Bilag 4. Databehandlings- og tilslutningsaftale

Transkript

1 Bilag 4 Databehandlings- og tilslutningsaftale

2 DATABEHANDLINGS- OG TILSLUTNINGSAFTALE - BROWSERBASERET ADGANG TIL ARBEJDSMARKEDSPORTALEN MELLEM GLADSAXE KOMMUNE OG [NAVN PÅ ANDEN AKTØR]

3 INDHOLDSFORTEGNELSE 1 Anvendelsesområde og omfang III 2 Anden Aktør som databehandler IV 3 Anden Aktørs brug af EDB-servicebureauer og andre underleverandører VI 4 Tilslutning til Arbejdsmarkedsportalen VI 5 Aftalens ikrafttræden og varighed VII 6 Bilag VIII 7 Aftalens underskrift IX

4 Der er dags dato indgået følgende DATABEHANDLINGS- OG TILSLUTNINGSAFTALE - BROWSERBASERET ADGANG TIL ARBEJDSMARKEDSPORTALEN mellem Gladsaxe Kommune Jobcenter Gladsaxe Gladsaxevej Søborg (herefter benævnt Kommunen ) og Navn Adresse Adresse CVR. nr.: (herefter benævnt Anden Aktør ) (hver for sig benævnt Part, eller samlet Parter eller Parterne, alt efter sammenhængen) 1. Anvendelsesområde og omfang 1.1 Denne aftale (herefter Aftalen) udgør et tillæg til rammekontrakten af [dato] mellem Beskæftigelsesregionen og Anden Aktør om dennes varetagelse af opgaver som anden aktør, jf. lov om en aktiv beskæftigelsesindsats og bekendtgørelse om andre aktører m.fl., vedlagt i uddrag som bilag 1. Aftalen finder anvendelse på alle rammekontrakter, der er indgået eller fremover indgås mellem Anden Aktør og Beskæftigelsesregion [Navn på regionen]. Aftalen kan dog alene finde anvendelse indtil kommunen og anden aktør ikke længere anvender Arbejdsmarkedsportalen Aftalen er en databehandlingsaftale, jf. Persondatalovens 42, stk. 2, og vedrører herudover Anden Aktørs tilslutning til Arbejdsmarkedsportalen. 1.3 Aftalens bestemmelser om databehandling gælder ikke alene for data behandlet i den browserbaserede del af Arbejdsmarkedsportalen, men også i forhold til 1 Kommunen skal på dette tidspunkt indgå en ny databehandleraftale, jf. 32 i lov om ansvaret for og styringen af den aktive beskæftigelsesindsats.

5 behandling af data i webservices, som eventuelt stilles til rådighed af Arbejdsmarkedsstyrelsen. 2. Anden Aktør som databehandler 2.1 Dataansvaret for data i Arbejdsmarkedsportalen er fastlagt i 6, stk. 3, i Bekendtgørelse nr. 746 af 10. juli 2009 om det fælles datagrundlag i forbindelse med den virksomhedsrettede del af beskæftigelsesindsatsen. Det fremgår bl.a. heraf, at de enkelte kommuner hver for sig er dataansvarlige i relation til andre aktører som databehandler, jf. 32 og 58, stk. 7, i lov om ansvaret for og styringen af den aktive beskæftigelsesindsats. 2.2 I relation til Anden Aktørs behandling af oplysninger om ledige er Anden Aktør således i Persondatalovens forstand databehandler, mens Kommunen er dataansvarlig. Det indebærer, at Anden Aktør alene må handle efter instruks fra Kommunen, der således afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger. 2.3 Anden Aktør er, uanset rollen som databehandler, direkte og umiddelbart ansvarlig for overholdelse af Persondataloven, og overtrædelse heraf kan straffes med bøde eller fængsel i op til 4 måneder, jf. Persondatalovens 70, ligesom Anden Aktør kan ifalde erstatningsansvar. 2.4 Anden Aktør behandler som led i sin varetagelse af opgaver i beskæftigelsesindsatsen en række personoplysninger af både følsom og ikke-følsom karakter, jf. bilag 2. Sådanne personoplysninger må alene behandles til formål, som er nødvendige for Anden Aktørs gennemførelse af en aftalt beskæftigelsesindsats i henhold til lov om en aktiv beskæftigelsesindsats og lov om ansvaret for og styringen af den aktive beskæftigelsesindsats, jf. lbk. nr af 14. decemmber 2009 og jf. lov nr. 522 af 24. juni 2005 med senere ændringer. 2.5 Anden Aktør skal overholde de til enhver tid gældende regler i lov om behandling af personoplysninger ( Persondataloven ) med tilhørende bekendtgørelser, herunder bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001 ( Sikkerhedsbekendtgørelsen ), jf. bilag 3. Det indebærer bl.a., at Anden Aktør har pligt til at iværksætte og opretholde de samme organisatoriske, administrative og it-mæssige foranstaltninger, som gælder for Kommunen, til sikring af, at oplysninger ikke hændeligt eller ulovligt tilintetgøres, fortabes, forringes, kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med lovens krav. Endvidere må kun de personer, som autoriseres hertil, have adgang til de personoplysninger, der behandles, og brugere må ikke autoriseres til anvendelser, de ikke har behov for i forhold til deres jobfunktion.

