Ineras Personuppgiftsbiträdesavtal 3. Avtal enligt artikel 28.3, Dataskyddsförordningen

Transkript

1 Ineras Personuppgiftsbiträdesavtal 3 Avtal enligt artikel 28.3, Dataskyddsförordningen

2 Innehåll 1. Bakgrund och syfte Begrepp och termer Ändamål och omfattning Allmänna instruktioner för centrala tjänster Överlåtelse av personuppgiftsbehandling till ett underbiträde Leverantörens allmänna åtagande Ineras allmänna åtagande Sekretess och tystnadsplikt Säkerhet vid behandling av personuppgifter Ersättning Ansvar mot registrerad för skada Avtalstid och ändring i avtal Tvist

3 1. Bakgrund och syfte 1.1. Ineras ägs gemensamt av Sveriges Kommuner och Landsting (SKL) samt landets landsting och kommuner. Ineras uppdrag är att utveckla och förvalta en nationell tjänsteplattform (Nationella tjänsteplattformen) samt nationella och gemensamma digitala tjänster på ägarnas vägnar. Inera får även upplåta Nationella tjänsteplattformen och specifika digitala tjänster åt både enskilda personer, privata utförare som är anlitade av kommuner och landsting eller bedriver verksamhet självständigt samt statliga myndigheter. Säljverksamhet i offentlig regi begränsas av kommunallagen och konkurrenslagen Inera är en teknisk tillhandahållare av Nationella tjänsteplattformen och digitala tjänster, vilket kan innebära behandling av personuppgifter, där sådana förekommer, enligt uppdrag. Personuppgiftsbehandlingen sker således enbart för de kommuner, landsting och andra aktörer som väljer att ansluta sig till Nationella tjänsteplattformen och/eller aktuella digitala tjänster. Dessa aktörer är normalt personuppgiftsansvariga. Inera hanterar således personuppgifter i rollen som personuppgiftsbiträde När personuppgifter behandlas av ett personuppgiftsbiträde ska enligt Dataskyddsförordningen, artikel 28.3, hanteringen regleras genom ett skriftligt avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter anges. Parternas reglering i detta avtal utgör ett sådant bindande avtal som avses i artikel 28.3 i Dataskyddsförordningen, här benämnt Ineras Personuppgiftsbiträdesavtal Ineras Personuppgiftsbiträdesavtal 3 är avsett att användas mellan Inera i bolagets roll som personuppgiftsbiträde och leverantörer i rollen om underbiträde. Ineras Personuppgiftsbiträdesavtal 3 ska enbart användas när Inera själv anlitar fysiska eller juridiska personer för drift och utveckling av Nationella tjänsteplattformen och digitala tjänster Enligt artikel 28.2 Dataskyddsförordningen får ett personuppgiftsbiträde inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar Inera garanterar härmed att ett skriftligt allmänt förhandstillstånd att anlita leverantörer har lämnats till bolaget av personuppgiftsansvariga kommuner, landsting och andra direkt och indirekt anslutna personuppgiftsansvariga till Nationella tjänsteplattformen och nationella digitala tjänster. Dessa allmänna förhandstillståndet framgår av Ineras Personuppgiftsbiträdesavtal 1 och 2. Ineras Personuppgiftsbiträdesavtal 1 ska tecknas 3

4 mellan Inera och direkt ansluta landsting, kommuner och statliga myndigheter. Ineras Personuppgiftsbiträdesavtal 2 ska tecknas mellan direkt anslutna landsting, kommuner eller statliga myndigheter till Ineras nationella digitala tjänster och indirekt anslutna aktörer till digitala tjänsterna, t.ex. företag som på uppdrag av ett landsting bedriver offentligt finansierad hälso- och sjukvård. I dessa situationer agerar direktansluten kommun, landsting eller statlig myndighet i rollen som personuppgiftsbiträde i förhållande till den indirekt anslutna aktören som i regel är personuppgiftsansvarig Landsting, kommuner eller statliga myndigheter som indirekt till andra aktörer upplåter digitala tjänster som tillhandahålls av Inera eller av Inera anlitat underbiträde, har i Ineras Personuppgiftsbiträdesavtal 1 förpliktat sig att teckna Ineras Personuppgiftsbiträdesavtal 2 mellan sig själv och varje indirekt ansluten juridisk eller fysisk person Leverantören åtar sig att behandla personuppgifter, och i förekommande fall även avlidna personers uppgifter, i enlighet med detta Ineras Personuppgiftsbiträdesavtal 3, tillämplig svensk rätt och Personuppgiftsansvarigs övriga instruktioner samt att vidta de tekniska och organisatoriska åtgärder enligt artikel 32 Dataskyddsförordningen som krävs för att skydda uppgifterna Detta Ineras Personuppgiftsbiträdesavtal 3 syftar också till att reglera parternas skyldigheter och rättigheter i övrigt för personuppgiftsbehandlingen. Detta Ineras Personuppgiftsbiträdesavtal 3 omfattar all behandling av personuppgifter som Leverantören utför på Ineras uppdrag. 2. Begrepp och termer 2.1. Med behandling av personuppgifter avses en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (artikel 4.2 Dataskyddsförordningen) Med regionala och nationellt kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå Med Personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (artikel 4.7 Dataskyddsförordningen) Med personuppgiftsbiträde avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den 4

