Acadrenr. 15/27563 Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler og persondataloven for Helsingør Kommune Indledning / Introduktion It-sikkerhedsaftale med ekstern part som følger af Persondataloven og itsikkerhedsreglerne Efter kommunens it-sikkerhedsregler, skal ethvert formaliseret eksternt samarbejde være baseret på en samarbejdsaftale. Denne del vedrører specielt it-sikkerhedsmæssige forhold eller forhold med relation hertil, herunder tavshedspligt. Praktisk udfyldelse og anvendelse af paradigme: Nærværende side 1 Indledning / introduktionen slettes ifm. udfyldelse af aftalen til en given ekstern part. Paradigmet udfyldes i alle felter angivet med klammer eksempel: [dato] (Paradigme) Aftale mellem Helsingør Kommune og [aftalepart] om it-sikkerhed Denne aftale vedrører parternes fælles forpligtelser efter lov om behandling af personoplysninger (persondataloven) og den i medfør deraf udstedte bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen) samt [IN] Kommunes it-sikkerhedspolitik og regler for it-sikkerhed i [IN] Kommune (it-sikkerhedsreglerne) og de i medfør heraf fastsatte bestemmelser. Denne aftale supplerer aftale af [dato] mellem [IN] Kommune og [aftalepart] om [angivelse], hvorefter [aftalepart] udfører behandling af oplysninger på vegne af [IN] Kommune. [aftaleparts] underleverandører er omfattet af aftalen. Al kommunikation mellem [IN] Kommune og underleverandører foretages via [aftalepart]. Reglerne i persondatalovens 41, stk. 3-5, samt reglerne i sikkerhedsbekendtgørelsen er ligeledes gældende hos [aftalepart] samt hos dennes underleverandører. Endvidere gælder kommunens it-sikkerhedsregler og it-sikkerhedspolitik. [IN] Kommune er forpligtet til at holde [aftalepart] orienteret om ændringer i ovenstående regler. 1
[Hvis aftalepart er etableret i en anden medlemsstat, skal det fremgå af aftalen, at de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, gælder for denne. [aftalepart] leverer som bilag til denne aftale de aktuelle bestemmelser oversat til dansk]. Sikkerhedsforanstaltningerne skal sikre mod, at [IN] Kommunes oplysninger: hændeligt eller ulovligt tilintetgøres, fortabes eller på anden vis forringes, kommer til uvedkommendes kendskab eller misbruges eller i øvrigt behandles i strid med gældende regler, hvoraf følger, at [aftalepart] til stadighed er forpligtet til at opretholde en i henhold til god it-skik og opdateret beskyttelse af [aftaleparts] systemer, herunder af driftsmiljøet, hvor disse kan påvirke [aftaleparts]levering af ydelser, mod ulovlig elektronisk eller fysisk indtrængen, hærværk, tyveri, hacking, edbvirus, denial of service angreb og andre lignende sikkerhedsmæssige brud, samt mod risiko for brand, storm, vandskade og andre forhold, der kan bringe [aftaleparts] opfyldelse af aftalen i fare eller ødelægge eller give uvedkommende adgang til [IN] Kommunes it-systemer, og behandles i strid med gældende regler. [aftalepart] har pligt til at følge de instrukser, som It-sikkerhedskoordinatoren i It, Tele og Innovation og systemejere giver. Anvender [aftalepart] pc-fjernarbejdspladser e.l. til behandling af [IN] Kommunes oplysninger, er fjernarbejdspladserne også omfattet af denne aftale. Offentlige kontrolmyndigheder og andre myndigheder skal i henhold til den til enhver tid gældende lovgivning eller [IN] Kommunes anvisninger inden for normal kontortid have adgang til uanmeldt at efterse, undersøge, kontrollere samt revidere data, datamedier og informationsbehandlende enheder hos [aftalepart.] Aftalen indebærer, at tavshedspligtsreglerne for offentligt ansatte i forvaltningslovens 27 og straffelovens 152-152 f er gældende, jf. straffelovens 152 a. Tavshedspligtsreglerne gælder også for aftaleparters medhjælpere, herunder medarbejdere, og dette skal kommunikeres til medhjælperne. Overtrædelse af disse tavshedspligtsbestemmelser kan medføre straf. Der skal i øvrigt iagttages ubetinget tavshed med hensyn til oplysninger, som der opnås kendskab til i forbindelse med arbejdet for kommunen. [aftalepart] er forpligtet til at pålægge personale og underleverandører, der får adgang til oplysninger omfattet af aftalen, samme tavshedspligt. Tavshedspligten ophører ikke ved samarbejdets eller medarbejderes ansættelses ophør. For [aftalepart]: For [IN] Kommune: 2