6 2.6 Bilag 2 og 4 indeholder nærmere instrukser for Anden Aktørs behandling af personoplysninger, som Anden Aktør ved indgåelsen af denne Aftale forpligter sig til at overholde. Anden Aktør skal udarbejde en intern instruks om behandling af personoplysninger for de ansatte, der har adgang til Arbejdsmarkedsportalen eller på anden måde varetager behandling af personoplysninger. Anden Aktør indestår for, at instruksen udleveres til og efterleves af alle Anden Aktørs ansatte. 2.7 Nærværende Aftale er ikke udtømmende. Den fritager således ikke Anden Aktør fra at iværksætte og opretholde sådanne eventuelle yderligere tiltag, som pålægges af Kommunen, og/eller som måtte være nødvendige for at leve op til gældende lovgivning. 2.8 Anden Aktør må kun behandle de i denne Aftale beskrevne personoplysninger, så længe det er nødvendigt, for at denne kan opfylde sine forpligtelser som anden aktør i medfør af den i punkt 1.1 nævnte lovgivning. 2.9 Anden Aktør er tillige underlagt forvaltningslovens regler om tavshedspligt, jf. den i punkt 1.1 nævnte bekendtgørelse. Alle persondata, herunder ikkefølsomme personoplysninger, som Anden Aktør får adgang til, er fortrolige. Anden Aktør må således ikke videregive personoplysninger til tredjemand, medmindre det sker som led i opfyldelse af myndigheds- eller lovkrav I det omfang, hvor det er nødvendigt for Anden Aktør at registrere følsomme personoplysninger efter 7 og 8 i Persondataloven, kan det alene ske i Arbejdsmarkedsportalen (visitationsværktøjet), herunder når det følger af notatpligten i henhold til Offentlighedslovens 6 og almindelig god forvaltningsskik Oplysninger, der er uploadet til Anden Aktørs egne systemer, herunder til systemer hos Anden Aktørs eventuelle eksterne databehandler, skal slettes senest 3 måneder efter det tidspunkt, hvor oplysningen ikke længere er tilgængelig i Arbejdsmarkedsportalen, bortset fra data, som er nødvendige for at opfylde lovgivningsmæssige krav vedrørende regnskabsaflæggelse, revision eller dokumentation af sagsforløb i henhold til forvaltningsloven, idet sådanne data skal slettes 5 år efter det ovenfor anførte tidspunkt. Data i egne systemer skal i øvrigt slettes efterhånden, som de pågældende data ikke længere er nødvendige for Anden Aktørs varetagelse af sine opgaver Opkobling på Arbejdsmarkedsportalen og anden behandling af persondata må ikke ske ved anvendelse af hjemmearbejdspladser eller fra lokaler, som Anden Aktør ikke fast driver sin virksomhed fra, jf. bilag 8.

7 3. Anden Aktørs brug af EDB-servicebureauer og andre underleverandører 3.1 Brug af EDB-servicebureau: Anden Aktør er berettiget til uden Kommunens forudgående skriftlige godkendelse at overlade persondata til et eksternt EDBservicebureau, som opbevarer oplysninger på den Anden Aktørs vegne. Anden Aktør og EDB-servicebureauet skal indgå en databehandleraftale med det indhold, som er beskrevet i punkt Brug af andre underleverandører: Anden Aktør må alene benytte underleverandører til varetagelsen af sine opgaver efter lov om aktiv beskæftigelsesindsats, hvis det forudgående er godkendt skriftligt af Kommunen, og der tillige er indgået en databehandleraftale, som overholder punkt 3.3 mellem Anden Aktør og underleverandøren. Eventuelle underleverandørers tilslutning til Arbejdsmarkedsportalen forudsætter, at Kommunen har modtaget kopi af databehandleraftalen, jf. punkt Databehandleraftalen mellem Anden Aktør og EDB-servicebureauer, jf. punkt 3.1 eller Anden Aktør og andre underleverandører, jf. punkt 3.2, skal opfylde Persondatalovens 42, stk. 2, bilag 2 og 4 samt øvrige krav, som stilles til Anden Aktør i medfør af denne Aftale eller øvrige aftaler mellem Kommunen og Anden Aktør. 3.4 Anden Aktør indestår for, at databehandleraftalen, jf. punkt 3.3 indgås med henholdsvis EDB-servicebureauet og underleverandøren, inden EDBservicebureauet eller underleverandøren gives adgang til persondata. Anden Aktør indestår tillige for den eksterne databehandlers overholdelse af databehandleraftalen. 3.5 Kommunen kan til enhver tid forlange dokumentation fra Anden Aktør for eksistensen af databehandleraftalen. Modtages en sådan dokumentation ikke efter påkrav, og/eller konstaterer Kommunen, at kravene til aftalen enten ikke er opfyldt, eller at databehandleraftalen ikke overholdes, kan Kommunen uden varsel tilbagekalde sit samtykke til Anden Aktørs brug af EDB-servicebureau, jf. punkt 3.1, henholdsvis tilladelse til brug af anden underleverandør, jf. punkt Tilslutning til Arbejdsmarkedsportalen 4.1 Anden Aktør får i henhold til denne Aftale adgang til den browserbaserede registreringsløsning i Arbejdsmarkedsportalen ( Proceduren for brugeroprettelse m.v. er beskrevet i bilag Hvis Kommunen får viden eller mistanke om, at Anden Aktør eller dennes eksterne databehandler/underleverandør behandler informationer i strid med den-

