgitt av Behandlingsansvarlig, og bruke kommunikasjonsform som er hensiktsmessig i forhold til hastegrad. Det er Behandlingsansvarlig sitt ansvar å melde avvik til Datatilsynet i henhold til gjeldende lovgivning.
Konfidensialitet
Databehandler har taushetsplikt om personopplysninger og annen konfidensiell informasjon, herunder, men ikke begrenset til, forretningshemmeligheter. Databehandler skal sikre at alle som utfører arbeid for Databehandler, enten ansatte eller innleide, som har tilgang til eller er involvert i Behandling av Personopplysninger etter Avtalen (i) er underlagt taushetsplikt og (ii) er informert om og overholder forpliktelsene etter denne Databehandleravtalen. Taushetsplikten gjelder også etter opphør av Avtalen.
Sikkerhetsrevisjoner
Databehandler vil foreta nødvendige sikkerhetsrevisjoner for systemer og lignende som er relevant for Behandlingen av Personopplysninger som omfattes av denne Databehandleravtalen. Behandlingsansvarlig skal ha tilgang til rapporter som dokumenterer sikkerhetsrevisjoner.
Databehandler gjør tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i personvernforordningen er oppfylt, samt muliggjør og bidrar til revisjoner, herunder inspeksjoner, som gjennomføres av den Behandlingsansvarlige eller en annen revisor på fullmakt fra den behandlingsansvarlige. Behandlingsansvarlig er innforstått med at Databehandler kan beregne seg en særskilt godtgjørelse for gjennomføringen av revisjonen.
Behandlingsansvarlig kan vise slik rapport til tilsynsmyndigheter og andre som har krav på å kjenne innholdet.
Tekniske, organisatoriske og sikkerhetsmessige tiltak
Databehandler plikter å treffe og gjennomføre alle nødvendige og adekvate planlagte og systematiske tekniske, organisatoriske og sikkerhetsmessige tiltak slik at det til enhver tid er tilfredsstillende informasjonssikkerhet ved Behandling av Personopplysninger.
Databehandleren skal:
- etablere og etterkomme nødvendige tekniske og organisatoriske tiltak med hensyn til vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet ved Behandling av Personopplysninger for å sikre tilfredsstillende informasjonssikkerhet i henhold til personvernforordningen artikkel 32.
- ha rutiner for autorisasjon og styring som sikrer at bare de av Databehandlers medarbeidere som har reelt behov for tilgang til systemer og opplysningene for å ivareta nødvendige oppgaver for gjennomføring av tjeneste/oppdragsavtalen får slik tilgang. Tilgangsnivået skal være i henhold til reelt behov knyttet til å gjennomføre oppdraget. Databehandler skal trekke tilbake tilganger dersom autorisasjonen utløper eller av andre grunner ikke lenger gjelder for personen.
- avdekke, registrere, rapportere og lukke avvik knyttet til informasjonssikkerhet, herunder loggføre og dokumentere ethvert forsøk på ikke-autorisert tilgang og andre brudd på personopplysningssikkerheten i datasystemene. Slik dokumentasjon skal oppbevares hos Databehandler.
- ved mistanke om eller konstatering av avvik, omgående varsle Behandlingsansvarlig. I varselet opplyses avviket med forklaring om årsak, tidsrom og tidspunktet avviket ble oppdaget, kategoriene av og omtrentlig antall registrerte som er berørt, kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt, navnet på og kontaktopplysningene til personvernombudet eller et annet kontaktpunkt der mer informasjon kan innhentes, antatte konsekvenser av avviket og hvilke umiddelbare tiltak som er igangsatt eller vurderes igangsatt for å håndtere avviket.
- omgående varsle Behandlingsansvarlig ved uautorisert utlevering av personopplysninger.
- registrere all autorisert og uautorisert tilgang til informasjon. Alle oppslag som gjøres skal registreres slik at de kan spores til den enkelte bruker (dvs. ansatte hos databehandler, underleverandører og behandlingsansvarlig). Loggene skal oppbevares til det ikke lenger antas å være bruk for dem eller i henhold til det tjeneste/oppdragsavtalen spesifiserer.
- bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene i personvernforordningen artiklene 32–34.
- varsle Behandlingsansvarlig om alle forhold som medfører endring i risikobildet.
Bruk av underleverandører
Behandlingsansvarlig tillater Databehandler å benytte underleverandører for oppfyllelse av forpliktelsene under Databehandleravtalen.
Behandlingsansvarlig gir Databehandleren generell tillatelse til bruk og endring av underdatabehandler for Behandling av Personopplysninger etter Avtalen. I tilfelle Databehandleren har planer om å benytte andre underdatabehandlere eller skifte ut underdatabehandlere, skal Databehandleren underrette den Behandlingsansvarlige skriftlig (herunder elektronisk) om planene og dermed gi den Behandlingsansvarlige muligheten til å motsette seg slike endringer.
Behandlingsansvarlig skal skriftlig (herunder elektronisk) motsette seg bytte av underdatabehandler senest 14 dager etter elektronisk meddelelse om mulig endring av underdatabehandler. Behandlingsansvarlig kan kun motsette seg bruk av underdatabehandleren dersom det er saklig begrunnet. Dersom databehandler ikke tar behandlingsansvarliges motforestillinger til følge, kan behandlingsansvarlig si opp Avtalen med tre måneders frist beregnet fra skriftlig (herunder elektronisk) meddelelse om oppsigelse.
Databehandler skal:
- sikre at underleverandørene påtar seg tilsvarende forpliktelser som Databehandler under denne avtalen og gjeldende lovgivning.
- holde en oppdatert liste over identiteten og stedlig plassering av underleverandører som angitt i Personvernerklæringen.
- på Behandlingsansvarliges forespørsel, legge frem dokumentasjon fra underleverandøren som underbygger at det er en seriøs og pålitelig leverandør, som kan tilfredsstille kravene til beskyttelse i GDPR.
- underrette Behandlingsansvarlig om eventuelle planer om å benytte andre underleverandører eller skifte ut underleverandører. Slike bytter skal varsles i god tid slik at Behandlingsansvarlig gis mulighet til å motsette seg endringen.
- sikre at Behandlingsansvarlig og tilsynsmyndighetene har samme rett til innsyn og kontroll med Behandling av Personopplysninger hos en underleverandør som Behandlingsansvarlig har overfor Databehandler etter denne databehandler avtalen.
- ved opphør av databehandleravtalen, sikre at underleverandører oppfyller plikten til å slette eller forsvarlig destruere alle personopplysninger og alle eventuelle kopier og sikkerhetskopier av opplysningene som framgår av denne avtalen på samme måte som Databehandler så langt det ikke strider mot andre lovbestemmelser.
Databehandler er til enhver tid fullt ut ansvarlig overfor Behandlingsansvarlig for alt arbeid som utføres av underleverandører og for underleverandørenes etterlevelse av bestemmelsene i denne avtalen.
Tilgang til personopplysninger for tredjeparter krever konkret avtale utover denne avtalen mellom partene for alle andre enn Databehandlers underleverandører.
Overføring av personopplysninger til utlandet
Hovedregelen er at ingen av personopplysningene som behandles under denne avtalen skal føres ut av Norge som følge av å bruke våre tjenester, og personopplysningene lagres på servere innenfor EU. Databehandler har følgende unntak som innebærer overføring til utlandet:
Det benyttes faste utviklere som har oppholdssted utenfor EU. Utviklerne har på lik linje med øvrig personell hos databehandleren ikke tilgang til tilleggsopplysninger som gjør det mulig å identifisere Sluttbrukere. De utformer løsninger for nettsidene, slik at Assistert Selvhjelps tjenester er enkle, oversiktlige og fungerer tilfredsstillende, herunder overholder kravene til personvern. Ved utforming og testing av løsningen vil utviklere ha behov for adgang til avidentifiserte opplysninger om Sluttbrukere eller Privatpersoner (pseudonymisering). For å ivareta sikkerhet og opprettholde drift vil de også kunne ha behov for å fjerne kryptering av IP-adresser midlertidig. IP-adressene er ikke koblet til annen data som registreres. Verken Assistert Selvhjelp eller våre utviklere har på noe tidspunkt tilgang på direkte identifiserbare personopplysninger i denne forbindelse.
