Internet Explorer is not supported. Consider opening website in Edge, Chrome or Firefox


Databehandleravtale for personopplysninger

  1. INNHOLD OG FORMÅL
    1. Det er inngått avtale om tjenester mellom Behandlingsansvarlig og Databehandler («Tjenesteavtalen») som Databehandler skal gi Behandlingsansvarlig i egenskap av databehandler. De avtalte tjenestene innebærer at Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig, i den grad det er regulert i Tjenesteavtalen og Databehandleravtalen.
    2. Etter gjeldende personvernlovgivning, se punkt 2.5 nedenfor, skal behandling av personopplysninger som utføres av en databehandler på vegne av en behandlingsansvarlig reguleres i avtale. På grunn av dette har Partene inngått Databehandleravtalen.
    3. Formålet med Databehandleravtalen er å sikre at Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig skjer i samsvar med gjeldende personvernlovgivning, myndighetsvedtak og instruksene til Behandlingsansvarlig.
    4. Databehandleravtalen er et vedlegg til Tjenesteavtalen. Ved motstridende bestemmelser skal Databehandleravtalen prioriteres.
  2. DEFINISJONER
    1. «Personopplysninger» refererer til all slags informasjon som direkte eller indirekte kan tilskrives en fysisk person som er i live og som behandles på vegne av den behandlingsansvarlige.
    2. «Registrert» refererer til den fysiske personen som personopplysningene angår.
    3. «Behandling» eller «Behandle» betyr et tiltak eller en kombinasjon av tiltak vedrørende personopplysninger, uavhengig av om de utføres automatisk eller ikke, slik som innsamling, registrering, organisering, strukturering, lagring, behandling eller modifikasjon, utvikling, lesing, bruk, utlevering ved overføring, spredning eller andre måter, justering eller oppsummering, begrensning, sletting eller ødeleggelse.
    4. Med «Underleverandør» menes en fysisk eller juridisk person, myndighet eller annet organ engasjert av Databehandler for behandling av personopplysninger.
    5. «Gjeldende personvernlovgivning» betyr Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt oppheving av direktiv 95/46/EF (generell personvernforordning) med tilhørende gjennomføringsbestemmelser samt eventuell annen lovgivning (inkludert forskrifter og forskrifter) som gjelder for behandling av personopplysninger, da dette kan endre seg over tid.
    6. Begreper og uttrykk knyttet til personopplysninger og behandling av personopplysninger og som begynner med f.eks. «behandlingsansvarlig», «databehandler», «personopplysningshendelse» etc., skal gis den betydningen som er angitt i Gjeldende personvernlovgivning.
  3. BEHANDLINGSANSVARLIG SITT ANSVAR
    1. Behandlingsansvarlig er personopplysningsansvarlig for all Behandling av Personopplysninger i henhold til Gjeldende personvernlovgivning.
    2. Behandlingsansvarlig forplikter seg til å utarbeide skriftlige instrukser slik at Databehandler og eventuelle underleverandører skal kunne utføre sitt oppdrag i henhold til Databehandleravtalen. Behandlingsansvarlig sine instrukser til Databehandler angående Behandlingens art og formål, varighet, type Personopplysninger og kategorier av den Registrerte fremgår av Vedlegg 1 - Instruksjoner til Databehandleravtalen.
    3. Behandlingsansvarlig forplikter seg til uten opphold å informere Databehandler om endringer i Behandlingen av Personopplysninger som påvirker Databehandlers forpliktelser i henhold til Gjeldende personvernlovgivning eller annen relevant lovgivning.
  4. DATABEHANDLERS PLIKTER
    1. Databehandler forplikter seg til kun å Behandle Personopplysninger på vegne av Behandlingsansvarlig i henhold til Databehandleravtalen, Tjenesteavtalen og til enhver tid gjeldende instruks fra Behandlingsansvarlig.
    2. Ved behandling av Personopplysninger skal Databehandler overholde Gjeldende personvernlovgivning og uttalelsene og anbefalingene fra den gjeldende tilsynsmyndigheten. Partene er enige om at Databehandleravtalen skal justeres dersom dette er påkrevd på grunn av Gjeldende personvernlovgivning.
    3. Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom Databehandler har mangelfulle eller uriktige instrukser vedrørende Databehandlers Behandling av Personopplysninger eller dersom Databehandler mistenker eller oppdager at instruksene til Behandlingsansvarlig strider mot Gjeldende personvernlovgivning.
