Databehandleravtale for Vikarsystemet

Databehandleravtale

Denne databehandleravtalen er bilag til Tjenesteavtalen

Dokumentet Tjenesteavtale og dokumentet Brukeravtale har blant annet til hensikt å oppfylle Databehandleravtalens bestemmelser ved å redegjøre for plikter i henhold til personvernlover referert til i Databehandleravtalen.

(Velg “Destinasjon: Lagre som PDF, om du vil lagre siden som eget dokument)

17. juli 2020

I henhold til personopplysningslovens § 13, jf. § 15 og personopplysningsforskriftens kapittel to, inngås følgende avtale mellom


heretter kalt behandlingsansvarlig

og 

Vikarsystemet Borgen-Veland, (org.nr 925 358 436), leverandøren av nettportalen Vikarsystemet, som databehandler, heretter kalt Vikarsystemet.


Vedlegg:

I – Kravspesifikasjon etter databehandleravtale med Bærum Kommune (se) (Last ned)

II – Liste over underleverandører (Se) (Last ned)

III – Styringsdokumenter med ROS-analyse, beredskapsplan og DPIA. (Se) (Last ned)

1. Avtalens hensikt

Avtalen regulerer rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften) og GDPR (personvernforordningen).

Avtalen regulerer sin håndtering av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, lagring og utlevering, i forbindelse med bruken av Vikarsystemet.

Avtalen skal sikre at personvernet til de registrerte (ansatte, tilkallingsvikarer og andre) ikke krenkes ved behandling av personopplysninger i Vikarsystemet.

Vilkårene i denne avtalen går foran vilkår i andre avtaler inngått mellom behandlingsansvarlig og Vikarsystemet.

2. Formål og formålsbegrensning

Formålet med Vikarsystemet sin behandling av personopplysninger på vegne av behandlingsansvarlig, er å levere og administrere en digital løsning for kundens tilkallingsvikarer. Dette omfatter blant annet automatisk telefonoppringing. 

Personopplysninger som Vikarsystemet behandler i vil ikke bli brukt til andre formål enn dette, om ikke brukere selv ønsker å f.eks. motta nyhetsbrev. Dette må personen eksplisitt ytre ønske om.

3. Personopplysninger som behandles 

Vikarsystemet behandler følgende personopplysninger på vegne av behandlingsansvarlig i sin tjeneste:

  • Navn
  • E-postadresse
  • Telefonnummer
  • Organisasjonstilhørighet
  • Evt. selvvalgt profilbilde

4. Databehandlers plikter

Vikarsystemet vil følge de instrukser for behandling av personopplysninger som behandlingsansvarlig har bestemt skal gjelde. Den behandligsansvarliges instrukser uttømmende beskrevet i denne avtalen.

Behandlingsansvarlig har rett til tilgang til og innsyn i de personopplysninger som Vikarsystemet håndterer på dennes vegne.

Det samme gjelder for alle IT-løsninger som Vikarsystemet benytter til behandling av personopplysninger som ledd av tjenestelevering.  Vikarsystemet vil gi nødvendig bistand til dette.

Vikarsystemet vil bistå den behandlingsansvarlig ved ivaretakelse av den registrertes rettigheter, spesielt innsyn i, retting og sletting av personopplysninger, jf. personopplysningsloven kapittel III og IV.

5. Bruk av underleverandør

Underleverandører eller andre tredjeparter til behandling av personopplysninger i forbindelse med administrasjon og levering av tjenesten. Liste over underleverandører og evt. avtaler med underleverandører er angitt i vedlegg II. 

Behandlingsansvarlig vil på forespørsel få tilgang til nevnte avtaler. Dersom tar i bruk nye underleverandører skal behandlingsansvarlig informeres om og godkjenne dette.

6. Sikkerhet

Vikarsystemet vil til enhver tid sørge for at informasjonssikkerheten til personopplysninger som behandles på vegne av behandlingsansvarlig, er tilfredsstillende, jf. personopplysningsloven § 13 og personopplysningsforskriften kapittel to.

Vikarsystemet vil dokumentere arbeidet med informasjonssikkerhet etter forespørsel fra behandlingsansvarlig.

Vikarsystemet gjør jevnlig risikovurderinger av behandlingen av personopplysninger i sine tjenester og nettportal. Nødvendige tekniske, fysiske eller organisatoriske sikringstiltak vil bli etablert for å forhindre ødeleggelse og tap eller uautorisert endring, eksponering og tilgang til personopplysninger.

Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at Vikarsystemet melder avviket til behandlingsansvarlig.  Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.

Vikarsystemet vil holde personopplysninger fra ulike behandlingsansvarlige forsvarlig adskilt fra hverandre.  Vikarsystemet vil dokumentere dette på forespørsel fra behandlingsansvarlig.

Vikarsystemet vil loggføre all autorisert og forsøk på uautorisert bruk av personopplysninger i sine tjenester, jf. personopplysningsforskriften § 2-16. Loggene oppbevares i minimum 3 måneder. Behandlingsansvarlig vil på forespørsel få tilgang til loggene.

Kun ansatte hos Vikarsystemet som har tjenstlige behov for tilgang til personopplysningene i Vikarsystemet, har slik tilgang. Vikarsystemet vil dokumentere rutiner og retningslinjer for tilgangsstyring på forespørsel fra behandlingsansvarlig.

Ansatte hos Vikarsystemet har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Taushetsplikten gjelder også etter avtalens opphør.

For nærmere beskrivelse av sikringstiltak i Vikarsystemet, se vedlegg tre (III – Styringsdokument med ROS-analyse, beredskapsplan og DPIA).

7. Sikkerhetsrevisjoner

Vikarsystemet vil jevnlig gjennomføre sikkerhetsrevisjoner av behandlingen av personopplysninger i sine tjenester. Behandlingsansvarlig vil gis tilgang til oppsummeringer av revisjonsrapportene. Informasjon om Vikarsystemets rutiner for dette er angitt i vedlegg 3.

Behandlingsansvarlig kan selv gjennomføre sikkerhetsrevisjoner av hos Vikarsystemet. Vikarsystemet vil gi behandlingsansvarlig nødvendige bistand ved slike revisjoner. Kostnadene som dette medfører for Vikarsystemet vil faktureres behandlingsansvarlig.

8. Sletting av personopplysninger

Ved opphør av denne avtalen vil Vikarsystemet slette alle personopplysninger som behandles på vegne av behandlingsansvarlig og som omfattes av denne avtalen. Se tjenesteavtalen for håndtering av sletting av backuper.

9. Avtalens varighet

Avtalen gjelder så lenge Vikarsystemet behandler personopplysninger på vegne av behandlingsansvarlig. Ved brudd på denne avtale kan den behandlingsansvarlige pålegge Vikarsystemet å stoppe den videre behandlingen av personopplysninger med øyeblikkelig virkning.

10. Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar som verneting Bærum Tingrett. Dette gjelder også etter opphør av avtalen.

***

Denne avtale er akseptert og undertegnet av behandlingsansvarlig skole/organisasjon og Vikarsystemet.



Vedlegg I til Databehandleravtalen

Kravspesifikasjon hentet fra Databehandleravtalen til Bærum Kommune

Følgende liste er krav til datalagring angitt som del av databehandleravtalen til Bærum Kommune (versjon 2.0), og gir en helhetlig oversikt over de retningslinjer vi arbeider etter i behandlingen av personopplysninger som lagres hos Vikarsystemet (org.nr. 925 358 436).

17. juli 2020


DETALJERTE KRAV TIL INFORMASJONSSIKKERHET

Databehandler har en selvstendig plikt til å gjennomføre egnede sikkerhetstiltak etter artikkel 32. Følgende opplistede er krav som må oppfylles:

