Databehandleravtale

Les endringsoversikt for avtalen

Databehandleravtalen er endret. De mest sentrale endringene er:

• Overføringer til tredjeland – det klargjøres at DFØ ikke skal overføre personopplysninger til tredjeland med mindre det foreligger skriftlig instruks fra Kunden og vilkårene i punkt 7.3 er oppfylt – punkt7.  
• En mer detaljert beskrivelse av DFØs plikt til underretning om evt. brudd på personopplysningssikkerheten til Kunden– punkt 9. 
• Revisjonsadgang – punkt 11.  
• Oversikt over hvilke typer personopplysninger som behandlingen omfatter i vedlegg A. 
• Oversikt over og informasjon om utveksling av opplysninger i vedlegg B. 

Vi har fått gode innspill fra våre kunder, og innspillene er inntatt i den nye databehandleravtalen. Databehandleravtalen er basert på malen fra Datatilsynet og DFØ, og den er tilpasset til et avtaleforhold mellom statlige aktører.

1. Databehandleravtalens bakgrunn, formål og definisjoner

1.1. Denne Databehandleravtalen fastsetter rettigheter og plikter for Kunden (Behandlingsansvarlig) og DFØ (Databehandler), sammen omtalt som Partene, når DFØ behandler personopplysninger på vegne av Kunden i henhold til Avtalen om lønns- og regnskapstjenester. Samarbeidsavtalen og Standardvilkårene (inkludert Databehandleravtalen og arbeidsdelingsskjema) utgjør Avtalen mellom DFØ og Kundene (heretter benevnt som Avtalen).

1.2. Databehandleravtalen skal sikre at personopplysningene behandles i samsvar med kravene i personopplysningsloven og EUs personvernforordning , samt øvrige lover og forskrifter om behandling av personopplysninger (heretter samlet omtalt Personvernregelverket).

1.3. Databehandleravtalen består av et sett vilkår (heretter omtalt som Vilkårene) i dette dokumentet og vedlegg A, B og C (heretter felles omtalt som Vedleggene). Vedleggene utgjør en integrert del av Databehandleravtalen.

1.4. Vedlegg A inneholder nærmere opplysninger om behandlingen av personopplysninger som skal finne sted, herunder om behandlingens art og formål, typen av personopplysninger, kategorier av registrerte og behandlingens varighet.

1.5. Vedlegg B angir hvilke eksterne aktører DFØ utveksler personopplysninger med for å ivareta sine forpliktelser etter denne avtalen, eller rettslige forpliktelser som påhviler DFØ.

1.6. Vedlegg C inneholder spesifikke instrukser for DFØs behandling av personopplysninger på vegne av Kunden.

1.7. Databehandleravtalen setter minstekrav til behandling av personopplysninger som Partene ikke kan avtale seg bort i fra.

1.8. For personvernbegreper som ikke er definert i denne Databehandleravtalen gjelder definisjonene i EUs personvernforordning.

2. Kundens rettigheter og plikter

2.1. Kunden er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med Personvernregelverket. Kunden skal i den forbindelse særskilt sørge for at:

• behandlingen av personopplysninger er formålsbestemt og basert på et gyldig rettsgrunnlag;
• de registrerte har mottatt nødvendig informasjon om behandlingen av personopplysningene;
• Kunden har gjennomført tilstrekkelige risikovurderinger; og
• Kunden skal sørge for at det til enhver tid foreligger tilstrekkelige instrukser og informasjon for at DFØ kan oppfylle sine plikter i henhold til denne databehandleravtalen og gjeldende personvernregelverk.

3. DFØs rettigheter og plikter

3.1. DFØ er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med relevante bestemmelser i Personvernregelverket jf. Personvernforordningen artikkel 28-30.

3.2. DFØ skal bare behandle personopplysninger etter dokumenterte instrukser fra Kunden, med mindre noe annet kreves av unionsretten eller medlemsstatenes nasjonale rett. Disse instruksene skal være spesifisert i Vedleggene.