  5. SIKKERHET M.M.
    1. Ved Behandling av Personopplysninger skal Databehandler iverksette alle nødvendige tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er hensiktsmessig i forhold til risikoen og for å beskytte Personopplysninger mot uautorisert eller ulovlig behandling, utilsiktet eller ulovlig tap, ødeleggelse eller endring eller uautorisert utlevering av eller tilgang til slike personopplysninger. Under alle omstendigheter skal Databehandler treffe de tiltak som er angitt i Vedlegg 2 - Sikkerhetsinstruksjoner til Databehandleravtalen.
    2. Databehandler skal uten ugrunnet opphold, men senest innen tjuefire (24) timer, skriftlig varsle Behandlingsansvarlig om en mistanke eller påvist personopplysningshendelse som kan føre til utilsiktet eller ulovlig ødeleggelse, tap eller endring eller uautorisert utlevering av eller uautorisert tilgang til Personopplysninger.
    3. Databehandler skal gi Behandlingsansvarlig følgende informasjon om personopplysningshendelsen: (a) en beskrivelse av personopplysningshendelsens art, kategorier av og det omtrentlige antallet Registrerte som er berørt, og kategoriene av og det omtrentlige antallet personopplysningsposter som er berørt; (b) navn og kontaktinformasjon til personvernombudet eller andre kontaktpunkter der mer informasjon kan fås; (c) en beskrivelse av de sannsynlige konsekvensene av personopplysningshendelsen, og (d) en beskrivelse av tiltakene som Databehandler har iverksatt eller foreslått for å avhjelpe personopplysningshendelsen, inkludert tiltak for å dempe dens potensielle negative virkninger.
    4. Ved behandling av personopplysninger skal Databehandler bistå Behandlingsansvarlig med gjennomføring av konsekvensutredninger vedrørende personvern, forutgående konsultasjon med gjeldende tilsynsmyndighet, og utforming av hensiktsmessige tekniske og organisatoriske tiltak, i den grad det er kreves av Gjeldende personvernlovgivning.
  6. KONFIDENSIALITET
    1. Databehandler og de personer som arbeider under ledelse av Databehandler skal ved Behandling av Personopplysninger ivareta både konfidensialitet og taushetsplikt.
    2. Databehandler forplikter seg til å sørge for at alle personer som er autorisert til å Behandle Personopplysninger må inngå en særskilt konfidensialitetsavtale eller informeres om at det foreligger taushetsplikt i henhold til lov eller avtale.
    3. Databehandler sin taushetsplikt gjelder også etter at Databehandleravtalen er utløpt, uten tidsbegrensning.
  7. UTLEVERING AV PERSONOPPLYSNINGER
    1. I tilfelle den Registrerte, gjeldende tilsynsmyndighet eller annen tredjepart ber Databehandler om informasjon om Behandling av Personopplysninger, skal Databehandler henvise til Behandlingsansvarlig. Databehandler kan ikke utlevere Personopplysninger eller annen informasjon om Behandling av Personopplysninger uten eksplisitt instruks fra Behandlingsansvarlig, eller dersom utleveringen er lovpålagt.
    2. Databehandler skal uten ugrunnet opphold informere Behandlingsansvarlig om eventuelle kontakter med gjeldende tilsynsmyndighet som angår, eller kan ha betydning for, Databehandlers Behandling av Personopplysninger. Databehandler har ikke rett til å representere Behandlingsansvarlig eller opptre på dennes vegne overfor gjeldende tilsynsmyndighet.
    3. Databehandler skal uten ugrunnet opphold bistå Behandlingsansvarlig i forbindelse med forespørsel fra den Registrerte omhandlende utlevering, retting, sletting, blokkering eller overføring av Personopplysninger, herunder gi all relevant informasjon og dokumentasjon i den omfang som kreves i henhold til Gjeldende personvernlovgivning. Databehandler skal ikke foreta noen handling som fører til at Behandlingsansvarlig anses å handle i strid med Gjeldende personvernlovgivning.
  8. UNDERLEVERANDØR
    1. Databehandler har rett til å ansette underleverandør for oppfyllelse av Databehandlers forpliktelser etter Databehandleravtalen, forutsatt at:
      1. Databehandler informerer Behandlingsansvarlig om sine intensjoner om å bruke eller erstatte en underleverandør, hvorpå Behandlingsansvarlig har rett til å motsette seg en slik endring, o