Utviklerne må ha adgang til disse opplysningene for å kunne ivareta informasjonssikkerheten, opprettholde drift og lage en løsning som tilfredsstiller kravene i personopplysningsloven. Det gis hjemmel for dette i GDPR i seg selv, ved at det gir Databehandler mulighet til å «gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med» personopplysningsloven, jf. GDPR artikkel 6 nr. 1 bokstav c (rettslig plikt) og se GDPR artikkel 24 nr. 1 og 32.
Ved overføring av personopplysninger til land utenfor EU/EØS (tredjeland) benytter Databehandler godkjente overføringsgrunnlag.
Databehandler bekrefter at ingen andre underleverandører enn de som er angitt i Personvernerklæringen overfører personopplysninger som omfattes av denne avtalen til utlandet.
Taushetsplikt
Databehandlers ansatte og andre som opptrer på Databehandlers vegne i forbindelse med Behandling av personopplysninger i henhold til denne avtalen, tjeneste/oppdragsavtale og senere skriftlige avtaler mellom partene (heretter omtalt som «personer som er autorisert til å behandle personopplysningene»), er underlagt taushetsplikt etter denne avtalen og gjeldende regelverk.
Databehandler skal påse at alle som Behandler Personopplysninger under databehandleravtalen er kjent med taushetsplikten.
Ansatte og andre som opptrer på Databehandlers vegne i forbindelse med Behandling av Personopplysninger skal ha undertegnet taushetserklæring. Bestemmelsen gjelder tilsvarende for underleverandører.
Partene har i tillegg taushetsplikt om konfidensiell informasjon knyttet til hverandres virksomhet, som er formidlet i forbindelse med oppdraget.
Partene plikter å ta de forholdsregler som er nødvendige for å sikre at materiale eller opplysninger ikke blir gjort kjent for andre i strid med dette punktet.
Taushetsplikten gjelder også etter avtalens opphør.
Gjennomføring av innsyn, verifikasjon og revisjon
Behandlingsansvarlig skal gi Databehandler varsel i rimelig tid ved krav om innsyn og kontroll, vanligvis minst 30 dagers varsel. For krav om dokumentinnsyn bør det gis minst 14 dagers varsel. Behandlingsansvarlig skal medvirke til at innsyn og kontroll kan koordineres mellom flere Behandlingsansvarlige som får levert tjenester fra Databehandler. Innsyn og kontroll kan gjennomføres av Behandlingsansvarlig eller tredjepart som Behandlingsansvarlig utpeker. Databehandler kan kreve dekket dokumenterte merkostnader som påløper ved slike revisjoner.
Varighet og opphør
Denne databehandleravtalen gjelder fra inngåelse av Tjenesteavtalen og gjelder til avtalen og alle gjeldende avtaler mellom partene, som innebærer at Databehandler skal Behandle Personopplysninger på vegne av behandlingsansvarlig, er opphørt.
Ved brudd på denne avtale eller personopplysningsloven kan Behandlingsansvarlig pålegge Databehandler å stoppe den videre Behandlingen av opplysningene med øyeblikkelig virkning.
Avtalen kan sies opp skriftlig av begge parter med en gjensidig frist på 6 måneder.
Ved opphør av databehandleravtalen skal Databehandler slette opplysninger som databehandler har mottatt og behandlet på vegne av behandlingsansvarlig. Dette skjer gjennom at den koden som gir adgang til opplysningene endres, slik at informasjonen ikke lenger kan kobles til en fysisk person av den Behandlingsansvarlige eller en annen person.
Etter at alle opplysningene er overført til Behandlingsansvarlig og bekreftet mottatt av denne, skal Databehandler irreversibelt slette eller forsvarlig destruere alle opplysningene og alle eventuelle kopier og sikkerhetskopier av opplysningene i sine systemer, med mindre ufravikelige rettsregler krever at personopplysningene fortsatt lagres.