8 ne Aftale eller lovgivning i øvrigt, er Kommunen berettiget til uden varsel at foranledige lukning for Anden Aktørs og/eller dennes eksterne databehandler/underleverandørs adgang til Arbejdsmarkedsportalen midlertidigt eller permanent. 4.3 Anden Aktør indestår for overholdelsen af de i bilag 6 beskrevne regler for autorisation af brugere og opkobling til Arbejdsmarkedsportalen. 4.4 Anden Aktør er blevet gjort opmærksom på, at medarbejdercertifikater og password til Arbejdsmarkedsportalen er personligt, og at videregivelse heraf kan være i strid med straffelovens 263A. 4.5 Superbrugere hos Anden Aktør har adgang til support på de vilkår, der fremgår af login-siden for Arbejdsmarkedsportalen og bilag 6. Anden Aktør skal underrette supporten om hvilken medarbejder, der varetager rollen som superbruger. 4.6 Anden Aktør må ikke opkoble til Arbejdsmarkedsportalen fra hjemmearbejdspladser. Dette forbud gælder også opkobling via en bærbar pc på andre netværk end netværket på Anden Aktørs faste forretningssted, jf. bilag Arbejdsmarkedsportalen stilles indtil videre vederlagsfrit til rådighed. Såfremt Arbejdsmarkedsstyrelsen indfører betaling for brug af Arbejdsmarkedsportalen, varsles dette over for Anden Aktør med 6 måneders varsel til udgangen af en kalendermåned. 5. Aftalens ikrafttræden og varighed 5.1 Aftalen indgås ved begge Parters underskrivelse og gælder, indtil den opsiges, jf. punkt 5.3, eller bortfalder af anden grund. Aftalen kan dog alene finde anvendelse indtil kommunen og anden aktør ikke længere anvender Arbejdsmarkedsportalen, jf. punkt 1.1. Aftalen erstatter på tidspunktet for underskrivelsen eventuelle tidligere indgåede aftaler vedrørende databehandling og/eller tilslutning til Arbejdsmarkedsportalen, men ikke øvrige aftaler mellem Parterne. 5.2 Såfremt der ved underskrivelsen af denne Aftale er indgået delaftaler i medfør af rammekontrakten, træder denne Aftale i kraft straks ved indgåelsen. I modsat fald træder Aftalen først i kraft ved indgåelse af første delaftale i medfør af rammekontrakten. 5.3 Ved bortfald af rammekontrakten eller samtlige indgåede delaftaler om Anden Aktørs varetagelse af opgaver i beskæftigelsesindsatsen, bortfalder denne Aftale automatisk og samtidig hermed. Opsigelsesbestemmelserne i den nævnte bagvedliggende kontrakt gælder tilsvarende for denne Aftale.

9 5.4 Anden Aktørs eventuelle misligholdelse af denne Aftale anses tillige for en misligholdelse af rammekontrakten. 5.5 Uanset ovenstående gælder nærværende Aftales krav til behandling af personoplysninger, så længe Anden Aktør opbevarer eller på anden måde behandler personoplysninger omfattet af denne Aftale. 6. Bilag 6.1 Til Aftalen knytter sig følgende bilag, der udgør en integreret bestanddel heraf: - Bilag 1: Uddrag af o lov om en aktiv beskæftigelsesindsats, jf. lovbekendtgørelse nr af 14. december 2009 o Arbejdsmarkedsstyrelsens bekendtgørelse nr. 82 af 15. januar 2010 om andre aktører m.fl. o lov nr. 522 af 24. juni 2005 med senere ændringer om ansvaret for og styringen af den aktive beskæftigelsesindsats ( 32) o Lov om offentlighed i forvaltningen (offentlighedsloven) ( 6) o Straffeloven ( 263 a) - Bilag 2: Personoplysninger, som behandles af Anden Aktør - Bilag 3: Persondataloven og sikkerhedsbekendtgørelse nr. 528/2000 med senere ændringer - Bilag 4: Databehandlingsinstruks - Bilag 5: Adgang til Arbejdsmarkedsportalen - Bilag 6: Brugeroprettelse - Bilag 7: LRA s forpligtelser - Bilag 8: Brugers (certifikatholders) sikkerhedserklæring

10 7. Aftalens underskrift 7.1 Aftalen underskrives af Parterne i to ligelydende eksemplarer, og hver Part opbevarer et eksemplar. Begge parter skal opbevare Aftalen i 5 år efter Aftalens ophør. Dato: For Kommunen: Dato: For Anden Aktør: Navn Navn

11 BILAG 1: UDDRAG AF LOV OM EN AKTIV BESKÆFTIGELSESINDSATS, JF. LOVBEKENDTGØRELSE NR AF 14/12/09 OG ARBEJDSMARKEDSSTYRELSENS BEKENDTGØRELSE NR. 82 AF 15/01/10 OM ANDRE AKTØRER M.FL., SAMT LOV NR. 522 AF 24/06/2005 OM ANSVARET FOR OG STYRINGEN AF DEN AKTI- VE BESKÆFTIGELSESINDSATS ( 32), M.FL. Lov om en aktiv beskæftigelsesindsats, jf. lovbekendtgørelse nr af 14. december 2009, i uddrag: Kapitel 2 a Inddragelse af andre aktører 4 b. Kommunen kan overlade det til andre aktører at udføre opgaver og træffe afgørelse efter denne lov. Ansvaret for indsatsen påhviler fortsat kommunalbestyrelsen. 4 c. Andre aktører, der har fået overladt opgaven med at varetage beskæftigelsesindsatsen for en person, forpligter på samme måde som jobcenteret personen til at møde til samtaler og deltage i aktiviteter og tilbud efter kapitel Stk. 2. Andre aktører skal overholde samme regler, som gælder for kommunen i forbindelse med indkaldelse til samtaler, deltagelse i aktiviteter, afgivelse af tilbud og underretninger efter denne lov. Stk. 3. Beskæftigelsesministeren fastsætter regler om krav til andre aktørers sagsbehandling, herunder om frister, underretninger og procedurer i forbindelse med sagsbehandlingen. Beskæftigelsesministeren kan herunder fastsætte regler om andre aktørers forpligtelse til at give jobcenteret de nødvendige oplysninger om personer, der er omfattet af 2, nr. 1-10, til brug for administrationen af den beskæftigelsesmæssige lovgivning m.v. Stk. 4. Beskæftigelsesministeren kan fastsætte regler om, hvordan beskæftigelsesindsatsen efter denne lov kan varetages af andre aktører, herunder hvordan personer, der er omfattet af loven, skal have mulighed for at vælge mellem flere aktører. 4 d. Beskæftigelsesministeren kan efter indstilling fra direktørerne for Arbejdsdirektoratet og Arbejdsmarkedsstyrelsen fastsætte regler om arbejdsløshedskassernes mulighed for at udføre opgaver efter denne lov.