3
Tavshedspligterklæringer A. Tavshedspligterklæring for virksomheden Introduktion Tavshedspligtserklæring, jf. it-sikkerhedsregler afsnit 6.2. Efter it-sikkerhedsreglernes afsnit 6.2 skal der ved indgåelse af aftaler med eksterne samarbejdspartnere af samarbejdspartneren underskrives en tavshedspligtserklæring, hvis samarbejdspartneren (virksomheden) som led i samarbejdet får adgang til kommunens fortrolige og følsomme personoplysninger og værdioplysninger. Dette paradigme kan anvendes i den forbindelse: Praktisk udfyldelse og anvendelse af paradigme: Nærværende side 1 Introduktionen skal ikke indgå i erklæringen. Paradigmet udfyldes i alle felter angivet med klammer eksempel: [dato] Der må ikke foretages ændringer af formuleringer ud over udfyldelse af de angivne felter. 4
Erklæring om tavshedspligt og [IN] Kommunes it-sikkerhedsregler mv. for eksterne samarbejdspartnere (virksomheden) I forbindelse med [aftale angives] erklærer undertegnede sig [på vegne af ] bekendt med: Tavshedspligtsreglerne for offentligt ansatte i forvaltningslovens 27 og straffelovens 152-152 f. Bestemmelserne er optaget som bilag til denne erklæring. At tavshedspligtsreglerne efter straffelovens 152 a også gælder for den, der er eller har været beskæftiget med opgaver, der udføres efter aftale med en offentlig myndighed. At tavshedspligtsreglerne efter straffelovens 152 c også gælder for aftaleparters medhjælpere, herunder medarbejdere. At tavshedspligten ikke ophører ved samarbejdets eller medarbejderes ansættelses ophør. At overtrædelse af tavshedspligtsreglerne kan medføre straf. At behandling af personoplysninger mv. skal ske i overensstemmelse med gældende lovgivning, herunder lov om behandling af personoplysninger (persondataloven). [IN] Kommunes it-sikkerhedspolitik og regler vedrørende it-sikkerheden i [IN] Kommune. Navn: CPR-nr.: Stilling: 5
B. Tavshedspligterklæring for medarbejdere Introduktion Tavshedspligtserklæring, jf. it-sikkerhedsreglerne afsnit 6.2. Efter it-sikkerhedsreglernes afsnit 6.2 skal der ved indgåelse af aftaler med eksterne samarbejdspartnere af samarbejdspartnerens medarbejdere underskrives en tavshedspligtserklæring, hvis samarbejdspartnerens medarbejdere som led i samarbejdet får adgang til kommunens fortrolige og følsomme personoplysninger og værdioplysninger. Dette paradigme kan anvendes i den forbindelse, for alle de medarbejdere hos samarbejdspartneren, der er omfattet af ovennævnte. Praktisk udfyldelse og anvendelse af paradigme: Nærværende side 1 Introduktionen skal ikke indgå i erklæringen. Paradigmet udfyldes i alle felter angivet med klammer eksempel: [dato] Der må ikke foretages ændringer af formuleringer ud over udfyldelse af de angivne felter. 6
Erklæring om tavshedspligt og [IN] Kommunes it-sikkerhedsbestemmelser mv. for eksterne samarbejdspartneres medarbejdere I forbindelse med [aftale angives] erklærer undertegnede sig som ansat hos [ ], der efter aftale udfører opgaver hos [IN] Kommune, bekendt med: Tavshedspligtsreglerne for offentligt ansatte i forvaltningslovens 27 og straffelovens 152-152 f. Bestemmelserne er optaget som bilag til denne erklæring. At tavshedspligtsreglerne efter straffelovens 152 a også gælder for den, der er eller har været beskæftiget med opgaver, der udføres efter aftale med en offentlig myndighed. At tavshedspligtsreglerne efter straffelovens 152 c også gælder for aftaleparters medhjælpere, herunder medarbejdere. At tavshedspligten ikke ophører ved samarbejdets eller medarbejderens ansættelses ophør. At overtrædelse af tavshedspligtsreglerne kan medføre straf. At behandling af personoplysninger mv. skal ske i overensstemmelse med gældende lovgivning, herunder lov om behandling af personoplysninger (persondataloven). [IN] Kommunes it-sikkerhedspolitik og regler vedrørende it-sikkerheden i [IN] Kommune. Navn: CPR-nr./unik brugerident i egen virksomhed: Stilling: 7