Databehandleraftale. om [Indsæt navn på aftale]

Transkript

1 Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune Himmerlandsgade Aars CVR nr.: (herefter benævnt Dataansvarlig) og [Indsæt leverandørens navn] Indsæt leverandørens adresse] [Indsæt leverandørens CVR nr. ] (herefter benævnt Databehandler) Vesthimmerlands Kommune. Himmerlandsgade Aars. Tel

2 Indhold Databehandleraftale Grundlag Anvendelsesområde og omfang Databehandlers ansvar Underretningspligt Brug af underdatabehandler Kontroller og erklæringer Håndtering af oplysninger efter aftalens ophør Aftalens ikrafttræden, opsigelse og varighed Anmeldelse til Datatilsynet Aftalens underskrift... 6 Bilag A - Databehandlerinstruks... 7 Bilag B Behandling af personoplysninger... 9 Bilag C Underdatabehandler og data lokationer Side 2

3 1. Grundlag 1.1 I henhold til kontrakt om [indsæt navn på aftale] med [indsæt navn på databehandler] skal Databehandleren udføre opgaver for den dataansvarlige, hvilket medfører adgang til og behandling af personoplysninger. Persondataloven stiller krav om, at der i så fald skal oprettes en Databehandleraftale, som forpligter databehandleren til at overholde de krav, som stilles i Persondataloven. 2. Anvendelsesområde og omfang 2.1. Denne aftale vedrører Databehandlerens varetagelse af opgaver som databehandler i forbindelse med udførelse af opgaver for den Dataansvarlige, som der er indgået kontrakter om Aftalen vedrører sikkerhedsforanstaltninger i henhold til lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (Persondataloven) 42, stk. 2, jf. 41, stk Databehandlers ansvar 3.1. Databehandler behandler oplysninger på den Dataansvarliges vegne og handler alene efter instruks fra den Dataansvarlige (se bilag A) Personoplysningerne må alene behandles til formål, som er nødvendige for databehandlers gennemførelse af opgaven for den Dataansvarlige. Databehandleren kan ikke uden forudgående tilladelse fra den Dataansvarlige behandle andre personoplysninger end de i bilag B angivne Databehandleren skal overholde de til enhver tid gældende regler i Persondataloven med tilhørende bekendtgørelser, herunder bekendtgørelse nr. 528 af 15. juni 2000 med senere ændringer ( Sikkerhedsbekendtgørelsen ) Principperne og anbefalingerne i ISO27001 med senere ændringer vil på alle relevante områder finde anvendelse i det omfang andet ikke fremgår af denne aftale Databehandleren skal træffe de nødvendige tekniske og organisatoriske foranstaltninger som sikrer at kun de personer, som autoriseres hertil, har adgang til de personoplysninger, der behandles for den Dataansvarlige. Databehandleren er selv ansvarlig for at følge med i udviklingen i lovgivning og sikkerhedskravene på området Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre mod at: oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Persondataloven Data skal opbevares indenfor EU. Er databehandleren etableret i et andet EU-land gælder det pågældende EU-lands bestemmelser om sikkerhedsforanstaltninger tillige for databehandleren Databehandleren er forpligtet til at oplyse med præcise adresseangivelse, hvor den Dataansvarliges personoplysninger opbevares. Leverandøren skal ajourføre oplysningerne over for den Dataansvarlige ved enhver ændring. Oversigt over data- og backupcentre med Side 3