12 Arbejdsmarkedsstyrelsens bekendtgørelse nr. 82 af 15. januar 2010 om andre aktører m.fl. Kapitel 2 Inddragelse af andre aktører 2. Når jobcenteret henviser en person til anden aktør og jobcenteret skønner, at flere aktører er næsten lige effektive i forhold til at bringe personen i ordinær beskæftigelse, skal personen kunne vælge mellem disse aktører. Stk. 2. Henvisningen til en anden aktør skal være skriftlig. Personen kan klage over henvisningen til anden aktør. Der henvises til 128, stk. 3, i lov om en aktiv beskæftigelsesindsats, 77, stk. 2, i lov om sygedagpenge og 98, stk. 3 og 4, i lov om aktiv socialpolitik. 3. Personen skal give den anden aktør oplysninger om forhold af betydning for den anden aktørs mulighed for at varetage indsatsen over for personen. Ledige skal herunder give anden aktør oplysninger som nævnt i 11 i bekendtgørelse om en aktiv beskæftigelsesindsats, gøre sit CV i Jobnet tilgængeligt for den anden aktør samt oplyse om ferie og sygdom, jf. henholdsvis 12 og 30 i bekendtgørelse om en aktiv beskæftigelsesindsats. 4. Andre aktører, der af kommunen har fået overladt opgaven med at varetage beskæftigelsesindsatsen for en person, forpligter på samme måde som jobcenteret personen til at møde til samtaler og deltage i aktiviteter, herunder deltage i tilbud efter kapitel i lov om en aktiv beskæftigelsesindsats. Stk. 2. Andre aktører skal overholde samme regler, som gælder for jobcenteret i forbindelse med indkaldelse til samtaler, deltagelse i aktiviteter, afgivelse af tilbud og underretninger m.v.

13 Lov nr. 522 / 2005 om ansvaret for og styringen af den aktive beskæftigelsesindsats: 32. Kommunen kan i henhold til en indgået databehandleraftale, jf. 42 i lov om behandling af personoplysninger, overlade oplysninger til en anden aktør om en persons beskæftigelsesprofil og forløb, den hidtidige indsats samt øvrige forhold, som er nødvendige for den anden aktørs gennemførelse af den aftalte beskæftigelsesindsats efter lov om en aktiv beskæftigelsesindsats, lov om aktiv socialpolitik og lov om sygedagpenge, lov om ret til orlov og dagpenge ved barsel. Stk. 2. Den anden aktør må ikke benytte eller udveksle de modtagne oplysninger til formål ud over det aftalte eller tilføje nye oplysninger, der er begrundet i andre formål. Stk. 3. Beskæftigelsesministeren kan fastsætte regler om at overlade oplysninger til anden aktør. Lov om offentlighed i forvaltningen (offentlighedsloven) - 6 jf. lov nr. 572 af 19, december 1985 med senere ændringer 6. I sager, hvor der vil blive truffet afgørelse af en forvaltningsmyndighed, skal en myndighed, der mundtligt modtager oplysninger vedrørende en sags faktiske omstændigheder, der er af betydning for sagens afgørelse, eller som på anden måde er bekendt med sådanne oplysninger, gøre notat om indholdet af oplysningerne. Det gælder dog ikke, såfremt oplysningerne i øvrigt fremgår af sagens dokumenter. Stk. 2. Justitsministeren kan for nærmere angivne områder af forvaltningsvirksomhed fastsætte regler om opbevaring m.v. af meddelelser, der udfærdiges eller modtages ved hjælp af elektronisk databehandling. Stk. 3. Vedkommende minister kan efter forhandling med justitsministeren fastsætte regler om notatpligt for nærmere angivne grupper af sager om udøvelse af anden forvaltningsvirksomhed end nævnt i stk. 1. Straffeloven ( 263 a) jf. lbk. nr af 6. november 2008 med senere ændringer 263 a. Med bøde eller fængsel indtil 1 år og 6 måneder straffes den, der uretmæssigt erhvervsmæssigt sælger eller i en videre kreds udbreder en kode eller andet adgangsmiddel til et ikke offentligt tilgængeligt informationssystem, hvortil adgangen er beskyttet med kode eller anden særlig adgangsbegrænsning. Stk. 2. På samme måde straffes den, der uretmæssigt videregiver et større antal koder eller andre adgangsmidler som nævnt i stk. 1. Stk. 3. På samme måde straffes den, der uretmæssigt skaffer sig eller videregiver en kode eller andet adgangsmiddel som nævnt i stk. 1 til 1) et samfundsvigtigt informationssystem, jf. 193, eller 2) et informationssystem, der behandler følsomme oplysninger, som er omfattet af 7, stk. 1, eller 8, stk. 1, i lov om behandling af personoplysninger, om flere personers personlige forhold. Stk. 4. Sker den i stk. 1-3 nævnte videregivelse m.v. under særligt skærpende omstændigheder, er straffen fængsel indtil 6 år. Som særligt skærpende omstændigheder anses navnlig tilfælde, hvor videregivelsen m.v. sker i særlig stort omfang eller indebærer særlig risiko for betydelig skade.

