Databehandleravtale
Denne databehandleravtalen er bilag til Tjenesteavtalen
Dokumentet Tjenesteavtale og dokumentet Brukeravtale har blant annet til hensikt å oppfylle Databehandleravtalens bestemmelser ved å redegjøre for plikter i henhold til personvernlover referert til i Databehandleravtalen.
(Velg “Destinasjon: Lagre som PDF, om du vil lagre siden som eget dokument)
17. juli 2020
I henhold til personopplysningslovens § 13, jf. § 15 og personopplysningsforskriftens kapittel to, inngås følgende avtale mellom
heretter kalt behandlingsansvarlig
og
Vikarsystemet Borgen-Veland, (org.nr 925 358 436), leverandøren av nettportalen Vikarsystemet, som databehandler, heretter kalt Vikarsystemet.
Vedlegg:
I – Kravspesifikasjon etter databehandleravtale med Bærum Kommune (se) (Last ned)
II – Liste over underleverandører (Se) (Last ned)
III – Styringsdokumenter med ROS-analyse, beredskapsplan og DPIA. (Se) (Last ned)
1. Avtalens hensikt
Avtalen regulerer rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften) og GDPR (personvernforordningen).
Avtalen regulerer sin håndtering av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, lagring og utlevering, i forbindelse med bruken av Vikarsystemet.
Avtalen skal sikre at personvernet til de registrerte (ansatte, tilkallingsvikarer og andre) ikke krenkes ved behandling av personopplysninger i Vikarsystemet.
Vilkårene i denne avtalen går foran vilkår i andre avtaler inngått mellom behandlingsansvarlig og Vikarsystemet.
2. Formål og formålsbegrensning
Formålet med Vikarsystemet sin behandling av personopplysninger på vegne av behandlingsansvarlig, er å levere og administrere en digital løsning for kundens tilkallingsvikarer. Dette omfatter blant annet automatisk telefonoppringing.
Personopplysninger som Vikarsystemet behandler i vil ikke bli brukt til andre formål enn dette, om ikke brukere selv ønsker å f.eks. motta nyhetsbrev. Dette må personen eksplisitt ytre ønske om.
3. Personopplysninger som behandles
Vikarsystemet behandler følgende personopplysninger på vegne av behandlingsansvarlig i sin tjeneste:
- Navn
- E-postadresse
- Telefonnummer
- Organisasjonstilhørighet
- Evt. selvvalgt profilbilde
4. Databehandlers plikter
Vikarsystemet vil følge de instrukser for behandling av personopplysninger som behandlingsansvarlig har bestemt skal gjelde. Den behandligsansvarliges instrukser uttømmende beskrevet i denne avtalen.
Behandlingsansvarlig har rett til tilgang til og innsyn i de personopplysninger som Vikarsystemet håndterer på dennes vegne.
Det samme gjelder for alle IT-løsninger som Vikarsystemet benytter til behandling av personopplysninger som ledd av tjenestelevering. Vikarsystemet vil gi nødvendig bistand til dette.
Vikarsystemet vil bistå den behandlingsansvarlig ved ivaretakelse av den registrertes rettigheter, spesielt innsyn i, retting og sletting av personopplysninger, jf. personopplysningsloven kapittel III og IV.
5. Bruk av underleverandør
Underleverandører eller andre tredjeparter til behandling av personopplysninger i forbindelse med administrasjon og levering av tjenesten. Liste over underleverandører og evt. avtaler med underleverandører er angitt i vedlegg II.
Behandlingsansvarlig vil på forespørsel få tilgang til nevnte avtaler. Dersom tar i bruk nye underleverandører skal behandlingsansvarlig informeres om og godkjenne dette.
6. Sikkerhet
Vikarsystemet vil til enhver tid sørge for at informasjonssikkerheten til personopplysninger som behandles på vegne av behandlingsansvarlig, er tilfredsstillende, jf. personopplysningsloven § 13 og personopplysningsforskriften kapittel to.
Vikarsystemet vil dokumentere arbeidet med informasjonssikkerhet etter forespørsel fra behandlingsansvarlig.
Vikarsystemet gjør jevnlig risikovurderinger av behandlingen av personopplysninger i sine tjenester og nettportal. Nødvendige tekniske, fysiske eller organisatoriske sikringstiltak vil bli etablert for å forhindre ødeleggelse og tap eller uautorisert endring, eksponering og tilgang til personopplysninger.
Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at Vikarsystemet melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.
Vikarsystemet vil holde personopplysninger fra ulike behandlingsansvarlige forsvarlig adskilt fra hverandre. Vikarsystemet vil dokumentere dette på forespørsel fra behandlingsansvarlig.
Vikarsystemet vil loggføre all autorisert og forsøk på uautorisert bruk av personopplysninger i sine tjenester, jf. personopplysningsforskriften § 2-16. Loggene oppbevares i minimum 3 måneder. Behandlingsansvarlig vil på forespørsel få tilgang til loggene.
Kun ansatte hos Vikarsystemet som har tjenstlige behov for tilgang til personopplysningene i Vikarsystemet, har slik tilgang. Vikarsystemet vil dokumentere rutiner og retningslinjer for tilgangsstyring på forespørsel fra behandlingsansvarlig.
Ansatte hos Vikarsystemet har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Taushetsplikten gjelder også etter avtalens opphør.
For nærmere beskrivelse av sikringstiltak i Vikarsystemet, se vedlegg tre (III – Styringsdokument med ROS-analyse, beredskapsplan og DPIA).
7. Sikkerhetsrevisjoner
Vikarsystemet vil jevnlig gjennomføre sikkerhetsrevisjoner av behandlingen av personopplysninger i sine tjenester. Behandlingsansvarlig vil gis tilgang til oppsummeringer av revisjonsrapportene. Informasjon om Vikarsystemets rutiner for dette er angitt i vedlegg 3.
Behandlingsansvarlig kan selv gjennomføre sikkerhetsrevisjoner av hos Vikarsystemet. Vikarsystemet vil gi behandlingsansvarlig nødvendige bistand ved slike revisjoner. Kostnadene som dette medfører for Vikarsystemet vil faktureres behandlingsansvarlig.
8. Sletting av personopplysninger
Ved opphør av denne avtalen vil Vikarsystemet slette alle personopplysninger som behandles på vegne av behandlingsansvarlig og som omfattes av denne avtalen. Se tjenesteavtalen for håndtering av sletting av backuper.
9. Avtalens varighet
Avtalen gjelder så lenge Vikarsystemet behandler personopplysninger på vegne av behandlingsansvarlig. Ved brudd på denne avtale kan den behandlingsansvarlige pålegge Vikarsystemet å stoppe den videre behandlingen av personopplysninger med øyeblikkelig virkning.
10. Lovvalg og verneting
Avtalen er underlagt norsk rett og partene vedtar som verneting Bærum Tingrett. Dette gjelder også etter opphør av avtalen.
***
Denne avtale er akseptert og undertegnet av behandlingsansvarlig skole/organisasjon og Vikarsystemet.
Vedlegg I til Databehandleravtalen
Kravspesifikasjon hentet fra Databehandleravtalen til Bærum Kommune
Følgende liste er krav til datalagring angitt som del av databehandleravtalen til Bærum Kommune (versjon 2.0), og gir en helhetlig oversikt over de retningslinjer vi arbeider etter i behandlingen av personopplysninger som lagres hos Vikarsystemet (org.nr. 925 358 436).