Benyttes delt infrastruktur der direkte sletting ikke er teknisk mulig skal Databehandler sørge for at data gjøres utilgjengelig inntil disse dataene er overskrevet av systemet.
Databehandlerens bistand i forbindelse med ovennevnte skal gjøres kostnadsfritt. Alle rutiner og sikring av informasjon skal være i funksjon helt til alle data er slettet eller destruert.
Databehandler skal gi Behandlingsansvarlig skriftlig bekreftelse på at opplysningene er overført og slettet som angitt over.
Overdragelse av rettigheter og plikter
Behandlingsansvarlig kan helt eller delvis overdra sine rettigheter og plikter etter avtalen til en annen virksomhet, som da er berettiget til tilsvarende vilkår. Databehandler kan kreve å få dekket eventuelle merutgifter som er forbundet med overdragelsen.
Databehandler kan overdra sine rettigheter og plikter etter avtalen med skriftlig samtykke fra Behandlingsansvarlig. Slikt samtykke kan ikke nektes uten saklig grunn. Rett til vederlag etter avtalen kan fritt overdras, men overføring fritar ikke Databehandler fra ivaretakelse av plikter og ansvar etter denne avtale.
Mislighold
Dersom en av partene ikke oppfyller sine plikter etter denne avtalen og dette ikke skyldes forhold som den andre parten har ansvaret eller risikoen for, kan den krenkede part påberope seg mislighold. Dette skal dette meddeles den andre parten skriftlig uten ugrunnet opphold.
Ved mislighold kan den krenkede part holde tilbake sin motytelse, men ikke åpenbart mer enn det som synes påkrevd for å avhjelpe virkningene av misligholdet, og bare inntil forholdet er brakt i overensstemmelse med avtalen.
Hvis det foreligger vesentlig mislighold, kan den andre parten – etter å ha gitt skriftlig varsel og rimelig frist til å bringe forholdet i orden – heve hele eller deler av avtalen med øyeblikkelig virkning og kreve erstatning for eventuelle tap dette har medført. Samlet erstatning pr. kalenderår er begrenset til et beløp som tilsvarer Avtalens samlede årlige vederlag ekskl. merverdiavgift.
Erstatning for indirekte tap kan ikke kreves. Indirekte tap omfatter, men er ikke begrenset til, tapt fortjeneste av enhver art og tapte besparelser.
Meddelelser og kontakt
Meddelelser, underretting, varsel eller annen kommunikasjon mellom Behandlingsansvarlig og Databehandler skal gis skriftlig, eller bekreftes skriftlig til epostadressene som partene har oppgitt ved avtaleinngåelse.
VEDLEGG 1 – FORMÅL OG KATEGORIER
Formålet med og varigheten av behandling av personopplysninger, hvilke personopplysninger som behandles, kategorier av de registrerte og behandlingens art er beskrevet nedenfor.
Hensikten er at dataene danner grunnlaget for de protokoller over behandlinger som både behandlingsansvarlig og databehandler er bundet til å opprette og holde oversikt over.
