BILAG 5 DATABEHANDLERAFTALE

Transkript

1 BILAG 5 DATABEHANDLERAFTALE

2 INDHOLDSFORTEGNELSE 1. Formål og omfang Databehandlers opgave Instruks Brug af ekstern Databehandler eller underleverandør Behandling i udlandet Tekniske og organisatoriske sikkerhedsforanstaltninger Ad hoc arbejdspladser Audit og Revisionserklæring Underretningspligt Persondatasikkerhedsbrud Tavshedspligt Håndtering af data efter aftalens ophør Aftalens ikrafttræden og varighed... 8 Side 2 af 9

3 Instruktion til Tilbudsgiver: Teksten i denne instruktion er ikke en del af Kontrakten og vil blive fjernet ved kontraktindgåelse. Formål med bilag: Bilag 5 indeholder en databehandleraftale, som Tilbudsgiver skal indgå med hver af de 5 regioner, Danske Regioner og Sundhedsdatastyrelsen, når Tilbudsgiver behandler data omfattet af persondatalovgivningen for en af disse. Instruks vedr. bilag: Tilbudsgiver skal ikke udfylde bilaget som en del af sit tilbud, men skal acceptere at aftalen indgås ved Kontraktindgåelse. Evaluering af besvarelse: Bilaget indgår ikke i tilbudsvurderingen. Side 3 af 9

4 DATABEHANDLERAFTALE Mellem parterne Den dataansvarlige myndighed [Region XX Adresse CVR-nr.] (herefter Dataansvarlig ) og Databehandler [Leverandørens navn] [Adresse] [Adresse] CVR. nr.: [Indsæt] (herefter Databehandler ) vedrørende [projekt eller system navn / titel] hvor data opbevares [fysisk placering af data/servere] Side 4 af 9

5 1. FORMÅL OG OMFANG Databehandleren skal overholde Persondataloven (lov nr. 421 af 31. maj 2000 med senere ændringer) med tilhørende bekendtgørelser. Databehandleren skal fra 25. maj 2018 i stedet for Persondataloven overholde Persondataforordningen (Europa-Parlamentets og Rådets forordning 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger) med tilhørende retsakter samt heraf afledt national lovgivning. Databehandleren forpligter sig endvidere til at overholde den dataansvarliges informationssikkerhedspolitik med tilhørende retningslinjer i forbindelse med den databehandling, som udføres for den dataansvarlige. Principperne og anbefalingerne i DS484:2005 / ISO med senere ændringer vil på alle relevante områder finde anvendelse i det omfang andet ikke fremgår af nærværende Aftale. 2. DATABEHANDLERS OPGAVE [En kort beskrivelse af Databehandlerens opgave.] 3. INSTRUKS Databehandleren handler alene efter dokumenteret instruks fra den dataansvarlige. Databehandleren skal sikre, at de overladte personoplysninger ikke benyttes til andre formål eller behandles på anden måde, end hvad der fremgår af den Dataansvarliges instruks. Denne Aftale og alle de for afviklingen af Databehandlerens opgave, jf. pkt. 2 ovenfor, nødvendige og beskrevne behandlinger betragtes som dokumenterede. Såfremt en instruktion efter Databehandlerens opfattelse er i strid med Persondataloven eller Persondataforordningen, skal Databehandleren orientere den Dataansvarlige herom. Databehandleren skal så vidt muligt bistå den Dataansvarlige med opfyldelse af den Dataansvarliges forpligtelser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigtigelse, begrænsning eller sletning, hvis de relevante personoplysninger behandles af Databehandleren. Modtager Databehandleren sådan henvendelse fra den registrerede, orienterer Databehandleren den Dataansvarlige herom. 4. BRUG AF EKSTERN DATABEHANDLER ELLER UNDERLEVERANDØR Såfremt Databehandleren samarbejder med en underleverandør, skal dette oplyses til den Dataansvarlige, og det er Databehandlerens ansvar at sikre sig, at underleverandøren lever op til de krav, den Dataansvarlige har stillet til sikker opbevaring og håndtering af data, og i øvrigt lever op til de forpligtelser som Databehandleren er pålagt i denne Aftale, herunder at underleverandøren i forhold til persondatabehandling er underlagt den Dataansvarliges instruks. Databehandleren skal indgå databehandleraftale med den eventuelle underleverandør, som pålægger denne tilsvarende forpligtelser som denne Aftale pålægger Databehandleren. Kopi af sådan databehandleraftale sendes til den Dataansvarlige. Ved indgåelse af aftale med ny underleverandør / Side 5 af 9

6 skift af eksisterende underleverandør skal den Dataansvarlige adviseres herom min. 1 måned før, og samtidig have tilsendt kopi af den indgåede databehandleraftale. 5. BEHANDLING I UDLANDET Databehandleren må ingenlunde overføre eller behandle de af nærværende Aftale omfattede persondata i andre lande end Danmark, uden den Dataansvarliges forudgående skriftlige godkendelse. Hvis Databehandleren eller en eventuel underleverandør er etableret i en anden EUmedlemsstat, skal bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende EU-medlemsstat tillige overholdes. 6. TEKNISKE OG ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER Databehandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med Persondataloven eller Persondataforordningen. Sikkerhedsbekendtgørelsen (bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001) skal tillige overholdes. Såfremt der er tale om et system som: 1. indeholder personhenførbare data 2. skal tilgås og transmitteres over internettet skal Databehandler årligt dokumentere sikkerheden f.eks. gennem en penetrationstest. 7. AD HOC ARBEJDSPLADSER Databehandleren må ikke foretage databehandling fra ad hoc arbejdspladser (fjernarbejdspladser eller hjemmearbejdspladser). Hvis Databehandleren har behov for i særlige tilfælde at foretage databehandling fra ad hoc arbejdspladser (fjernarbejdspladser eller hjemmearbejdspladser) skal dette: 1. Godkendes af den dataansvarlige myndighed og skal følge den dataansvarlige myndigheds retningslinjer for beskyttelse af persondata, herunder retningslinjer vedrørende anvendelse af kryptering og digital signatur og ellers i øvrigt følge de retningslinjer, der er gældende i DS484:2005 / ISO med senere ændringer 2. Beskrives i Aftalen Side 6 af 9