17. juli 2020
DETALJERTE KRAV TIL INFORMASJONSSIKKERHET
Databehandler har en selvstendig plikt til å gjennomføre egnede sikkerhetstiltak etter artikkel 32. Følgende opplistede er krav som må oppfylles:
| Nr | Krav | Ja/Nei/IR (angi IR hvis kravet ikke er relevant i denne sammen-heng) | Databehandlers beskrivelse Utdyp kort hvorfor det er svart Ja eller Nei. Hvis det refereres til andre dokumenter må referansen være nøyaktig mht dokument, sidenr, avsnitt, URL, etc. |
| 1 | Har databehandler inngående kunnskap om, og opptrer databehandler i henhold til, alle relevante punkter i GDPR (personvernforordningen)? | Ja | Referer til både tjenesteavtale og selskapets styringsdokument med ROS-analyse, beredskapsplan og DPIA. |
| 2 | Har databehandler et levende styringssystem (ISMS) for informasjons-sikkerhet, basert på god praksis som f.eks. angitt i ISO27001/2? | IR | Selskapet følger praksis etter ISMS 27001/2 og personvernforordningen, se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA for uttømmende informasjon. |
| 3 | Er ansvar og oppgaver for informasjonssikkerhet dokumentert i et organisasjonskart? | IR | Kun én person arbeider i organisasjonen |
| 4 | Er ansvar og oppgaver beskrevet på alle nivåer? | IR | Kun én person arbeider i organisasjonen |
| 5 | Er ansvarsforholdene gjort kjent for alle i organisasjonen? | IR | Kun én person arbeider i organisasjonen |
| 6 | Er alle sikkerhetstiltak dokumentert (organisatoriske, fysiske og tekniske)? | JA | Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA. Referer også til Databehandleravtalen, vedlegg I, punkt 20 og punkt 21. |
| 7 | Er sikkerhetsmål for virksomheten fastsatt? | JA | Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA. |
| 8 | Er sikkerhetsstrategi for å nå sikkerhetsmålene utarbeidet? | JA | Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA. |
| 9 | Er det utarbeidet rutiner for gjennomføring av risikovurderinger, inkludert oppfølging av tiltak? | JA | Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA. |
| 10 | Er alle medarbeidere informert om sin taushetsplikt og klar over dens innhold og omfang? | IR | Kun én person arbeider i organisasjonen |
| 11 | Er konsekvenser ved brudd på taushetsplikten beskrevet? | JA | Se tjenesteavtale på våre nettsider. |
| 12 | Gjennomføres det sikkerhetsrevisjon jevnlig og minimum årlig? | JA | Sikkerhetsrevisjoner blir vurdert månedlig og løpende. Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA. |
| 13 | Dekker sikkerhets-revisjonen minimum: | ||
| a) Plassering av ansvar og organisering av sikkerhetsarbeidet | JA | Selskapet vurderer til enhver tid hvilke underleverandører som kan tilby den beste løsningen for sikkerhet og brukervennlighet. Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA. | |
| b) Kvalitet på sikkerhetsmål og sikkerhetsstrategi | JA | Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA. | |
| c) Overholdelse av prosedyrer for bruk av informasjons-systemer og person-opplysninger | JA | Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA. | |
| d) Resultat av opplæring | IR | ||
| e) Forvaltning og bruk av person-opplysninger | JA | Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA. | |
| f) Tilgang til person-opplysninger og tiltak mot uautorisert innsyn? | JA | Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA. | |
| h) Effekten av etablerte sikkerhetstiltak? | JA | Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA. | |
| i) Ivaretakelse av informasjons-sikkerhet hos kommunikasjons-partnere, databehandlere og leverandører? | JA | Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA. | |
| 14 | Er det etablert prosedyre for oppfølging av resultatet (avvik) av sikkerhetsrevisjoner? | JA | Selskapet har utarbeidet ROS-analyse der dette inngår |
| 15 | Er alle medarbeidere klar over ansvaret de har for å melde avvik? | IR | Selskapet har kun én ansatt |
| 16 | Er det etablert prosedyre som sikrer at Databehandlingsansvarlig varsles umiddelbart ved uautorisert utlevering eller endring av personopplysninger, eller andre sikkerhetsbrudd? | JA | Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA. |
| 17 | Gjennomføres og dokumenteres ledelsens gjennomgang av sikkerheten minimum årlig? | JA | Selskapet gjennomgår sikkerhetsrutiner månedlig, og sikkerhetsrevisjon foretas halvårlig. |
| 18 | Er det iverksatt tiltak for å hindre at teknisk personell misbruker sin autorisasjon? | IR | Selskapet har kun én ansatt. Ellers, se databehandleravtalen mellom PRO ISP og deres kunder. |