3.3. Hvis annen behandling er nødvendig for å oppfylle forpliktelser som DFØ er underlagt i henhold til gjeldende rett, skal DFØ underrette Kunden så langt dette er tillat ved lov, jf. personvernforordningen artikkel 28 nr. 3 bokstav a.

3.4. Eventuelle endringer i instrukser skal varsles til DFØ og skal inn i punkt 4 i Samarbeidsavtalen. Om ingen konkret frist er avtalt, skal dette skje innen rimelig tid. DFØ kan kreve, etter dialog med Kunden at Kunden dekker dokumenterte kostnader som påløper i forbindelse med implementering av endringer forårsaket av nye instrukser. Det samme gjelder merkostnader som følge av endring av Personvernregelverket som gjelder kundens virksomhet.

3.5. DFØ skal omgående underrette Kunden dersom DFØ mener at en instruks er i strid med Personvernregelverket, bestemmelser i unionsretten eller medlemsstatenes nasjonale rett.

4. Konfidensialitet og taushetsplikt

4.1. DFØ skal sikre at ansatte og andre som har tilgang til Kundens personopplysninger er autorisert til å behandle slike personopplysninger på Kundens vegne. Dersom slik autorisasjon utløper eller trekkes tilbake, skal tilgangen til personopplysningene opphøre uten ugrunnet opphold.

4.2. Kun personer som er under DFØs instruksjonsmyndighet, og som er forpliktet til konfidensialitet eller lovbestemt taushetsplikt, skal ha tilgang til personopplysninger, og kun i den utstrekning vedkommende har tjenstlig behov.

4.3. DFØ skal påse at tilgangen til personopplysningene stenges for ansatte og andre som ikke lenger har behov for slik tilgang.

4.4. DFØ skal sikre at personer som er autorisert til å behandle personopplysninger på vegne av Kunden er underlagt taushetsplikt gjennom avtale eller lov og kjenner de spesielle krav som følger av Kundens instrukser. Taushetsplikten skal bestå også etter avtalens og/eller ansettelsesforholdets opphør.

4.5. DFØ har en policy for at ansatte og andre med tilgang er autorisert og underlagt ovennevnte taushetsplikt.

4.6. Ved opphør av databehandlerforholdet plikter DFØ å avvikle alle tilganger til personopplysninger som behandles under avtalen.

5. Sikkerhet ved behandlingen

5.1. I tråd med personvernforordningen artikkel 32 skal Kunden og DFØ iverksette egnede tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå. Det skal i den forbindelse ses hen til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter. DFØ skal som et minimum iverksette de tiltak som er spesifisert i Vedlegg C.

5.2. Kunden skal vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør og gjennomføre tiltak for å imøtegå disse risikoene.

5.3. Ifølge personvernforordningen artikkel 32 skal DFØ på selvstendig grunnlag vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør, samt gjennomføre tiltak for å imøtegå risikoene. Kunden skal stille den nødvendige informasjonen til rådighet for DFØ som gjør vedkommende i stand til å identifisere og vurdere slike risikoer.

5.4. DFØ skal bistå Kunden med å overholde Kundens plikter etter personvernforordningen artikkel 32, herunder ved å stille til rådighet nødvendig informasjon om de gjennomførte tekniske og organisatoriske sikkerhetstiltakene, samt all annen informasjon som er nødvendig for at Kunden skal kunne overholde sine plikter.

6. Bruk av Underdatabehandlere

6.1. DFØ skal oppfylle betingelsene som er fastsatt i personvernforordningen artikkel 28 nr. 2 og nr. 4 for bruk av Underdatabehandlere.

6.2. DFØ skal kun engasjere Underdatabehandlere som gjennomfører egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene etter Personvernregelverket. DFØ skal gjennomføre kontroller av Underdatabehandlere for å verifisere at tilfredsstillende tiltak er iverksatt.