      2. Underleverandøren gjennom en såkalt underleverandøravtale med Databehandler pålegges de samme forpliktelsene når det gjelder personvern som fastsatt i Databehandleravtalen og fremfor alt å gi tilstrekkelige garantier for å iverksette hensiktsmessige tekniske og organisatoriske tiltak på en slik måte at Behandlingen oppfyller kravene i Gjeldende personvernlovgivning.
      Kopi av inngått underleverandøravtale skal sendes Behandlingsansvarlig uten ugrunnet opphold, men senest innen tretti (30) dager.
    2. Dersom Behandlingsansvarlig har protestert mot en underleverandør i henhold til pkt. 8.1 ovenfor, skal partene sammen drøfte mulige tiltak for å løse årsaken til den Behandlingsansvarliges innsigelse. Dersom Partene ikke kan bli enige om en løsning innen rimelig tid, som ikke skal overstige tretti (30) dager, har Behandlingsansvarlig rett til å si opp Tjenesteavtalen med Databehandler ved å gi skriftlig melding til Databehandler. Databehandler må da tilbakebetale alle mulige forhåndsbetalinger for de avtalte tjenestene under Tjenesteavtalen.
    3. Behandlingsansvarlig har rett til å nekte eller tilbakekalle en godkjenning dersom Behandlingsansvarlig vurderer at underleverandør ikke overholder eller er i stand til å overholde forpliktelsene angitt i Databehandleravtalen.
    4. Databehandler skal sørge for at Behandlingsansvarlig er kjent med hvilke Underleverandører som Behandler Personopplysninger ved å, på forespørsel fra Behandlingsansvarlig, gi Behandlingsansvarlig fullstendig, korrekt og oppdatert informasjon vedrørende alle underleverandører, hvor følgende informasjon spesifiseres for hver underleverandør:
      1. definisjon av Underleverandøren, inkludert kontaktinformasjon, selskapsform og geografisk plassering;
      2. hva slags tjeneste underleverandøren utfører;
      3. garantier som er satt for at kravene i Gjeldende personvernlovgivning overholdes, og
      4. hvor Underleverandør Behandler Personopplysninger omfattet av Databehandleravtalen.
    5. En liste over Underleverandører ansatt for Behandling av Personopplysninger fremgår av Vedlegg 3 - Underleverandører til Databehandleravtalen.
    6. Dersom Underleverandøren ikke oppfyller sine forpliktelser vedrørende Behandling av Personopplysninger i henhold til Databehandleravtalen, skal Databehandler forbli fullt ansvarlig overfor Behandlingsansvarlig for Underleverandørens oppfyllelse av Underleverandørens forpliktelser i henhold til Databehandleravtalen og Gjeldende personvernlovgivning.
  9. OVERFØRING AV PERSONOPPLYSNINGER TIL TREDJELAND
    1. Databehandler kan ikke, hverken alene eller gjennom Underleverandøren, uten Behandlingsansvarliges skriftlige forhåndsgodkjenning, Behandle Personopplysninger i et tredjeland.
    2. Hvis Databehandler skal Behandle Personopplysninger i tredjeland, må Databehandler først:
      1. undersøke om tredjelandet gir et tilstrekkelig beskyttelsesnivå for personopplysninger i samsvar med en beslutning utstedt av Europakommisjonen, og i så fall kan Personopplysninger overføres til det gjeldende tredjelandet, og dersom en slik beslutning ikke eksisterer;
      2. sørge for at det er på plass hensiktsmessige sikkerhetstiltak i samsvar med Gjeldende personvernlovgivning, f.eks. standardiserte personvernforskrifter vedtatt av EU-kommisjonen eller bindende bedriftsforskrifter, som dekker Behandling av Personopplysninger.
    3. Dersom Behandling av Personopplysninger i et tredjeland krever at det inngås en særavtale basert på standardiserte personvernbestemmelser, har Databehandler, uavhengig av om det er Databehandler eller Underleverandør som skal inngå avtalen, rett til å signere slik avtale på Behandlingsansvarliges vegne. Behandlingsansvarlig har rett til å nekte godkjenning dersom særavtalen ikke oppfyller kravet til hensiktsmessige beskyttelsestiltak i henhold til Gjeldende personvernlovgivning.
    4. Behandlingsansvarlig har rett til å trekke tilbake en godkjenning for en tredjelandsoverføring når som helst i samsvar med paragraf 9. I et slikt tilfelle skal Databehandler umiddelbart stanse Behandlingen av Personopplysninger i tredjeland og på Behandlingsansvarliges forespørsel bekrefte dette skriftlig til Behandlingsansvarlig.