Formål med behandlingen:
| Personaladministrasjon | |
| Helsetjenester | |
| Kameraovervåkning | |
| Lovpålagte oppgaver | |
| Inkasso | |
| Kundebehandling | |
| Leverandørhåndtering | |
| Annet (vennligst spesifiser): |
Formålet er å gi Fagpersoner hos behandlingsansvarlig innsikt i Sluttbrukerens registreringer, og dermed kunne gi effektiv oppfølging av Sluttbrukere som benytter Tjenesten. I praksis vil det handle om at Fagpersoner i perioden Sluttbrukeren benytter tjenesten under aktiv oppfølging kan:
følge fremdrift og bruk hos den som veiledes i forkant av avtaler
tilpasse arbeidsmengde mellom oppfølgingstimer best mulig
ha et bedre grunnlag for å vurdere nytteverdi og effekt
Personopplysningene som behandles gjelder følgende kategorier av registrerte tilknyttet behandlingsansvarlig:
| Ansatte | |
| Barn | |
| Samarbeidspartnere/næringsdrivende | |
| Innbyggere | |
| Elever | |
| Flyktninger | |
| Pasienter | |
| Pårørende | |
| Leverandører | |
| Nettstedsbesøkende | |
| Andre (vennligst spesifiser): |
Kategorier av personopplysninger:
| Kontaktinformasjon – navn, telefonnummer, e-post, bostedsadresse, personnr./fødselsnr., osv. | |
| Særlige kategorier av personopplysninger. Se nedenfor. | |
| Arbeidsrelatert informasjon – stilling/rolle, organisasjon, bedrift, telefonnummer, e-post, arbeidssted, arbeidshistorikk, osv. | |
| Overvåkning/overvåkningsdata – logger fra adgangskontroll (fysiske og logiske), osv. | |
| Betalingsinformasjon – finansielle transaksjoner, mottakere, kontonummer, beløp, dato, tid, sted for kjøp, osv. | |
| Betalingskortinformasjon – kredittkortnummer, utløpsdato, CCV-nummer annen kortholder informasjon, osv. | |
| Annet, vennligst spesifiser under: |
Opplysningene som lagres dreier seg om de registreringer som gjøres i Tjenesten etter innlogging med den unike koden. Eksempler på opplysninger som lagres:
- Standardiserte svar/svarkategorier relatert til spørsmål og oppgaver om atferd, emosjoner, tanker og opplevelse av ulike situasjoner
- Hvilket innhold som er gjennomgått
- Oversikt over scoringer på kartleggingsverktøy, for eksempel kartlegging av symptomer på angst og depresjon
- Automatisk informasjon om dato/klokkeslett for innlogging, og tidsbruk
- Klikkstrøm-data, type operativsystem og nettleser og andre brukeropplysninger som en er en del av tjenesteanalysen
- Evaluering og tilbakemeldinger knyttet til bruk av Tjenestene
Personvernlovgivningen gjelder ikke for anonymiserte opplysninger. Opplysningene er anonyme hvis det ikke er mulig, med de hjelpemidlene som med rimelighet kan tenkes å ha blitt brukt, å identifisere enkeltpersoner i datasettet. Det er bare i den utstrekning at tredjepersoner har tilgang på tilleggsopplysninger som gjør det mulig å identifisere person, at dette er personopplysninger. For å oppnå dette må den anonymiserte tilgangskoden kobles aktivt og intensjonelt til andre personopplysninger hos Behandlingsansvarlig i forbindelse med utlevering av en tilgangskode.
Særlige kategorier av personopplysninger (sensitive):
| Rasemessig eller etnisk opprinnelse | |
| Politiske meninger | |
| Religiøs eller filosofisk overbevisning | |
| Fagforeningsmedlemskap | |
| Genetiske data med det formål entydig å identifisere en fysisk person | |
| Biometriske data med det formål entydig å identifisere en fysisk person | |
| Helseopplysninger | |
| Opplysninger om en fysisk person seksuelle forhold eller legning | |
| Opplysninger om straffedommer | |
| Opplysninger om lovovertredelser |
Spesielle sikkerhetsbehov.
Avkrysning på noen av de følgende spørsmålene vil innebære at det må inngås en avtale om økt sikkerhet. En behandling av sensitive personopplysninger vil resultere i spesielle behov for sikkerhet på minst ett av områdene under. Dette må gjenspeiles i hovedavtalen.
| Særlig behov for konfidensialitet | |
| Særlig behov for integritet | |
| Særlig behov for tilgjengelighet | |
| Særlig behov for personvernfremmede teknologier (for eks. innebygd personvern) |
Behandlingsaktiviteter (Hva skal databehandler gjøre med personopplysningene?):
| Innsamling | |
| Registrering | |
| Lagring | |
| Strukturering | |
| Organisering | |
| Tilpasning eller endring | |
| Gjenfinning | |
| Sammenstilling | |
| Utlevering | |
| Sletting eller tilintetgjøring | |
| Annet, vennligst spesifiser under: |
VEDLEGG 2 – DETALJERTE KRAV TIL INFORMASJONSSIKKERHET
Databehandler har en selvstendig plikt til å gjennomføre egnede sikkerhetstiltak etter artikkel 32.