7 8. AUDIT OG REVISIONSERKLÆRING Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige oplysninger til, at denne kan påse, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet. Endvidere skal Databehandleren kunne dokumentere, at identificerede sårbarheder bliver imødegået ud fra en risikobaseret vurdering. Da den Dataansvarlige har pligt til aktivt at sikre, at de krævede sikkerhedsforanstaltninger overholdes hos Databehandleren, kan der indgås en gensidig aftale om, at der enten indhentes en årlig revisionserklæring fra en uafhængig tredjepart, eller at den Dataansvarlige kan vælge mellem selv at udføre regelmæssige sikkerhedsaudits, eller kan anmode om tilvejebringelse af dokumentation for at sikkerhedsmæssige foranstaltninger er gennemførte hos leverandøren. I tilfælde af, at den Dataansvarlige og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en fysisk inspektion af de ovennævnte foranstaltninger, forpligter Databehandleren sig til med et rimeligt varsel at stille tid og ressourcer til rådighed herfor. Den Dataansvarlige forventer at gennemføre en årlig fysisk inspektion. 9. UNDERRETNINGSPLIGT Databehandleren er forpligtet til at underrette den Dataansvarlige skriftligt ved kendskab til enhver afvigelse i forhold til aftalens indhold, f.eks.: Ved enhver fravigelse fra givne instrukser Ved afvigelse fra det aftalte om tilgængelighed Ved planlagte releases, opgraderinger, tests m.v. Ved enhver mistanke om brud på fortroligheden Ved enhver mistanke om misbrug, fortabelse og forringelse af data, jf. pkt. 10 nedenfor Ved enhver mistanke om alvorlig misligholdelse af aftalen skal den Dataansvarlige endvidere straks underrettes. Underretningen skal indeholde oplysning om karakteren af afvigelsen og hvorledes Databehandleren har håndteret dette. 10. PERSONDATASIKKERHEDSBRUD Såfremt Databehandleren måtte blive bekendt med et persondatasikkerhedsbrud, hvorved forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, er Databehandleren forpligtet til uden unødig forsinkelse at søge at lokalisere sådan brud og søge at begrænse opstået skade, samt reetablere eventuelt mistede data. Side 7 af 9

8 Databehandleren er endvidere forpligtet til uden unødig forsinkelse at underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. Databehandleren skal herefter, uden unødig forsinkelse, give skriftlig meddelelse til den Dataansvarlige, som så vidt muligt skal indeholde: a) En beskrivelse af karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede og registreringer af personoplysninger. b) Navn på og kontaktoplysninger for databeskyttelsesrådgiveren. c) En beskrivelse af de sandsynlige konsekvenser af bruddet. d) En beskrivelse af den foranstaltninger, som Databehandleren eller underdatabehandleren har truffet eller foreslår truffet for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skadevirkninger. Tilsvarende er underdatabehandlere pålagt uden unødig forsinkelse at underrette Databehandleren i overensstemmelse hermed. 11. TAVSHEDSPLIGT Databehandleren skal sikre, at de medarbejdere og eventuelle andre, herunder underdatabehandlere, der er autoriseret til at behandle de i Aftalen omfattede personoplysninger, er pålagt tavshedspligt. 12. HÅNDTERING AF DATA EFTER AFTALENS OPHØR Databehandleren forpligter sig at sikre, at personhenførbare data slettes når databehandlingen jf. aftale med den Dataansvarlige skal ophøre. Det påhviler den Dataansvarlige at oplyse Databehandleren om det tidspunkt, hvor databehandlingen skal ophøre. Det påhviler herefter Databehandleren at slette personhenførbare data ved det oplyste tidspunkt. Sletning må dog ikke ske før Databehandleren har oplyst den Dataansvarlige om den påtænkte fremgangsmåde for sletning og indhentet særskilt bekræftelse fra den Dataansvarlige på at sletning skal gennemføres på den oplyste dato. Såfremt den Dataansvarlige ikke finder metoden tilstrækkelig effektiv, skal den Dataansvarlige meddele Databehandleren hvilken metode, der anses for tilstrækkelig effektiv. Ved anmodning fra den Dataansvarlige, skal Databehandleren fremsende en skriftlig erklæring på at data er slettet som aftalt, inklusiv en beskrivelse af den anvendte metode. 13. AFTALENS IKRAFTTRÆDEN OG VARIGHED Databehandleraftalen indgås ved begge parters underskrivelse og kan tidligst opsiges af Databehandleren til det tidspunkt hvor databehandlingen jf. aftale med den Dataansvarlige skal ophøre og den i pkt. 10 beskrevne dokumentation er modtaget og accepteret af den dataansvarlige. Side 8 af 9

9 Såfremt den Dataansvarlige ikke i tilhørende kontrakt eller efter Databehandlerens gentagne anmodninger har oplyst Databehandleren om det tidspunkt, hvor databehandlingen skal ophøre, er Databehandleren berettiget til ved skriftlig meddelelse til den Dataansvarlige at opsige databehandleraftalen med 3 måneders varsel. Dato: For [Region XX]: Dato: For [Navn]: [Navn] Side 9 af 9