  10. INNSYN OG OPPFØLGING
    1. Databehandler skal uten opphold på forespørsel fra Behandlingsansvarlig gi all informasjon som Behandlingsansvarlig trenger for å kunne gjennomgå og utøve sin innsikt i Databehandlers Behandling av Personopplysninger som følger av Databehandleravtalen.
    2. Behandlingsansvarlig har selv eller gjennom tredjepart rett til innsyn i fasiliteter, informasjon og register for å kunne kontrollere at Databehandler oppfyller forpliktelsene beskrevet i Databehandleravtalen. Databehandler forplikter seg til å muliggjøre og bistå Behandlingsansvarlig i den grad det kreves for at Behandlingsansvarlig enkelt skal kunne forvisse seg om dette.
    3. Databehandler skal autorisere inspeksjoner som den gjeldende tilsynsmyndigheten kan kreve i henhold til Gjeldende personvernlovgivning for å sikre korrekt behandling av Personopplysninger. Databehandler skal følge vedtak fattet av gjeldende tilsynsmyndighet om tiltak for å overholde Gjeldende personvernlovgivning.
    4. Databehandler skal sørge for at Behandlingsansvarlig sikres en tilsvarende rett til innsyn og oppfølging i forhold til innleide Underleverandører.
    5. Retten til innsyn og oppfølging etter punkt 10 kan også skje etter at Behandlingen av Personopplysninger er opphørt, dersom formålet er å sikre at Databehandler har oppfylt sine forpliktelser som beskrevet i Databehandleravtalen.
  11. AVSLUTNING AV BEHANDLING
    1. Etter oppsigelse av Databehandleravtalen eller Tjenesteavtalen (avhengig av hva som inntreffer først), skal Databehandler sende inn Personopplysninger til Behandlingsansvarlig innen tretti (30) dager. Etter at Databehandler har overlevert Personopplysninger til Behandlingsansvarlig, skal Databehandler slette Personopplysninger på en slik måte at de ikke kan gjenskapes, med mindre lagring av Personopplysninger er lovpålagt.
    2. Databehandler skal dokumentere tiltakene som er iverksatt for å overholde forpliktelsene fastsatt i punkt 11 og skal på anmodning fra Behandlingsansvarlig gi en kopi av slik dokumentasjon.
  12. ERSTATNING
    1. Utover det som følger av Tjenesteavtalen har ikke Databehandler krav på særskilt kompensasjon for oppfyllelse av plikter etter Databehandleravtalen eller Gjeldende personvernlovgivning.
  13. ANSVAR FOR SKADE
    1. Databehandler skal holde Behandlingsansvarlig fri for skade med hensyn til den type skade som har oppstått som følge av Behandling av Personopplysninger i strid med Databehandleravtalen, instruks fra Behandlingsansvarlig, myndighetsvedtak eller Gjeldende personvernlovgivning.
    2. Databehandler skal uten ugrunnet opphold informere Behandlingsansvarlig dersom det igangsettes en slik skadeerstatningsprosess som er knyttet til Behandling av Personopplysninger i henhold til Databehandleravtalen. Databehandler plikter å treffe rimelige tiltak for å begrense skadevirkningene av det inntrufne.
  14. ENDRINGER I AVTALEN
    1. Endringer og tillegg til Databehandleravtalen og Tjenesteavtalen skal, for å være bindende, være skriftlig og behørig signert av Partene.
    2. Punkt 14 hindrer ikke Behandlingsansvarlig i å endre eller gi ytterligere instrukser i samsvar med det som er angitt i Databehandleravtalen.
  15. AVTALETID
    1. Databehandleravtalen trer i kraft ved undertegning av begge Parter og skal deretter være gyldig inntil videre. Behandlingsansvarlig har rett til å si opp Databehandleravtalen med overholdelse av en oppsigelsesfrist på tretti (30) dager. Oppsigelse må skje skriftlig.
    2. Databehandleravtalen skal gjelde selv om Tjenesteavtalen opphører og inntil Databehandler (og Underleverandør engasjert av Databehandler) slutter å Behandle Personopplysninger.
  16. GJELDENDE LOV OG TVIST
    1. Svensk lov gjelder for tolkning og anvendelse av Databehandleravtalen.
    2. Tvister som knyttes til Databehandleravtalen skal avgjøres i henhold til det som er avtalt i Tjenesteavtalen.
    Databehandleravtalen er utarbeidet i to (2) eksemplarer, hvor Partene har mottatt ett eksemplar hver.
    På vegne av Behandlingsansvarlig
    På vegne av Databehandler