14 BILAG 2: PERSONOPLYSNINGER, SOM BEHANDLES AF ANDEN AKTØR Anden Aktør må, i det omfang det er nødvendigt og foreneligt med dennes varetagelse af opgaver som anden aktør efter lov om aktiv beskæftigelsesindsats, behandle nedenstående personoplysninger. Oplysningerne må ikke behandles til andre formål end disse. Alle personoplysninger, som Anden Aktør behandler om ledige, er fortrolige. Ikke-følsomme personoplysninger: Som eksempler på ikke-følsomme personoplysninger kan nævnes følgende til brug for identifikation og administration: Navn Adresse Telefon -adresse Kundenummer til adgang til Jobnet A-Kasse A-Kasse afdeling Jobcenter-kontor Holdident / aftaleident Forløbstype Aftalt startdato ved henvisning Aftalt slutdato ved henvisning CPR-nummer: CPR-nummer må behandles af offentlige myndigheder med henblik på entydig identifikation eller som journalnummer, jf. persondatalovens 11, stk. 1. Følsomme personoplysninger: Anden Aktør må alene registrere følsomme personoplysninger efter 7 og 8 i persondataloven i Arbejdsmarkedsportalen (visitationsværktøjet), herunder ved opfyldelsen af notatpligten i henhold til offentlighedslovens 6 og almindelig god forvaltningsskik. Følsomme oplysninger efter 7 er oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplys-

15 ninger om helbredsmæssige og seksuelle forhold. Som hovedregel må 7 oplysninger ikke behandles, medmindre den registrerede har givet sit samtykke. Anden Aktør må alene registrere følsomme oplysninger om helbred, idet anmeldelsen til Datatilsynet kun omfatter denne oplysning. Der må således ikke registreres andre følsomme oplysninger. Semifølsomme oplysninger efter 8 omfatter oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de følsomme oplysninger. Semifølsomme oplysninger må alene behandles for den offentlige forvaltning, såfremt det er nødvendigt for varetagelsen af myndighedens opgaver. Anden Aktør må alene registrere semifølsomme oplysninger om langvarig ledighed og afstand til arbejdsmarkedet. Semifølsomme og følsomme oplysninger må kun behandles i Arbejdsmarkedsportalen. Der henvises til vejledningen om det digitale registreringsværktøj. Fokus i Anden Aktørs indsats - og den tilhørende dokumentation - skal være den lediges faglige og praktiske kvalifikationer samt den lediges eget arbejdsmarkedsperspektiv. Det betyder, at det ikke vil være relevant at komme direkte ind på de ovenfor næv nte emner, medmindre der er noget i samtalen med den ledige, der tyder på, at emnet kan have negativ indflydelse på den lediges forhold til arbejdsmarkedet. Anden Aktør må således under ingen omstændigheder registrere oplysninger om følgende forhold, herunder hverken i Arbejdsmarkedsportalen eller i egne systemer: Racemæssig eller etnisk baggrund. Det må f.eks. ikke registreres, at en person er kurder, men gerne (hvis relevant) at en person er fra Tyrkiet. Politisk overbevisning Religiøs overbevisning Filosofisk overbevisning Seksuelle forhold Fagforeningsmæssige forhold Strafbare forhold Oplysninger om væsentlige sociale problemer og private forhold, som ikke er oplysninger om langvarig ledighed eller afstand til arbejdsmarkedet

16 BILAG 3: PERSONDATALOVEN OG SIKKERHEDSBEKENDTGØRELSE 528/2000 MED SENERE ÆNDRINGER Persondataloven Lov om behandling af personoplysninger (Persondataloven), jf. lov nr. 429 af 31. maj 2000 med senere ændringer. Der henvises til Datatilsynets og Retsinformations hjemmesider: Justitsministeriets sikkerhedsbekendtgørelse med tilhørende vejledning Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsbekendtgørelsen), jf. bkg. nr. 528 af 15. juni 2000 med senere ændringer. Der henvises til Retsinformations hjemmeside: - Vejledning nr. 37 af af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning Der henvises til Retsinformations hjemmeside: -

17 BILAG 4 DATABEHANDLINGSINSTRUKS 4.1 Databehandler eller dataansvarlig? Der henvises særligt til Aftalens punkt 2. I relation til Anden Aktørs behandling af oplysninger om ledige er Kommunen dataansvarlig, mens Anden Aktør er databehandler. Dette indebærer, at Kommunen afgør til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger, og at Anden Aktør udfører denne behandling på Kommunens vegne. Anden Aktør må alene behandle oplysningerne i henhold til Kommunens instruks. Anden Aktør har pligt til at iværksætte og overholde de samme organisatoriske, administrative og it-mæssige krav, som gælder for Kommunen selv i forbindelse med behandlingen af personoplysninger, jf. nedenfor. I relation til den behandling, som medarbejdere hos Anden Aktør foretager via opkobling til Arbejdsmarkedsportalen (registrering, opslag, udsøgninger mv.), er Anden Aktør ansvarlig over for henholdsvis den ledige og Kommunen. Anden Aktør indestår for, at nærværende instruks udleveres og efterleves af alle Anden Aktørs ansatte, der har adgang til Arbejdsmarkedsportalen eller på anden måde varetager behandling af persondata. 4.2 Hvilke oplysninger må behandles? Anden Aktør skal behandle personoplysninger i overensstemmelse med bestemmelserne herom i bilag Øvrige krav til databehandlingen Anden Aktørs behandling af personoplysninger skal være i overensstemmelse med god databehandlingsskik, jf. Persondatalovens 5. Personoplysninger skal ajourføres i nødvendigt omfang. Anden Aktør skal endvidere foretage den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysningerne må ikke opbevares længere end nødvendigt af hensyn til de formål, hvortil de er indsamlet. Oplysninger må ikke videregives til tredjemand, medmindre dette er tilladt eller påkrævet i medfør af den til enhver tid gældende lovgivning eller efter aftale med Kommunen.