4 adresseangivelse af, hvor Dataansvarliges data behandles, udfyldes af Databehandler (bilag C) Databehandleren skal udarbejde en intern instruks om behandling af personoplysninger for de ansatte, der har adgang til personoplysningerne eller på anden måde varetager behandling af disse personoplysninger. Databehandleren indestår for, at instruksen efterleves af alle ansatte, der arbejder med oplysninger tilhørende den dataansvarlige. Instruksen skal forevises, hvis den dataansvarlige anmoder om det Databehandleren er tillige underlagt forvaltningslovens regler om tavshedspligt. Alle data, såvel persondata som virksomhedsdata, som databehandleren får adgang til, er fortrolige. Databehandleren må således ikke videregive oplysninger til tredjemand, medmindre det sker som led i opfyldelse af myndigheds- eller lovkrav. Den Dataansvarlige skal orienteres skriftligt forinden en eventuel videregivelse af data sker til tredjemand. Tavshedspligten ophører ikke ved ophør af Databehandleraftalen Databehandleren må kun foretage behandling af persondataoplysninger på ad-hoc arbejdspladser (eksempelvis hjemmearbejdspladser) hvis de pågældende arbejdspladser er sikret på fuldt samme måde, som hvis behandlingen skete ved en arbejdsplads på selve virksomheden. 4. Underretningspligt 4.1. Databehandleren har pligt til uden unødig forsinkelse at underrette den dataansvarlige ved kendskab til enhver afvigelse i forhold til aftalens indhold, f.eks.: Ved enhver fravigelse fra givne instrukser Ved afvigelse fra det aftalte om tilgængelighed Ved planlagte releases, opgraderinger, tests mv. Ved enhver mistanke om brud på fortrolighed Ved enhver mistanke om misbrug, fortabelse og forringelse af data 5. Brug af underdatabehandler 5.1. Databehandleren må ikke benytte underdatabehandlere til varetagelsen af opgaver for Dataansvarlige, hvis opgaverne involverer personoplysninger fra Dataansvarliges system, medmindre det forudgående er godkendt skriftligt af den Dataansvarlige Det er databehandlerens ansvar at sikre, at underdatabehandleren lever op til de samme krav, den Dataansvarlige har stillet i nærværende databehandleraftale Det er Databehandlerens ansvar at føre tilsyn og kontrol med underdatabehandleren, eksempelvis gennem en skriftlig revisionserklæring som er udarbejdet af en uafhængig tredjepart. Databehandleren skal skriftligt kunne dokumentere denne overfor den Dataansvarlige. 6. Kontroller og erklæringer 6.1. Databehandleren er forpligtiget til uden unødigt ophold at give Vesthimmerlands Kommune tilstrækkelige oplysninger til, at den dataansvarlige til enhver tid kan sikre sig, at der er implementeret de nødvendige og tilstrækkelige sikkerhedsforanstaltninger jf. punkt Databehandleren er indforstået med, at den Dataansvarlige, en repræsentant for den Dataansvarlige eller dennes revision (såvel intern som ekstern) har adgang til al nødvendig Side 4

5 information, der vedrører indholdet i Aftalen, samt adgang til at foretage sikkerhedsrevision, få udleveret dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at Databehandleren over de krav, der følger af lovgivningen og denne Aftale. Databehandler skal hvert år vederlagsfrit til kommunen fremsende en årlig erklæring fra en uafhængig revisor, som bekræfter, at virksomheden har et sikkerhedsniveau mindst svarende til kravene i denne databehandleraftale I tilfælde af, at den Dataansvarlige og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en fysisk inspektion af de ovennævnte foranstaltninger, forpligtiger Databehandleren sig til med et rimeligt varsel at stille tid og ressourcer til rådighed herfor. 7. Håndtering af oplysninger efter aftalens ophør 7.1. Databehandleren forpligtiger sig til at sikre, at personhenførbare oplysninger slettes når databehandlingen, jf. kontrakt med den dataansvarlige skal ophøre, medmindre det fremgår af anden lovgivning at data skal gemmes. Det påhviler den dataansvarlige at oplyse Databehandleren om det tidspunkt, hvor databehandlingen skal ophøre. Det påhviler herefter Databehandleren at slette personhenførbare oplysninger ved det oplyste tidspunkt. Sletning må dog ikke ske før Databehandleren har oplyst om den påtænkte fremgangsmåde for sletning og først efter særskilt indhentelse af bekræftelse fra den Dataansvarlige på at sletning må ske på den oplyste dato Såfremt den Dataansvarlige ikke finder metoden tilstrækkelig effektiv, skal den Dataansvarlige meddele Databehandleren hvilken metode der anses for tilstrækkelig effektiv Ved anmodning fra den Dataansvarlige skal Databehandleren fremsende en skriftlig erklæring på at data er slettet som aftalt sammen med en beskrivelse af den anvendte metode. 8. Aftalens ikrafttræden, opsigelse og varighed 8.1. Denne aftale er gældende så længe Databehandleren udfører de pågældende opgaver for Dataansvarlige. Opgaver der vedrører behandling af personoplysninger kan først udføres fra den dag, hvor aftalen træder i kraft Databehandleraftalen er en del af aftalegrundlaget mellem den dataansvarlige og databehandler jf. pkt.1. Aftalen kan tidligst opsiges af Databehandleren til det tidspunkt hvor de aftalemæssige forhold med den dataansvarlige skal ophøre, jf. pkt. 1 og den i pkt. 7.3 beskrevne dokumentation er modtaget og accepteret af den dataansvarlige Aftalen bortfalder endvidere automatisk, hvis kontraktgrundlaget for denne aftale bortfalder eller ophører Når kontrakten med den Dataansvarlige ophører, skal alle personoplysninger slettes eller tilbageleveres til den Dataansvarlige efter nærmere aftale, jf. pkt Anmeldelse til Datatilsynet 9.1. Den dataansvarlige foretager anmeldelse af behandlingen/behandlingerne til Datatilsynet, hvis der er tale om behandling af fortrolige og/eller følsomme personoplysninger. Side 5