Vedlegg 1 - Instruksjoner

Dette Vedlegg 1 til Databehandleravtalen beskriver Behandlingen av Personopplysninger som Databehandler utfører på vegne av Behandlingsansvarlig under Databehandleravtalen.

Behandlingens gjenstand

Ingen Personopplysninger behandles av Databehandler. Den eneste personligopplysningene som vises i noen av programmene er når en konto opprettes. Deretter kan brukere legge til mottakere som kan motta informasjon fra NLF klima og miljø Det handler imidlertid om en mottakers e-post og mobilnummer.

Behandlingens hensikt

Databehandler håndterer ikke Personopplysninger i programmet. Dette håndteres av brukeren og Behandlingsansvarlig når denne stenger eller aktiverer kontoer. Når det oppstår et problem, kan Databehandler bistå den Behandlingsansvarlig med å løse problemet.

Behandlingens art og omfang

Ingen personopplysninger håndteres manuelt av Databehandler ved normal drift av programmet, men kun dersom forespørselen kommer fra Behandlingsansvarlig om å bistå med å løse et problem som har oppstått. De aktuelle Personopplysningene kan i så fall være knyttet til brukerens kontoinformasjon og ikke noe annet enn i mottakerregisteret for informasjon som brukeren ønsker å sende fra systemet

Behandlingstrinn Beskrivelse
Innsamling

Oppstår manuelt når brukere oppretter kontoen sin eller oppretter brukerkontoer.

Når brukeren legger inn informasjon i kontinuerlig bruk i både NLF Kalkyle og NLF klima & Miljø, håndteres ingen personopplysninger.