NrKravJa/Nei/IR
(angi IR hvis kravet ikke er relevant i denne sammen-heng)
Databehandlers beskrivelse
Utdyp kort hvorfor det er svart Ja eller Nei.
Hvis det refereres til andre dokumenter må referansen være nøyaktig mht dokument, sidenr, avsnitt, URL, etc.
1Har databehandler inngående kunnskap om, og opptrer databehandler i henhold til, alle relevante punkter i GDPR (personvernforordningen)?JaReferer til både tjenesteavtale og selskapets styringsdokument med ROS-analyse, beredskapsplan og DPIA.
2Har databehandler et levende styringssystem (ISMS) for informasjons-sikkerhet, basert på god praksis som f.eks. angitt i ISO27001/2?IRSelskapet følger praksis etter ISMS 27001/2 og personvernforordningen, se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA for uttømmende informasjon.
3Er ansvar og oppgaver for informasjonssikkerhet dokumentert i et organisasjonskart?IRKun én person arbeider i organisasjonen
4Er ansvar og oppgaver beskrevet på alle nivåer?IRKun én person arbeider i organisasjonen
5Er ansvarsforholdene gjort kjent for alle i organisasjonen?IRKun én person arbeider i organisasjonen
6Er alle sikkerhetstiltak dokumentert (organisatoriske, fysiske og tekniske)?JASe styringsdokumentet med ROS-analyse, beredskapsplan og DPIA. Referer også til Databehandleravtalen, vedlegg I, punkt 20 og punkt 21.
7Er sikkerhetsmål for virksomheten fastsatt?JASe styringsdokumentet med ROS-analyse, beredskapsplan og DPIA.
8Er sikkerhetsstrategi for å nå sikkerhetsmålene utarbeidet?JASe styringsdokumentet med ROS-analyse, beredskapsplan og DPIA.
9Er det utarbeidet rutiner for gjennomføring av risikovurderinger, inkludert oppfølging av tiltak?JASe styringsdokumentet med ROS-analyse, beredskapsplan og DPIA.
10Er alle medarbeidere informert om sin taushetsplikt og klar over dens innhold og omfang?IRKun én person arbeider i organisasjonen
11Er konsekvenser ved brudd på taushetsplikten beskrevet?JASe tjenesteavtale på våre nettsider.
12Gjennomføres det sikkerhetsrevisjon jevnlig og minimum årlig?JASikkerhetsrevisjoner blir vurdert månedlig og løpende. Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA.
13Dekker sikkerhets-revisjonen minimum: 
a) Plassering av ansvar og organisering av sikkerhetsarbeidet JASelskapet vurderer til enhver tid hvilke underleverandører som kan tilby den beste løsningen for sikkerhet og brukervennlighet. Se styringsdokumentet med ROS-analyse, beredskapsplan og DPIA.
b) Kvalitet på sikkerhetsmål og sikkerhetsstrategi JASe styringsdokumentet med ROS-analyse, beredskapsplan og DPIA.
c) Overholdelse av prosedyrer for bruk av informasjons-systemer og person-opplysninger JASe styringsdokumentet med ROS-analyse, beredskapsplan og DPIA.
d) Resultat av opplæringIR
e) Forvaltning og bruk av person-opplysninger JASe styringsdokumentet med ROS-analyse, beredskapsplan og DPIA.
f) Tilgang til person-opplysninger og tiltak mot uautorisert innsyn?JASe styringsdokumentet med ROS-analyse, beredskapsplan og DPIA.
h) Effekten av etablerte sikkerhetstiltak?JASe styringsdokumentet med ROS-analyse, beredskapsplan og DPIA.
i) Ivaretakelse av informasjons-sikkerhet hos kommunikasjons-partnere, databehandlere og leverandører?JASe styringsdokumentet med ROS-analyse, beredskapsplan og DPIA.
14Er det etablert prosedyre for oppfølging av resultatet (avvik) av sikkerhetsrevisjoner?JASelskapet har utarbeidet ROS-analyse der dette inngår
15Er alle medarbeidere klar over ansvaret de har for å melde avvik? IRSelskapet har kun én ansatt
16Er det etablert prosedyre som sikrer at Databehandlingsansvarlig varsles umiddelbart ved uautorisert utlevering eller endring av personopplysninger, eller andre sikkerhetsbrudd?JASe styringsdokumentet med ROS-analyse, beredskapsplan og DPIA.
17Gjennomføres og dokumenteres ledelsens gjennomgang av sikkerheten minimum årlig?JASelskapet gjennomgår sikkerhetsrutiner månedlig, og sikkerhetsrevisjon foretas halvårlig.
18Er det iverksatt tiltak for å hindre at teknisk personell misbruker sin autorisasjon?IRSelskapet har kun én ansatt. Ellers, se databehandleravtalen mellom PRO ISP og deres kunder.
19Er det etablert prosedyre for administrasjon av nøkler/adgangskort i adgangskontrollsystemet?IRSe databehandleravtalen mellom PRO ISP og deres kunder.