18 4.4. Oplysningspligt I medfør af persondatalovens 28 skal Anden Aktør oplyse den registrerede om, Den dataansvarliges og dennes repræsentants identitet Formålene med den behandling, hvortil oplysningerne er bestemt Alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f eks: a) Kategorierne af modtagere, b) Om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare og c) Om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede. Oplysningspligten gælder ikke, hvis den registrerede allerede er bekendt med de nævnte oplysninger, jf. persondatalovens 28, stk. 2. Ligeledes gælder oplysningspligten ikke, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv, jf. persondatalovens 30, stk. 1. Undtagelse fra oplysningspligten kan ligeledes gøres, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, jf. persondatalovens 30, stk Interne sikkerhedsforskrifter Anden Aktør er som databehandler underlagt kravene i Sikkerhedsbekendtgørelsen om beskyttelse af personoplysninger, der behandles for den offentlige forvaltning. Anden Aktør har således bl.a. pligt til at fastsætte og gennemføre de i Sikkerhedsbekendtgørelsen krævede interne bestemmelser om sikkerhedsforanstaltninger. Det vil sige regler for sikkerhedsorganisatoriske forhold og fysisk sikring, herunder administration af adgangskontrolanordninger og autorisationsordninger samt kontrol af autorisationer. Der skal endvidere være fastsat instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af it-udstyr. Desuden skal der gælde retningslinjer for tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat. Anden Aktør skal i sine retningslinjer fastsætte regler, der sikrer, at dennes ansatte kun har adgang til personoplysninger, som er nødvendige for den ansattes udførelse af sine arbejdsopgaver. De interne retningslinjer skal gennemgås mindst én gang om året med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold.

19 Retningslinjerne skal være udformet efter Datatilsynets vejledning til Sikkerhedsbekendtgørelsen. Opmærksomheden henledes på, at der i henhold hertil gælder særligt skærpede krav for behandling af følsomme oplysninger. Kommunen kan til enhver tid kræve at få udleveret kopi af de interne sikkerhedsforskrifter. Kommunen - eller en af denne udpeget tredjemand - er berettiget til, når som helst, at komme på uanmeldt kontrolbesøg hos Anden Aktør for at konstatere, om Anden Aktør overholder denne Aftale og gældende lovgivning. 4.6 Beskyttelse af personoplysninger i åbne net: I overensstemmelse med Datatilsynets udtalelse af 23. marts 2004 skal der ved tilslutning til internet eller andre åbne net træffes foranstaltninger, som sikrer imod uvedkommende trafik og forhindrer adgang fra det åbne net til den dataansvarliges interne net. Anden Aktør skal i denne forbindelse overholde retningslinjerne som til enhver tid fastsat af Datatilsynet. På tidspunktet for underskrivelsen af denne Aftale skal Anden Aktør som minimum træffe følgende foranstaltninger: Etablering og vedligeholdelse af en firewall, som sikrer gennemførelse af myndighedens sikkerhedspolitik, f.eks. gennem spærring for adgang til visse hjemmesider. Ajourføring af servere og pc-arbejdspladser med sikkerhedsopdateringer, som sikrer mod ondsindet udnyttelse af sårbarheder i de anvendte programmer. Etablering af virusværn, som løbende holdes ajourført. Et virusværn vil bl.a. sikre mod en del af den ondsindede spyware. Opsætning af sikkerhedsindstillingerne i browseren og e-post klienten på de enkelte pc-arbejdspladser, således at der opnås den ønskede sikkerhedspolitik omkring websteder, cookies og modtagelse af eksekverbar kode (plug-ins m.v.) Efter en vurdering af den konkrete sikkerhedsrisiko og under hensyntagen til øvrige sikkerhedsforanstaltninger kan yderligere sikkerhedsforanstaltninger være hensigtsmæssige, herunder f.eks. installation af anti-spyware programmer på de enkelte pc-arbejdspladser. sikkerhed Elektronisk behandling af personoplysninger må alene ske, såfremt indholdet af oplysningerne krypteres, såvel under opbevaring som under elektronisk udveksling (afsendelse/modtagelse mv.) af personoplysninger. Oplysningerne skal krypteres med stærk kryptering, som til enhver tid defineret af Datatilsynet.

20 Anden Aktør skal angive adressen på en , der kan benyttes til at modtage og afsende s, forsynet med digital signatur ( sikker mail-boks ), til Kommunen senest samtidig med underskrivelse af Aftalen. Der henvises i øvrigt til sikkerhedsbekendtgørelsen, jf. bilag 3. Anden Aktør skal altid anvende digital signatur, når der afsendes s, hvori der indgår personoplysninger, som behandles for Kommunen. 4.7 Revisionserklæring til Kommunen Anden Aktør, der har en rammeaftale, og hvor der er indgået mindst én gældende delaftale, jf. Aftalens punkt 5.2, skal én gang årligt i februar måned afgive en erklæring fra en statsautoriseret eller registreret revisor til Kommunen, hvori det dokumenteres, at Anden Aktør overholder Persondataloven, herunder Sikkerhedsbekendtgørelsen i forbindelse med Anden Aktørs varetagelse af opgaver for Kommunen. Anden Aktør skal ligeledes indhente og indsende en tilsvarende erklæring fra de af Anden Aktør benyttede EDB-servicebureauer, underleverandører og eventuelle andre databehandlere. Ved indgåelsen af en rammeaftale med nye andre aktører (og hvor der er indgået mindst en gældende delaftale), skal første revisionserklæring senest foreligge 4 måneder efter Databehandleraftalens ikrafttræden, jf. Aftalens punkt 5.2 og herefter i februar måned hvert år i resten af aftalens løbetid. En anden aktør, som afgiver den første revisionserklæring inden udgangen af et 2. halvår, skal dog først afgive en ordinær revisionserklæring i februar måned i det næstfølgende kalenderår. 4.8 Brug af ekstern databehandler Der henvises til Aftalens punkt 3. Databehandleraftalen mellem Anden Aktør (som databehandler) og et EDB-servicebureau eller en anden underleverandør skal have følgende indhold (ikke udtømmende): Det skal angives, at Kommunen er dataansvarlig for personoplysningerne i relation til Persondataloven Den eksterne databehandler må alene behandle de modtagne oplysninger efter instruks fra Kommunen og Anden Aktør og ikke til egne, selvstændige formål Den eksterne databehandler skal over for Anden Aktør indestå for, at denne overholder krav, som er identiske med kravene i denne Aftale, Persondataloven, Sikkerhedsbekendtgørelsen med den tilhørende vejledning samt øvrig relevant lov-