| 19 | Er det etablert prosedyre for administrasjon av nøkler/adgangskort i adgangskontrollsystemet? | IR | Se databehandleravtalen mellom PRO ISP og deres kunder. |
| 20 | Er det iverksatt tekniske og organisatoriske tiltak for sikker tilgang fra ikke-sikrede lokaler (som f.eks. hjemmekontor, og via mobilt utstyr)? | JA | Selskapet benytter sterke passord og to-faktorautentisering både for alle administratorroller knyttet opp mot nettsystemtilganger og serveradministrasjon. |
| 21 | Er det etablert sikkerhetstiltak slik at kun autorisert personell får adgang til driftsutstyr (servere, nettverksutstyr, SAN, backupmedia med mer)? | JA | Se databehandleravtalen til vår hosting-leverandør PRO ISP. |
| 22 | Er det utarbeidet konfigurasjonskart over informasjonssystemene? | JA | Interndokument, utleveres på forespørsel. |
| 23 | Er det utarbeidet teknisk beskrivelse av konfigurasjonen? | JA | Interndokument, utleveres på forespørsel. |
| 24 | Er kommunens data separert fra andre kunders data? | JA | Hver kommune har en egen database for sine brukere, som driftes uavhengig av andre kommuners databaser. |
| 25 | Har løsningen tilstrekkelig kapasitet, uavhengig av den totale lasten leverandør har fra andre kunder | JA | Selskapet skalerer ressursbruk på RAM-disker og serverens SSD-disker etter behov og kundemasse. |
| 26 | Har leverandøren beredskapsplaner for bortfall av løsning? | JA | Vikarsystemet har utarbeidet en ROS-analyse som utreder tilfeller som blant annet omtaler midlertidig eller varig bortfall av løsning |
| 27 | Har databehandler forsvarlige backup- og restore-rutiner som testes regelmessig? | JA | Vikarsystemet benytter flere backupløsninger der dataene lagres kryptert på norske servere. Se underleverandørliste for oversikt. |
| 28 | Har leverandøren gjennomført tekniske eller organisatoriske tiltak mot hacking? | JA | Både i nettsiden og serveren har selskapet tiltak mot dataangrep i form av tjenestenektangrep, datainnbrudd og uautoriserte brukertilganger. Se liste over underleverandører for oversikt |
| 29 | Gjøres det regelmessig penetrasjonstester for å avdekke svakheter? | IR | Vikarsystemet er forholdsvis nystiftet, og det arbeides med å få på plass en løsning med Fence Norway for regelmessige pentester. Vikarsystemet selv arbeider med testing av sikring mot SQL-injeksjonsangrep og datainnbrudd. |
| 30 | Har databehandler forsvarlige rutiner for autorisering og autentisering av brukere? | JA | Brukere med rettigheter til å se skolens vikarer og kontakte disse, blir kun opprettet av Vikarsystemet – disse omtales som Vikarinnkallere. Brukerne verifiseres gjennom jobb-e-post og personlig kommunikasjon med selskapet. Andre brukere (vikarer) verifiseres av vikarinnkaller. Alle brukere er tvunget til å bruke sterke passord, som blir hashet, og det arbeides for å få på plass en logg-inn- løsning med FEIDE (OpenID). |
| 31 | Har databehandler tekniske tiltak mot tjenestenektangrep? | JA | Selskapet benytter serverbrannmuren Webshield 1.8 fra Imunify360 og brannmuren ModSecurity 3.0. |
| 32 | Har databehandler gode løsninger for logging og sporbarhet? | JA | Fra serveren har selskapet følgende logger: acces_log, error_log, exim_mainlog, exim_rejectlog.Fra cPanel har selskapet samme tilsvarende logger, og vi sporer også filendringer. Gjennom Imunify360 og Modsecurity kan selskapet også hente ut logger |
| 33 | Benytter databehandler egne «dummy» testdata? | IR | Selskapet har benyttet egne dummy-testdata i forbindelse med testing av MySQL-databasene. |
| 34 | Krypteres data ved lagring? | JA | Persondata navn, e-post og telefonnummer kryptert med AES 256-GCM. |
| 35 | Krypteres data i transit (kommunikasjon)? | JA | Selskapet benytter SSL/TLS i all kommunikasjon. |
| 36 | Har løsningen mulighet for å gi kommunen tilgang til logger, samt fortløpende eksportere loggdata til kommunens SIEM løsning? | JA | Selskapet kan gi tilgang til logger (ref. punkt 32).,m en arbeider med å få til en automatisert eksportløsning med IT-leverandøren Basefarm eller Fence Nordic eller annen norsk leverandør. |
| 37 | Ved bruk av IoT devices, har leverandøren et godt regime for bruk av sterke passord, og regelmessig endring av disse? | JA | Det brukes to-faktorautentisering i forbindelse med administrasjon av server og nettområder. |
Vedlegg II til Databehandleravtalen
Liste over underleverandører
Vedlegg III til Databehandleravtalen