Overføring Automatisert
Lagring Automatisert
Oppdatering og endring Dersom det dreier seg om brukeres opplysninger om kontoen, er det brukeren selv som endrer dette dersom det ikke er påkrevd av den Behandlingsansvarlige når denne blir bedt om å oppdatere informasjon i systemet.
Sletting Gjøres av Behandlingsansvarlig.
Analysering Statistikk produseres av antall brukere i NLF Kalkyle og NLF klima & Miljø og lages automatisk fortløpende av systemet. Ingen personlig informasjon oppgis og dataene er anonymisert.
Deling Ingen informasjon deles fra systemet.
Utlevering Brukeren kan dele sin informasjon med en annen bruker i systemet, men det handler om klimadata, drivstofforbruk, kjøretøy m.m. Det er også mulig å lage PDF-rapporter på innlagte data, men den inneholder ingen personopplysninger. Kontaktinformasjon kan imidlertid være tilgjengelig for den som har oppgitt denne informasjonen.
Avidentifisering Dataene som systemet genererer fokuserer ikke på personopplysninger, hverken i NLF Kalkyle og NLF Klima & Miljø.
Administrering Det er ingen spesiell administrasjon knyttet til databasen. Det vanlige er å skru av og på brukere eller bruke innlogging og dette gjøres av Behandlingsansvarlig. Behandlingsansvarlig kan gå inn og slette brukere og deres data når utvalgte personer har tilgang til systemet. Ingen slik oppgave utføres av Databehandler uten at det er etterspurt
Fullføring Grunnlaget for alle systemene det jobbes med er at systemene ikke tar sikte på å behandle Personopplysninger men data knyttet til miljøutslipp fra kjøretøy, kostnadsberegninger for lastebiler og meldinger om trafikkforstyrrelser.
Type personopplysninger

For- og etternavn, Firmanavn, Mobilnummer og E-post i både Kalkyle og NLF Klima & Miljø.

Kategorier av registrerte

De registrerte i Kalkyle og NLF Klima & Miljø. finnes i to kategorier. De som registrerer en konto og de som i kontoen oppretter brukere. All håndtering av brukerdata gjøres av brukeren selv og i de tilfeller brukere ber om det, gjøres endringer av Behandlingsansvarlig.

Behandlingen omfatter produktene beskrevet ovenfor samt de kategoriene som ellers følger av Tjenesteavtalen.

Sted hvor behandlingen utføres

Utføres på Macbook Pro, noen ganger i Stockholm-området og andre ganger i Örebro eller der man fysisk jobber.

Det kan for eksempel være Malmgatan 38 i Örebro. Håndteringen omfatter ikke behandling av personopplysninger, men programmering av applikasjonene.

Behandlingens varighet

Behandlingen varer så lenge det er nødvendig for at Databehandler skal kunne yte og levere tjenestene til Behandlingsansvarlig og for at Databehandler skal kunne oppfylle sine forpliktelser etter Tjenesteavtalen.

Vedlegg 2 – Sikkerhetsinstruksjoner

Dette Vedlegg 2 til Databehandleravtalen inneholder instrukser for Databehandler og redegjør for de tekniske og organisatoriske sikkerhetstiltak som Databehandler skal iverksette i henhold til Databehandleravtalens punkt 5.

Fysisk sikkerhet

Det skal iverksettes hensiktsmessige og tilstrekkelige tiltak for å sikre den fysiske sikkerheten til IT-rom, inkludert men ikke begrenset til, skallbeskyttelse, adgangsbeskyttelse, brannsikring, beskyttelse mot strømbrudd, tyverisikring og beskyttelse mot hærverk. Der det er hensiktsmessig, skal tiltakene som treffes sikre et beskyttelsesnivå som tilsvarer beskyttelsesnivåene angitt i vedlegg 1 til MSBs veiledning om fysisk informasjonssikkerhet i IT-rom.

Datautstyr- og systeminventar

Det skal føres en oversikt over datautstyr og systemer som brukes til Behandling av Personopplysninger. Det skal være dokumenterte rutiner for løpende oppdatering av denne oversikten.