21 givning om Anden Aktørs behandling af persondata i forbindelse med løsning af opgaver for Kommunen Det skal fremgå, at den eksterne databehandler under ingen omstændigheder må videregive persondata til uvedkommende Det skal fremgå, at den eksterne databehandler ikke må overlade behandling af personoplysninger til en anden ekstern databehandler, herunder hverken en underleverandør eller et EDB-servicebureau En ekstern databehandler, der er et EDB-servicebureau, skal være anmeldt til Datatilsynet som EDB-servicebureau. Den eksterne databehandler skal acceptere, at Kommunen - eller en af denne udpeget tredjemand - har ret til, når som helst, at komme på uanmeldt kontrolbesøg for at kontrollere, om Aftalen er opfyldt Den eksterne databehandler skal oplyses om, at Kommunen til enhver tid kan forlange dokumentation for dels eksistensen af databehandleraftalen og dels at kravene i databehandleraftalen overholdes, og at manglende efterkommelse heraf kan medføre, at Kommunen uden varsel tilbagekalder sit samtykke til ekstern databehandling Særlige sikkerhedsforanstaltninger vedrørende Arbejdsmarkedsportalen Anden Aktør indestår for, at de i bilag 7-8 erklæringer er underskrevne. Erklæringerne skal arkiveres for den periode, brugeren anvender Arbejdsmarkedsportalen plus et år yderligere, at de heri anførte forskrifter jævnligt kontrolleres overholdt, at følgende regler for brugeroprettelse følges: o Oprettelse af en bruger i Arbejdsmarkedsportalen kan alene ske på grundlag af en forudgående skriftlig autorisation underskrevet af brugerens opgaveansvarlige chef, o Brugeradministrator hos Anden Aktør skal journalisere de enkelte autorisationer samt arkivere autorisationen i en periode, der løber til 1 år efter, at personen er nedlagt som bruger, o Brugeren skal instrueres om, at brugeroprettelsen giver adgang til følsomme personoplysninger, som er omfattet af persondatalovgivningen samt af de regler, der gælder i organisationen for behandling af følsomme personoplysninger,

22 o Den lokale brugeradministrator skal løbende kontrollere, om oprettede brugere skal nedlægges som følge af fratrædelse, orlov, længerevarende fravær, skift af arbejdsfunktion m.v., o Ledelsen, brugeradministrator og de enkelte brugere orienteres om, at forsætlig eller grov uagtsom overtrædelse af gældende lovgivning efter omstændighederne kan medføre anmeldelse til vedkommende myndighed eller politiet. at der i det it-miljø, hvorfra der kobles op til Arbejdsmarkedsportalen, er etableret betryggende foranstaltninger i relation til bekæmpelse af virus, aflytning af kommunikation mv. Ledelsen skal indestå for, at Datatilsynets retningslinjer af 23/ følges ved tilslutning til internet.

23 BILAG 5: ADGANG TIL ARBEJDSMARKEDSPORTALEN Adgang til funktionalitet og data De faciliteter, som Anden Aktør har adgang i Arbejdsmarkedsportalen til enhver tid, fremgår af portalens indgangsside. Upload af data fra Arbejdsmarkedsportalen til Anden Aktørs it-systemer Følgende personoplysninger må udtrækkes fra Arbejdsmarkedsportalen og uploades til egne systemer: Navn Adresse CPR-nummer Telefon Kundenummer til adgang til Jobnet A-Kasse A-Kasse afdeling Jobcenter-kontor Holdident / aftaleident Forløbstype Aftalt startdato ved henvisning Aftalt slutdato ved henvisning Der må ikke etableres automatiske integrationsløsninger, som direkte forespørger mod Arbejdsmarkedsportalens brugergrænseflade. Det tilstræbes at udforme Arbejdsmarkedsportalen på en sådan måde, at oplysninger, der kan oploades til Anden Aktørs egne systemer, kan udtrækkes fra Arbejdsmarkedsportalen på én gang. Data, der uploades til Anden Aktørs egne systemer, skal behandles efter bestemmelserne i nærværende aftale. Det betyder, at personoplysninger kun må benyttes til de opgaver, der efter lovgivningen er henlagt til Anden Aktør, og til de formål, der er fastlagt af Kommunen.

24 BILAG 6 BRUGEROPRETTELSE OG SUPPORT Når tilslutningsaftalen er indgået, oprettes medarbejdere hos Anden Aktør som brugere i Arbejdsmarkedsportalens adgangssystem efter følgende procedure: 1. Anden Aktør indsender ved underskrift af første delaftale med Kommunen under en rammeaftale kopi af de aftaleidentificerende sider (f.eks. de to første sider plus underskriftsiden) sammen med virksomhedernes adresse, CVR-numre og superbruger/lokal brugeradministrator til Landssupporten. 2. Når rammekontrakt og delaftale er oprettet i Anden Aktør modulet i Arbejdsmarkedsportalen, fremsender supporten materiale om brugeroprettelse med tilhørende procedurer til Anden Aktør. Brugervejledninger til de enkelte moduler findes på Arbejdsmarkedsstyrelsens hjemmeside på følgende adresse: og Superbrugeren hos Anden Aktør skal så vidt muligt besvare supportspørgsmål fra brugere af Arbejdsmarkedsportalen hos Anden Aktør. Anden Aktør kan udpege én superbruger, der må trække på Landssupporten ved forespørgsel via til amportalen@ams.dk eller via telefon nr Landssupporten er åbent på hverdage, p.t. mandag til onsdag kl , torsdag kl og fredag kl Postadresse: Landssupporten; AMS Holmens Kanal 20 Postboks København K