Plikt til å sikre informasjonssikkerhet
Databehandler skal ved planlagte, systematiske, organisatoriske og tekniske tiltak sikre tilstrekkelig informasjonssikkerhet med hensyn til konfidensialitet, integritet, og tilgjengelighet i forbindelse med Behandling av Personopplysninger i samsvar med bestemmelser om informasjonssikkerhet i gjeldende lovgivning om Behandling av Personopplysninger.
Sluttbrukertilgang
Tjenesten bygges opp slik at det i utgangspunktet ikke inneholder personsensitiv informasjon. Dette innebærer blant annet at tjenesten ikke inneholder spørsmål som kan identifisere en person og at den som bruker tjenesten vil bli anonymisert:
Det brukes et system for anonymisering og pseudonymiesring med unike koder for å logge bruk og/eller gi brukere tilgang til systemet. Ingen data som kan identifisere Sluttbrukeren direkte lagres i databasen, dette gjelder også IP-adresser. Det eneste som knytter en person til en individuelt tilpasset tjeneste er en kode bestående av tall og bokstaver som Behandlingsansvarlig oppretter på vegne av Sluttbrukeren. Databehandler kan ikke finne ut hvem som har brukt programmene basert på de registrerte opplysningene.
Vurdering av tiltak
I vurderingen av hvilke tekniske og organisatoriske tiltak som skal implementeres, skal Databehandler i samråd med Behandlingsansvarlig ta i betraktning:
- beste praksis,
- kostnaden ved implementering,
- karakteren og omfanget av behandlingen,
- konteksten og formålet med behandlingen,
- alvorlighet av den risiko behandlingen av personopplysninger medfører for den registrertes rettigheter.
Databehandler skal, i samråd med Behandlingsansvarlig, vurdere:
- Implementering av pseudonymisering og kryptering av Personopplysninger
- Evnen til å sikre løpende konfidensialitet, integritet, tilgjengelighet og robustheten til systemer for behandling og tjenester
- Evnen til å gjenopprette tilgjengelighet og tilgang til personopplysninger til rett tid i tilfelle fysiske eller tekniske hendelser
- En prosess for jevnlig testing, vurdering og evaluering av effektiviteten til tekniske og organisatoriske tiltak for sikkerheten til Behandlingen
Henvendelser fra de registrerte
Tatt i betraktning arten av Behandlingen, skal Databehandler implementere tekniske og organisatoriske tiltak for å bistå Behandlingsansvarlig med å svare på henvendelser angående utøvelse av de registrertes rettighet
Bistand til Behandlingsansvarlig
Databehandler skal gi bistand slik at Behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift, herunder bistå Behandlingsansvarlig med å:
- Implementere tekniske og organisatoriske tiltak som nevnt over,
- overholde varslingsplikt til tilsynsmyndigheter og registrerte personer som følge av avvik,
- utføre vurdering av personvernkonsekvenser («data privacy impact assessments»),
- utføre forutgående drøftelser med tilsynsmyndigheter når en vurdering av personvernkonsekvenser gjør det nødvendig
- varsle Behandlingsansvarlig dersom Databehandler mener at en instruks fra Behandlingsansvarlig er i strid med gjeldende personvernregelverk.
Bistand som nevnt over, skal utføres i den utstrekning det er nødvendig ut fra Behandlingsansvarlig sitt behov, karakteren av behandlingen og informasjonen tilgjengelig for Databehandler.
Kompensasjon
Bistand fra Databehandler som fastsatt i denne Databehandleravtalen, samt bistand i forbindelse med særskilte rutiner og instrukser pålagt av Behandlingsansvarlig, skal kompenseres av Behandlingsansvarlig i samsvar med Databehandlers vanlige betingelser og timesatser.