6 9.2. Såfremt Databehandleren benytter underdatabehandler til behandling/behandlinger af personoplysninger på den dataansvarliges vegne, foretages anmeldelse til Datatilsynet af denne/disse behandling/behandlinger. Databehandler skal derfor oplyse præcis adresse, hvor data opbevares, også hos en eventuel underdatabehandler (se bilag C). 10. Aftalens underskrift Aftalen underskrives af begge parter, og hver part opbevarer et eksemplar/kopi i mindst 5 år efter databehandleraftalens ophør. Dato: For Vesthimmerlands Kommune (Dataansvarlig): Dato: For [Indsæt navn på databehandler] (Databehandler): Underskrift PIA RISGÅRD Navn UDBUDS- OG DIGITALISERINGSCHEF Titel Underskrift Navn (blokbogstaver) Titel (blokbogstaver) Bilag Bilag A: Databehandlerinstruks Bilag B: Behandling af personoplysninger Bilag C: Underdatabehandler og data lokationer Kontaktinformation: I-sikkerhedskonsulent Lone Broberg, Side 6

7 Bilag A - Databehandlerinstruks Databehandlerinstruks for udvalgte områder. Databehandleren skal fortsat overholde de til enhver tid gældende regler og forskrifter for behandling af personoplysninger, selvom de ikke er oplyst i det nedenstående. Databehandleren må alene behandle personoplysninger til formål som er nødvendige for Databehandlerens gennemførelse af den aftalte opgave. Databehandleren indestår for, at instruksen udleveres til og efterleves af alle Databehandlerens ansatte omfattet af opgaven. Oplysninger må ikke videregives til tredjemand, medmindre det sker efter aftale med Dataansvarlige, eller det er tilladt eller påkrævet i medfør af den til enhver tid gældende lovgivning, og Dataansvarlige er informeret herom. Generelt Databehandleren skal fastsætte og sikre retningslinjer vedrørende it-sikkerhed i forbindelse med behandlingen af Oplysningerne. Databehandleren skal etablere og opretholde fornødne sikkerhedsorganisatoriske forhold og fysisk sikring, herunder administration af adgangskontrolforanstaltninger og autorisationsordninger samt kontrol af autorisationer. Databehandleren skal fastsætte og sikre retningslinjer, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af it-udstyr. Desuden skal der gælde retningslinjer for tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat. Databehandleren skal tillige sikre, at der udarbejdes en instruks til relevante sikkerhedsadministratorer, der nærmere beskriver rettigheder og pligter i forhold til tildeling af adgang til af aftalen omfattede løsning. Databehandleren skal efter anmodning fra Vesthimmerlands Kommune udlevere en kopi af denne instruks. Interne sikkerhedsforskrifter Databehandleren skal fastsætte interne sikkerhedsforskrifter, der sikrer, at Databehandlerens ansatte kun har adgang til personoplysninger, som er nødvendige for den ansattes udførelse af sine arbejdsopgaver. Retningslinjerne skal være udformet efter Datatilsynets vejledning til Sikkerhedsbekendtgørelsen. Opmærksomheden henledes på, at der herefter gælder særligt skærpede krav for behandling af følsomme oplysninger. Såfremt Databehandlerens ansatte anvender hjemmearbejdsplads, skal Databehandleren indestå for, at ovenstående interne sikkerhedsforanstaltninger også overholdes på hjemmearbejdspladsen. De interne retningslinjer skal gennemgås mindst én gang om året med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold. Med et passende varsel skal databehandleren forevise sine retningslinjer til gennemsyn. Autorisation og adgangskontrol Der stilles krav om en sikker identifikation af brugerne af systemet samt en sikker metode til autorisation og kontrol af brugerrettigheder, jf. Sikkerhedsbekendtgørelsens 11. Side 7