25 BILAG 7: LRA S FORPLIGTELSER OG SIKKERHEDSERKLÆRING TIL UDSTEDELSE OG ANVENDELSE AF OCES-CERTIFIKAT TIL BRUG FOR ANVENDELSE AF ARBEJDSMARKEDSPORTALEN Undertegnede accepterer som Lokal RegistreringsAutoritet (LRA), at nedenstående vilkår er gældende for anvendelse af OCES-certifikat i forbindelse med anvendelse af Arbejdsmarkedsportalen, herunder opgaver specificeret for LRA: Certifikater må kun anvendes i overensstemmelse med de for medarbejdercertifikatet gældende formål. Følgende gælder for anvendelse af OCES-certifikater i forbindelse med log-in på Arbejdsmarkedsportalen. Certifikatet må kun anvendes til dokumentation af certifikatbrugerens identitet i forbindelse med kommunikation, der sker på vegne af den organisation, som har udpeget personen. Certifikatet må ikke anvendes til brugerens private dispositioner. Certifikatet må kun anvendes på brugerens tjenestested i den organisation, der har udpeget brugeren. LRA er ansvarlig for at kontrollere og i givet fald for at spærre certifikatet, hvis certifikatet kan anvendes uden brug af pinkode. LRA tilser, at certifikatbruger ved modtagelse af medarbejdercertifikatet kontrollerer, at de i medarbejdercertifikatet indeholdte oplysninger er korrekte, som angivet af certifikatbruger. LRA bistår certifikatbruger med installation af certifikat på en måde, der medvirker til at sikre, at nøgle (certifikat) installeres og opbevares betryggende, således at certifikatet alene kan anvendes af brugeren, og bistår certifikatbrugeren med: Straks at spærre certifikatet, hvis certifikatbruger får kendskab til misbrug eller hvis oplysninger i certifikatet er ændret eller ikke er korrekte. Straks at suspendere certifikatet, hvis certifikatbruger har mistanke om, at certifikatet er misbrugt. At tilse, at certifikatet ikke anvendes udenfor gyldighedsperioden eller efter spærring eller suspendering af certifikatet. Yderligere information om vilkår og procedure for installation og anvendelse af OCEScertifikat findes dels i tidligere udsendt informationsskrivelse dels på danid s hjemmeside under menuvalgene: Erhverv, Signaturprodukter, Medarbejdersignatur.

26 Undertegnede erklærer med min underskrift at have læst og accepteret ovenstående vilkår for anvendelse af OCES-certifikat ved log-in på Arbejdsmarkedsportalen, herunder særlige forpligtelser som LRA i forbindelse med test af visitationsredskaber. / 201 Dato LRA s underskrift Dette dokument opbevares hos Anden Aktør.

27 BILAG 8: BRUGERS (CERTIFIKATHOLDERS) SIKKERHEDSERKLÆRING TIL UDSTEDELSE OG ANVENDELSE AF OCES-CERTIFIKAT TIL BRUG FOR ANVENDELSE AF ARBEJDSMARKEDSPORTALEN Undertegnede accepterer, at nedenstående vilkår er gældende for anvendelse af OCEScertifikat i forbindelse med anvendelse af Arbejdsmarkedsportalen: Certifikatet må kun anvendes i overensstemmelse med de for medarbejdercertifikatet gældende formål. Følgende gælder for anvendelse af OCES-certifikater i forbindelse med log-in på Arbejdsmarkedsportalen. Certifikatet må kun anvendes til dokumentation af certifikatbrugerens identitet i forbindelse med kommunikation, der sker på vegne af den organisation, som har udpeget personen. Certifikatet må ikke anvendes til brugerens private dispositioner. Certifikatet må kun anvendes på brugerens tjenestested i den organisation, der har udpeget brugeren. Certifikatbruger er ved modtagelse af medarbejdercertifikatet forpligtet til at kontrollere, at de i medarbejdercertifikatet indeholdte oplysninger er korrekte, som angivet af certifikatbruger. Certifikatbruger er til enhver tid forpligtet til at opfylde følgende krav, herunder at: o Kontrollere, at nøgle (certifikat) installeres og opbevares betryggende, således at certifikatet alene kan anvendes af brugeren. o Straks at spærre certifikatet, hvis certifikatbruger får kendskab til misbrug eller hvis oplysninger i certifikatet er ændret eller ikke er korrekte. o Straks at suspendere certifikatet, hvis certifikatbruger har mistanke om, at certifikatet er misbrugt. o Tilse, at certifikatet ikke anvendes udenfor gyldighedsperioden eller efter spærring eller suspendering af certifikatet. LRA er ansvarlig for at kontrollere og i givet fald for at spærre certifikatet, hvis certifikatet kan anvendes uden brug af pinkode. Medarbejdercertifikatet offentliggøres i Arbejdsmarkedsportalens brugerdatabase. Beskæftigelsesministeriet opbevarer oplysninger i 6 år fra udstedelsestidspunktet i overensstemmelse med 10 i lov om elektroniske signaturer, jf. lov nr. 417 af 31. maj 2000.

28 Undertegnede erklærer med min underskrift at have læst og accepteret ovenstående vilkår for anvendelse af OCES-certifikat ved log-in på Arbejdsmarkedsportalen. / 200 Dato Medarbejders underskrift Dette dokument opbevares hos Anden Aktør.

29 Indholdsfortegnelse 1. Tilslutningsaftale 1

30 8. Tilslutningsaftale <Indsæt aftale> Bilag 8 Databehandlings- og tilslutningsaftale Side 1 Gladsaxe Kommune