6.3. DFØ benytter Underdatabehandlere for å oppfylle Avtalen med Kunden. I de tilfellene DFØ benytter seg av Underdatabehandlere til behandling av personopplysninger, skal DFØ inngå en skriftlig avtale med Underdatabehandleren, og sikre at Underdatabehandleren påtar seg tilsvarende forpliktelser som DFØ selv er underlagt etter denne databehandleravtalen.

6.4. Underdatabehandlere skal kun behandle personopplysninger i samsvar med denne Databehandleravtalen og ikke i større utstrekning eller lengre varighet enn det som er nødvendig for å oppfylle den aktuelle tjenesten som underleverandøren leverer.

6.5. DFØ plikter å forelegge avtaler med Underdatabehandlere for Kunden på forespørsel. Dette gjelder likevel bare de delene av avtalen som er relevant for behandlingen av personopplysningene og med de begrensninger som eventuelt måtte følge av lov eller forskrift. Rent kommersielle vilkår kan uansett ikke kreves fremlagt.

6.6. DFØ kan inngå avtaler med nye Underdatabehandlere etter behov. Kunden skal motta en underretning innen rimelig tid før endringen trer i kraft. Kunden skal ha mulighet for å motsette seg endringene med en saklig begrunnelse. Dersom Behandlingsansvarlig motsetter seg endringer i bruken av Underdatabehandlere etter Databehandleravtalens Bilag B punkt B.1 skal Partene i god tro forhandle med sikte på å enes om en rimelig løsning på hvordan videre levering av tjenestene under Hovedavtalen skal gjennomføres, herunder om fordeling av eventuelle kostnader mellom Partene.

6.7. Kunder av DFØ godkjenner samtlige av DFØs underleverandører som beskrevet på våre nettsider. En utvidet beskrivelse av DFØs underleverandører kan sendes til Kunden på forespørsel.

6.8. Hvis underdatabehandleren ikke oppfyller sine forpliktelser etter personvernregelverket, blir DFØ fullt ut ansvarlig overfor Kunden. Dette påvirker ikke de registrertes rettigheter etter personvernforordningen, særlig de nedfestet i personvernforordningen artikkel 79 og 82.

7. Overføring til tredjeland eller internasjonale organisasjoner

7.1. DFØ overfører ikke personopplysninger til land utenfor EU/EØS-området («tredjeland») eller internasjonale organisasjoner med mindre det foreligger skriftlig instruks fra Kunden og vilkårene i punkt 7.3 er oppfylt. Slik overføring skal alltid skje i overensstemmelse med personvernforordningen kapittel V. Som overføring regnes blant annet å:

• utlevere personopplysninger til en behandlingsansvarlig eller databehandler i et tredjeland eller til en internasjonal organisasjon,
• overlate behandling av personopplysninger til en underdatabehandler i et tredjeland, eller;
• behandle personopplysningene i datasentre o.l. som er lokalisert i tredjeland eller av personell som er lokalisert i et tredjeland (ved fjerntilgang)

7.2. DFØ kan likevel overføre personopplysninger dersom det kreves i henhold til unionsretten eller nasjonal rett. I slike tilfeller skal DFØ underrette Kunden om nevnte rettslige krav før overføringen finner sted, med mindre gjeldende rett forbyr en slik underretning av hensyn til viktige allmenne interesser.

7.3. Overføring til tredjeland eller internasjonale organisasjoner kan kun finne sted dersom det foreligger nødvendige garantier for et tilstrekkelig beskyttelsesnivå for personvern i henhold til Personvernregelverket. Med mindre annet er avtalt mellom Partene kan slik overførsel kun finne sted med grunnlag i:
a. en av EU-kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå i henhold til personvernforordningen artikkel 45; eller
b. en Databehandleravtale som inkorporerer standard personvernbestemmelser som angitt i personvernforordningen artikkel 46 (2) (c) eller (d) (Standard Contractual Clauses (SCC); eller
c. bindende virksomhetsregler (Binding Corporate Rules) i henhold til personvernforordningen artikkel 47.