Datamaskiner

Ansattes datamaskiner skal låses automatisk ved inaktivitet og skal kreve et sterkt passord for å låse opp. Brannmurer, antivirusprogramvare og sikkerhetsoppdateringer bør installeres og oppdateres regelmessig.

Godkjenning

Innlogging til systemet må skje via personlig brukeridentitet med passord. Passord bør være tilstrekkelig sterke og endres regelmessig. Det skal ikke være tillatt å overføre eller dele påloggingsinformasjon med andre personer. Det skal føres register over brukernes innlogging i systemer.

Autorisasjonshåndtering

Ansattes tilgang til Personopplysninger skal håndteres av et teknisk system for autorisasjonskontroll. Ansatte skal gis minst mulig tilgang ved Behandling av Personopplysninger. Kun ansatte som trenger tilgang til Personopplysninger for sitt arbeid skal gis tilgang. Det skal være dokumenterte rutiner for tildeling og fjerning av fullmakter.

Tilgangskontroll

Tilgang til Personopplysninger skal kunne kontrolleres i etterkant gjennom logger. Loggene må kontrolleres regelmessig for å oppdage uautorisert eller lovstridig tilgang til Personopplysninger.

Servere

Tilgang til administrative verktøy og grensesnitt på servere må begrenses. Ansatte som har administrative rettigheter må bruke sterke passord. Det skal ikke være tillatt å overføre eller dele påloggingsinformasjon med andre personer. Det skal være dokumenterte rutiner som sikrer at viktige oppdateringer for operativsystemer og applikasjoner installeres umiddelbart.

Nettverksikkerhet

Nettverk skal beskyttes mot eksterne angrep og tap av informasjon. Trådløse nettverk må beskyttes med kryptering. Inn- og utgående nettverkstrafikk skal filtreres via for eksempel brannmurer.

Beskyttelse mot skadelig og upålitelig programvare

Kun de programmer som er formelt godkjent i virksomheten kan være til stede i systemmiljøet. Det skal foreligge dokumenterte prosedyrer for å beskytte systemer mot virus, trojanere og andre former for digitale angrep.

Sikkerhetskopier

Personopplysninger må jevnlig overføres til sikkerhetskopier. Sikkerhetskopiene må holdes adskilt og godt beskyttet slik at Personopplysninger kan gjenopprettes etter en forstyrrelse. Det skal foreligge dokumenterte rutiner for sikkerhetskopiering, gjenopprettelse av sikkerhetskopier og tester av gjenopprettelse av sikkerhetskopier.

Datakommunikasjon

Tilkobling for ekstern datakommunikasjon skal beskyttes med en type teknisk funksjon som sikrer at tilkoblingen er autorisert. Personopplysninger som overføres via datakommunikasjon utenfor nettverk kontrollert av Databehandler (f.eks. internett) skal beskyttes med kryptering.

Sletting

Det skal være dokumenterte rutiner som sikrer at Personopplysninger kan slettes når de ikke lenger er nødvendige for formålet og at de ikke er mulig å gjenopprette.

Rapportering av personopplysningshendelser

Rutiner for rapportering og oppfølging av personopplysningshendelser og andre sikkerhetshendelser skal være på plass og følges.

Atskillelse

Personopplysningene må være atskilt fysisk og/eller logisk fra andre Personopplysninger.

Opplæring av personalet

Ansatte må ha jevnlig opplæring i personvern. Nyansatte må gjennomgå opplæring i personvern før de kan få tilgang til Personopplysninger.

Dokumentasjon av tiltak

Gjennomføringen av alle sikkerhetstiltak i samsvar med dette Vedlegg 2 skal dokumenteres og gis til Behandlingsansvarlig på forespørsel.

Cookies hjelper oss å levere våre tjenester. Ved å bruke våre tjenester, samtykker du til vår bruk av informasjonskapsler.