8 Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles, og brugere må ikke autoriseres til anvendelser, de ikke har behov for i forhold til deres jobfunktion. Der må dog autoriseres personer, for hvem adgang til oplysningerne er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. Der skal være login- og adgangskodeprocedure, og der skal føres log med navns nævnelse over, hvem der har haft adgang til hvilke persondata og på hvilket tidspunkt. Databehandleren skal til enhver tid kunne fremvise en sådan log på Dataansvarliges foranledning. Behandling af ind- og uddatamateriale Databehandleren skal sikre, at alle ind- og uddata behandles fortroligt, jf. Sikkerhedsbekendtgørelsens 10 og 13. Transmission af personoplysninger over internettet Databehandleren skal sikre, at der træffes fornødne sikkerhedsforanstaltninger ved transmission af personoplysninger over internettet. Det følger af Sikkerhedsbekendtgørelsen, vejledningen hertil samt Datatilsynets praksis, at der ved transmission af oplysninger om personnumre og andre fortrolige oplysninger over internettet som minimum foretages kryptering. Hvis der er tale om følsomme oplysninger omfattet af persondatalovens 7 og 8, skal der som minimum anvendes en stærk kryptering, baseret på en anerkendt algoritme. Databehandleren skal derudover sikre, at der etableres og vedligeholdes en anerkendt og opdateret firewall samt virusværn. Kontrol med afviste adgangsforsøg Databehandler skal sikre, at der foretages registrering af alle afviste adgangsforsøg i overensstemmelse med Sikkerhedsbekendtgørelsens 18. Logning Databehandleren skal sikre, at der foretages logning i overensstemmelse med Sikkerhedsbekendtgørelsens 19. Loggen skal opbevares i 6 måneder, hvorefter den slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Ændringer Den Dataansvarlige kan til enhver tid foretage ændringer i denne generelle databehandlerinstruks med et forudgående varsel på mindst 30 dage. Databehandleren skal ved sådanne ændringer straks sikre, at Underdatabehandleren forpligtes af den ændrede databehandlerinstruks. Side 8

9 Bilag B Behandling af personoplysninger Databehandleren kan ikke uden forudgående tilladelse fra Vesthimmerlands Kommune, behandle andre data, end de data der er nødvendige for Kommunens brug af systemet. Behandlingens betegnelse og formål [Indsæt en beskrivelse af formålet med databehandleraftalen, som ligeledes dækker behandlingen af personoplysninger] 1. Behandles der følsomme oplysninger [ ] Racemæssig eller etnisk baggrund [ ] Politisk overbevisning [ ] Religiøs overbevisning [ ] Filosofisk overbevisning [ ] Fagforeningsmæssige tilhørsforhold [ ] Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v. [ ] Seksuelle forhold 2. Behandles der andre oplysninger om enkeltpersoners rent private forhold [ ] Strafbare forhold [ ] Foreningsmæssige forhold [ ] Væsentlige sociale problemer [ ] Andre forhold, som ikke er nævnt under pkt Der behandles oplysninger om følgende kategorier af personer A) INDSÆT KATEGORI AF PERSONER B) INDSÆT KATEGORI AF PERSONER C) INDSÆT KATEGORI AF PERSONER 4. Der behandles følgende kategorier er personoplysninger Re A): Re B): Re C): Side 9

10 Bilag C Underdatabehandler og data lokationer Databehandler bedes udfylde bilag C. 1. Angivelse af Underdatabehandler 2. Angivelse af lokation(er) for behandlingen og for data- og backupcentre. Skal opgives af Databehandleren, uanset om denne benytter sig af en Underdatabehandler eller ej. [Indsæt adressen for alle lokaliteter, hvor behandlingen af personoplysninger foregår, ved fulde adresse og land.] Navn på Databehandler og/eller Underdatabehandler Adresse for behandlingen / opbevaring af data Side 10