8. Bistand til Kunden

8.1. DFØ skal på forespørsel bistå Kunden med å svare på anmodninger fra de registrerte med henblikk på å utøve rettigheter fastsatt i personvernforordningen kapittel III. DFØ skal yte slik bistand ved hjelp av egnede tekniske og organisatoriske tiltak, i den utstrekning det er mulig og hensiktsmessig sett hen til karakteren og omfanget av behandlingen av personopplysninger under Avtalen. DFØ skal, så langt det er mulig, bistå Kunden med dens oppfyllelse av:

• opplysningsplikten ved innsamling av personopplysninger fra den registrerte
• opplysningsplikten dersom personopplysninger ikke er blitt samlet inn fra den registrerte
• den registrertes rett til innsyn
• retten til retting
• retten til sletting («retten til å bli glemt»)
• retten til begrensning av behandling
• underretningsplikten i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling
• retten til dataportabilitet
• retten til å protestere
• retten til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisk behandling, herunder profilering

8.2. DFØ skal uten ugrunnet opphold videresende alle henvendelser som DFØ eventuelt mottar fra den registrerte vedrørende den registrertes rettigheter i henhold til Personvernregelverket til Kunden. Slike henvendelser kan kun besvares av DFØ når dette er skriftlig godkjent av Kunden.

8.3. DFØ skal på forespørsel, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for DFØ, bistå Kunden med:

• Kundens forpliktelse til, ved brudd på personopplysningssikkerheten, å melde bruddet på personopplysningssikkerheten til Datatilsynet, uten ugrunnet opphold og, når det er mulig, senest 72 timer etter å ha fått kjennskap til det. Dette gjelder med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter.
• Kundens forpliktelse til uten ugrunnet opphold å underrette den registrerte om bruddet på personopplysningssikkerheten når det er sannsynlig at bruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter.
• Kundens forpliktelse til, før behandlingen, å foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet (vurdering av personvernkonsekvenser).
• Kundens forpliktelse til å rådføre seg med Datatilsynet, før behandlingen dersom en vurdering av personvernkonsekvenser tilsier at behandlingen vil medføre en høy risiko dersom Kunden ikke treffer tiltak for å redusere risikoen.

8.4. Dersom DFØ på Kundens forespørsel yter bistand som nevnt i punkt 8.1 og 8.3, og bistanden går ut over det som er nødvendig for at DFØ skal oppfylle sine egne forpliktelser etter Personvernregelverket, kan DFØ kreve dekket sine dokumenterte kostnader knyttet til bistanden. Ved behov for konsulentbistand til slike forespørsler viderefaktureres Kunden uten påslag. Dette skjer kun etter avtale med Kunden.

9. Underretning om brudd på personopplysningssikkerheten

9.1. Ved kjennskap til brudd på personopplysningssikkerheten skal DFØ uten ugrunnet opphold underrette Kunden skriftlig, slik at Kunden kan overholde sin forpliktelse til å melde bruddet til Datatilsynet, jf. personvernforordningen artikkel 33.

9.2. DFØ skal bistå Kunden med å melde bruddet til Datatilsynet. Det innebærer at DFØ skal bistå med å fremskaffe informasjon listet opp nedenfor, som ifølge personvernforordningen artikkel 33 nummer 3 skal fremgå av Kundens melding av bruddet til Datatilsynet. DFØ skal så langt mulig:

• beskrive arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt
• beskrive de sannsynlige konsekvenser av bruddet på personopplysningssikkerheten
• beskrive de tiltak som DFØ har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

9.3. DFØ plikter å gjennomføre alle de tiltak som med rimelighet kan kreves for å utbedre og unngå tilsvarende brudd på personopplysningssikkerheten.

9.4. Kunden er ansvarlig for å underrette Datatilsynet og de berørte registrerte om brudd på personopplysningssikkerheten. DFØ skal ikke informere tredjeparter om brudd på personopplysningssikkerheten med mindre noe annet er påkrevd etter gjeldende rett eller det følger av uttrykkelig skriftlig instruks fra Kunden.