20Er det iverksatt tekniske og organisatoriske tiltak for sikker tilgang fra ikke-sikrede lokaler (som f.eks. hjemmekontor, og via mobilt utstyr)?JASelskapet benytter sterke passord og to-faktorautentisering både for alle administratorroller knyttet opp mot nettsystemtilganger og serveradministrasjon.
21Er det etablert sikkerhetstiltak slik at kun autorisert personell får adgang til driftsutstyr (servere, nettverksutstyr, SAN, backupmedia med mer)?JASe databehandleravtalen til vår hosting-leverandør PRO ISP.
22Er det utarbeidet konfigurasjonskart over informasjonssystemene?JAInterndokument, utleveres på forespørsel.
23Er det utarbeidet teknisk beskrivelse av konfigurasjonen?JAInterndokument, utleveres på forespørsel.
24Er kommunens data separert fra andre kunders data?JAHver kommune har en egen database for sine brukere, som driftes uavhengig av andre kommuners databaser.
25Har løsningen tilstrekkelig kapasitet, uavhengig av den totale lasten leverandør har fra andre kunderJASelskapet skalerer ressursbruk på RAM-disker og serverens SSD-disker etter behov og kundemasse.
26Har leverandøren beredskapsplaner for bortfall av løsning?JAVikarsystemet har utarbeidet en ROS-analyse som utreder tilfeller som blant annet omtaler midlertidig eller varig bortfall av løsning
27Har databehandler  forsvarlige backup- og restore-rutiner som testes regelmessig?JAVikarsystemet benytter flere backupløsninger der dataene lagres kryptert på norske servere. Se underleverandørliste for oversikt.
28Har leverandøren gjennomført tekniske eller organisatoriske tiltak mot hacking? JABåde i nettsiden og serveren har selskapet tiltak mot dataangrep i form av tjenestenektangrep, datainnbrudd og uautoriserte brukertilganger. Se liste over underleverandører for oversikt
29Gjøres det regelmessig penetrasjonstester for å avdekke svakheter?IRVikarsystemet er forholdsvis nystiftet, og det arbeides med å få på plass en løsning med Fence Norway for regelmessige pentester. Vikarsystemet selv arbeider med testing av sikring mot SQL-injeksjonsangrep og datainnbrudd.
30Har databehandler  forsvarlige rutiner for autorisering og autentisering av brukere?JABrukere med rettigheter til å se skolens vikarer og kontakte disse, blir kun opprettet av Vikarsystemet – disse omtales som Vikarinnkallere.  Brukerne verifiseres gjennom jobb-e-post og personlig kommunikasjon med selskapet. Andre brukere (vikarer) verifiseres av vikarinnkaller. Alle brukere er tvunget til å bruke sterke passord, som blir hashet, og det arbeides for å få på plass en logg-inn- løsning med FEIDE (OpenID). 
31Har databehandler tekniske tiltak mot tjenestenektangrep?JASelskapet benytter serverbrannmuren Webshield 1.8 fra Imunify360 og brannmuren ModSecurity 3.0.
32Har databehandler gode løsninger for logging og sporbarhet?JAFra serveren har selskapet følgende logger: acces_log, error_log, exim_mainlog, exim_rejectlog.Fra cPanel har selskapet samme tilsvarende logger, og vi sporer også filendringer. Gjennom Imunify360 og Modsecurity kan selskapet også hente ut logger
33Benytter databehandler egne «dummy» testdata?IRSelskapet har benyttet egne dummy-testdata i forbindelse med testing av MySQL-databasene.
34Krypteres data ved lagring?JAPersondata navn, e-post og telefonnummer kryptert med AES 256-GCM.
35Krypteres data i transit (kommunikasjon)?JASelskapet benytter SSL/TLS i all kommunikasjon.
36Har løsningen mulighet for å gi kommunen tilgang til logger, samt fortløpende eksportere loggdata til kommunens SIEM løsning?JASelskapet kan gi tilgang til logger (ref. punkt 32).,m en arbeider med å få til en automatisert eksportløsning med IT-leverandøren Basefarm eller Fence Nordic eller annen norsk leverandør.
37Ved bruk av IoT devices, har leverandøren et godt regime for bruk av sterke passord, og regelmessig endring av disse?JADet brukes to-faktorautentisering i forbindelse med administrasjon av server og nettområder.

Vedlegg II til Databehandleravtalen

Liste over underleverandører

Gå til nettside / dokument


Vedlegg III til Databehandleravtalen

Styringsdokumenter med ROS-analyse, beredskapsplan og DPIA

Gå til nettside / dokument