10. Sletting og returnering av opplysninger

10.1. Ved opphør av Databehandleravtalen skal DFØ slette eller tilbakelevere alle personopplysninger som er blitt behandlet på vegne av Kunden og bekrefte overfor Kunden at opplysningene er slettet, med mindre unionsretten eller medlemsstatenes nasjonale rett krever oppbevaring av personopplysningene. Dette gjelder også eventuelle sikkerhetskopier. DFØ vil gå i dialog med Kunden for å ta en vurdering av hva som vil være mest fordelaktig.

10.2. Følgende regler i unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt krever oppbevaring av personopplysningene etter at Databehandleravtalen har opphørt:
a. Reglement for økonomistyring i staten (økonomiregelverket)
b. Lov om arkiv (arkivloven)

DFØ forplikter seg til å utelukkende behandle personopplysningene til de(t) formål, med den varighet og under de betingelsene som disse reglene fastsetter.

10.3. Nærmere bestemmelser om sletting og tilbakelevering fremgår av bilag C.

10.4. DFØ skal bekrefte skriftlig overfor Kunden at sletting er foretatt og skal på forespørsel dokumentere hvordan det er gjennomført.

11. Revisjon

11.1. DFØ skal på forespørsel stille til Kundens disposisjon all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene etter personvernforordningen artikkel 28 og disse Vilkårene. Dette også gjelder protokollen, jf. personvernforordningen artikkel 30 nr. 2.

11.2. DFØ forplikter seg til å gi tilsynsmyndighetene, som etter gjeldende lovgivning har tilgang til Kundens eller DFØs lokaler, eller representanter som opptrer på slike tilsynsmyndigheters vegne, adgang til DFØs fysiske lokaler ved presentasjon av behørig legitimasjon.

11.3. Dersom en revisjon avdekker avvik fra forpliktelsene i Personvernregelverket eller Databehandleravtalen, skal DFØ så snart som mulig utbedre avviket. Kunden kan kreve at DFØ midlertidig stopper hele eller deler av behandlingsaktivitetene frem til utbedringen er godkjent av Kunden.

12. Brudd og pålegg om stans

12.1. Ved brudd på Databehandleravtalen og/eller Personvernregelverket, kan Kunden og aktuelle tilsynsmyndigheter pålegge DFØ å stoppe hele eller deler av behandlingen av opplysningene med øyeblikkelig virkning.

13. Ikrafttredelse og opphør

13.1. Databehandleravtalen trer i kraft fra dato 05.09.2022.

13.2. Begge Partene kan kreve Databehandleravtalen reforhandlet dersom lovendringer eller uhensiktsmessigheter i Databehandleravtalen gir grunn til dette.

13.3. Databehandleravtalen gjelder så lenge DFØ behandler personopplysninger på vegne av Kunden. I denne perioden kan Vilkårene ikke sies opp, med mindre partene avtaler andre vilkår som regulerer levering av databehandlertjenestene. Den gjelder også for eventuelle personopplysninger som måtte finnes hos DFØ eller noen av DFØs Underdatabehandler etter Avtalens opphør.

13.4. Databehandleravtalen kan ikke sies opp så lenge Avtalen består med mindre den avløses av en ny databehandleravtale.

Vedlegg A Opplysninger om behandlingen

Behandlingen omfatter følgende typer av personopplysninger om de registrerte:

Grunnlagsdata: Navn, adresse, fødselsnummer, ansattnummer, bankkontonummer, e-post, telefonnummer, brukernavn, IP-adresse org. nummer. Kontaktinformasjon til pårørende.
Ansattopplysninger: Lønnsopplysninger, tidsregistreringer, skatteopplysninger, opplysninger knyttet til utleggstrekk, reise- og utgiftsrefusjoner, fraværsopplysninger, utbetalinger og sykemeldinger fra NAV, bilagsdetaljer.
Øvrig: fakturabehandling, vedlikehold av leverandør- og kundenes kontoer i forbindelse med inngående fakturaer og utfaktureringer mv.

Særlige kategorier av personopplysninger: Fagforeningstilhørighet, helseopplysninger knyttet til sykemeldinger

Særlige kategorier av personopplysninger, slik de er definert i artikkel 9, behandles med det formål å oppfylle rollen som arbeidsgiver og de forpliktelser dette innebærer for ansatte og offentlige myndigheter.

Behandlingen omfatter følgende kategorier av registrerte:

Kundens ansatte, honorarmottakere og personer som mottar tilskudd/erstatning omtales som de registrerte i denne Databehandleravtalen.

Vedlegg B – Utveksling av opplysninger

Følgende er en fremstilling av hvilke eksterne aktører det innhentes personopplysninger fra:

Aktør	Formål og opplysning
Folkeregisteret	Navn og bostedsadresse
NAV	Sykemelding Refusjonstype
Virksomhetene som er kunde av DFØ eller den ansatte selv	Ansattopplysninger Lønnsopplysninger Fagforeningstilhørighet
Skatteetaten	Skattekort Tvangstrekk Innkrevingsregnskapet for bidrag og tilbakebetaling
Kredittkortselskap	Transaksjonsopplysninger

Følgende er en fremstilling av hvilke aktører det deles personopplysninger med:

Aktør	Formål og opplysning
Altinn	Utbetalinger A-melding
Riksrevisjonen	Jf. Riksrevisjonsloven § 12
NAV	Inntektsopplysningsskjema Oppfølging sykefraværsinformasjon
Fagforeninger	Bekreftelse på betaling av medlemskontingent
SPK	Lønnsdata
Bank	Utbetalingsfil
Statens Innkrevingssentral	Påleggstrekk
Reisebyrå i henhold til statlig fellesavtale for reisebyråtjenester	Sikre korrekte profiler og integrasjon mot DFØs reiseregningssystem. Gjelder ikke virksomheter som har fravalgt statlig fellesavtale for reisebyråtjenester.
ID-porten	Personnummer og navn

Vedlegg C – Instruks

C. 1 Følgende behandlinger omfattes av Avtalen, se også nærmere i arbeidsdelingsskjema:

Behandling	Behandlingsaktivitet
Innsamling	Kunden overfører personopplysninger fra sine systemer til DFØ. DFØ innhenter personopplysninger fra Folkeregisteret, Altinn, NAV og Skatteetaten på vegne av Kunden. Kunden sender personopplysninger til DFØ via Kundesenter på nett, i papirform til fakturamottaket eller elektronisk som EHF for registrering i DFØs lønns- og regnskapssystemer.
Registrering	Kundens ansatte og honorarmottakere registrerer personopplysninger i DFØs lønns- og regnskapssystemer. Kundens fagbrukere registrerer opplysninger i DFØs lønns- og regnskapssystemer.
Sammenstilling	DFØ systematiserer og sammenstiller personopplysninger for å innfri Kundens forpliktelser, både som arbeidsgiver, oppdragsgiver, oppdragstaker og som statlig virksomhet.
Prosessering	Se vedlegg A for opplysninger om behandlingsformål
Lagring	DFØ lagrer de registrerte personopplysningene slik at Kunden kan kontrollere rapportering og bokføring i tråd med bestemmelser om økonomistyring i staten. DFØ lagrer personopplysninger og nødvendig dokumentasjon i henhold til Bestemmelser om økonomistyring i staten i pkt. 4.4.9 og 4.4.10. Enkelte av personopplysningene kan være særlige kategorier av personopplysninger.
Vedlikehold	DFØ vedlikeholder data som avtalt i arbeidsdelingsskjema.
Utlevering	Se vedlegg B for oversikt over aktører som utveksler personopplysninger med DFØ på vegne av Kunden.
Sletting	DFØ plikter å slette personopplysninger etter instruks fra kunden, med mindre DFØ er omfattet av regelverk som gjør at DFØ er pliktet til å oppbevare data lengre.
Logging	Ytelsesrapportering og annen logging som går på å forbedre og vedlikeholde og optimalisere systemparken på tvers av Kunden inneholder ikke personopplysninger. Ved behov for feilsøking og rettelser på et mer detaljert nivå, der noen logger inneholder personopplysninger, vil dette gjøres spesifikt og på vegne av den enkelte Kundes behov for sikker drift.

a. Sikkerhet ved behandlingen

Angivelse av sikkerhetsnivå

Ut fra en vurdering av omfanget av personopplysninger som blir behandlet, typen opplysninger og karakteren av behandlingen er det basert på en konkret risikovurdering fastsatt at behandlingen:

Krever et høyt sikkerhetsnivå. Begrunnelse:

DFØ leverer en rekke ulike tjenester innen lønn og regnskap til store deler av statsforvaltningen. Spesielt brudd innen konfidensialitet kan potensielt gi store konsekvenser. Det er gjort risikovurdering på ulike områder som til sammen gir DFØ grunnlag for å vurdere at dette krever høyt sikkerhetsnivå.

På grunn av totaliteten av tjenestene er det i denne sammenheng vurdert at det er høyt sikkerhetsnivå, men dette innebærer ikke at alle tjenestene er underlagt høyt sikkerhetsnivå.

Styringsinformasjon for informasjonssikkerhet

Databehandleren skal ha et egnet styringssystem for informasjonssikkerhet. Databehandleren skal etablere og forvalte tilstrekkelige sikkerhetstiltak for å ivareta informasjonssikkerheten for behandling av personopplysningene, herunder (flere valg mulig):

b. Dokumentasjon

Databehandler skal dokumentere de rutiner og tiltak som er iverksatt for å oppfylle kravene som fremkommer av Gjeldende personvernregler og Databehandleravtalen. Slik dokumentasjon skal oppbevares og ajourholdes så lenge Databehandleravtalen består, og gjøres tilgjengelig for Kunden eller tilsynsmyndigheter på forespørsel.

c. Rutiner for revisjon og tilsyn

For å kontrollere etterlevelse av Gjeldende personvernregler og Databehandleravtalen er det avtalt følgende:

Databehandleren vil årlig rapportere på etterlevelse av sine plikter i henhold til Databehandleravtalen, herunder statusrapporter, deling av informasjon fra relevante internrevisjonsrapporter og eventuelle eksterne tredjepartsattestasjoner.

Rapportene vil fremlegges for Kunden på forespørsel.

Databehandler vil i tillegg gi slik informasjon og bistand som er nødvendig for at Kunden kan etterleve sine forpliktelser etter gjeldende personvernregelverk.

Kunden har adgang til å be om at det gjennomføres revisjon hos databehandler én gang i året.

Påbegynnelsesdato for revisjon settes årlig til 1. mars, og gjennomføres ved at DFØ innhenter en uavhengig tredjepart til å foreta revisjonen på vegne av Kunden og øvrige andre kunder som ønsker tredjepartsrevisjon. Kunden skal varsle DFØ om hva de ønsker revidert 3 måneder før revisjon skal påbegynnes (1. desember).

DFØ har mulighet til å samkjøre revisjoner, i de tilfeller hvor flere av DFØs kunder har kommet med varsel om områder som ønskes revidert i henhold til databehandleravtalen.

DFØ står fritt til å dele revisjonsrapporter med sine andre kunder, der hvor DFØ finner dette hensiktsmessig.

Dersom ingen kunder har varslet DFØ innen den fastsatte fristen, forbeholder DFØ seg retten til å ikke gjennomføre revisjonen før året etter.

DFØ dekker kostnaden ved en revisjon.

d. Sletting og tilbakelevering av personopplysninger ved avtalens opphør

Alle personopplysninger skal tilbakeleveres til kunde ved opphør av en avtale og kunden vil få komplette datasett av sine data.

Personopplysninger skal slettes innen 90 kalenderdager etter opphør av Hovedavtalen. Dette samme gjelder eventuell annen relevant informasjon som forvaltes på vegne av Kunden.