5 personuppgiftsansvariges räkning (artikel 4.8 Dataskyddsförordningen). I föreliggande fall är Inera personuppgiftsbiträde Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person (registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet (artikel 4.1 Dataskyddsförordningen) Med personuppgiftsincident avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats (se artikel 4.12 i Dataskyddsförordningen) Med Sammanhållen journalföring avses ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare Med registrerad avses den som personuppgiften avser Med Leverantörsavtal avses ett avtal mellan Leverantören och Inera. Avtalet reglerar parternas mellanhavanden. 3. Ändamål och omfattning 3.1. Leverantören får endast enligt dokumenterade instruktioner från den Personuppgiftsansvarige utföra den behandling av personuppgifter som är nödvändig för att fullgöra sitt uppdrag åt den Personuppgiftsansvarige, till exempel, men inte begränsat till, hälso- och sjukvård, inklusive försäkringsmedicinska utredningar och koordineringsinsatser för vissa patienter för att främja återgång till arbetslivet, socialtjänst, förskola, grund- och gymnasieutbildning, samhällsbyggnad, personal- och ekonomiadministration person-, adress- och behörighetskontroll 3.2. Utöver detta Ineras Personuppgiftsbiträdesavtal 3 ska Leverantören följa de närmare instruktioner om och villkor för personuppgiftsbehandlingen som den Personuppgiftsansvarige bestämmer i avtal med Inera eller med aktör där Inera agerar underbiträde om en specifik digital tjänst som Leverantören tillhandahåller eller underhåller åt Inera. Leverantören ska även iaktta kompletterande instruktioner som den 5

6 Personuppgiftsansvarige bilägger ett avtal avseende Ineras digitala tjänster eller i särskilda fall. Inera åtar sig att underrätta och tillhandahålla Leverantören kompletterande instruktioner från Personuppgiftsansvarig Behandlingens art, omfattning, varaktighet, föremålet för behandlingen, ändamål, typen av personuppgifter och kategorier av registrerade som omfattas av personuppgiftsbehandlingen framgår av Leverantörsavtalet och eventuella kompletterande instruktioner till Leverantörsavtalet För det fall att Leverantören bedömer att det saknas instruktioner som är nödvändiga för att genomföra uppdraget enligt detta Ineras Personuppgiftsbiträdesavtal 3 och Leverantörsavtalet eller bedömer att lämnade instruktioner strider mot gällande rätt ska Leverantören utan dröjsmål informera Inera om sin inställning, ange om fullgörandet av uppdraget kan påverkas av behovet av instruktioner samt invänta vidare instruktioner från Inera. Det fråntar inte Leverantören den skyldigheter i rollen som personuppgiftsbiträde som följer direkt av Dataskyddsförordningen Leverantören får enligt art 28.3 a) Dataskyddsförordningen endast överföra personuppgifter till ett tredjeland eller en internationell organisation med stöd av skriftliga instruktioner från den Personuppgiftsansvarige vilka den Personuppgiftsansvarige eller Inera ska tillhandahålla, såvida inte överföringen krävs enligt unionsrätten eller svensk rätt. I sådant fall ska Leverantören informera Inera om den rättsliga skyldigheten innan uppgifterna överförs, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt unionsrätten eller svensk rätt. 4. Allmänna instruktioner för centrala tjänster 4.1. Vissa digitala tjänster är centrala för hälso- och sjukvårdens aktörer och följer patientdatalagens (2008:355) bestämmelser. De centrala tjänsterna innefattar bl.a. behandling av känsliga personuppgifter för hälso- och sjukvårdsändamål. Som exempel kan nämnas följande tjänster. System innebärande sammanhållen journalföring inklusive Nationell Patientöversikt Försäkringsmedicinska utredningar Kvalitetsregisterregistrering Vården i siffror och Öppna Data Journalen 1177 Vårdguidens e-tjänster Elektroniskt utlämnande till individen själv 4.2. Leverantören får för den Personuppgiftsansvariges räkning behandla bl.a. känsliga personuppgifter för ändamål som anges i Leverantörsavtal för de centrala tjänsterna. I övrigt gäller för Leverantörens personuppgiftsbehandling instruktionerna i detta Ineras 6

7 Personuppgiftsbiträdesavtal 3 och i förekommande fall kompletterande instruktioner till Leverantörsavtalet. 5. Överlåtelse av personuppgiftsbehandling till ett underbiträde 5.1. Leverantören får inte anlita ett eller flera underbiträden utan Ineras godkännande. Leverantören ska alltid informera Inera om eventuella planer på att anlita nya underbiträden eller byta ut underbiträden med god framförhållning, så att Inera har möjlighet att göra invändningar mot sådana förändringar Om Leverantören med stöd av punkt 5.1 ovan får anlita ett underbiträde, ska underbiträdet i ett skriftligt personuppgiftsbiträdesavtal med Leverantören åläggas samma skyldigheter i fråga om dataskydd som enligt detta Ineras Personuppgiftsbiträdesavtal 3. Leverantören ska särskilt tillse att artikel 28.2 och 28.4 i Dataskyddsförordningen beaktas vid anlitande av ett underbiträde samt tillse att underbiträdet ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen I avtal som Leverantören träffar med underbiträde ska Leverantören tydliggöra att en begäran från tredje part till underbiträdet om utlämnade av en handling eller en uppgift omedelbart ska överlämnas till Inera, och att Leverantören och underbiträdet inte i något sammanhang själv får hantera en sådan begäran. Inera ansvarar för att lämna en begäran vidare till den Personuppgiftsansvarige Leverantörens uppgifter ska vid överföring till underbiträde ha ett adekvat skydd i form av kryptering, sekretessavtal med underbiträdet och Leverantören ska tillse att det finns sekretessförbindelser mellan underbiträdet och underbiträdets egen personal. Om underbiträdets personal omfattas av en lagreglerad tystnadsplikt ska i stället Leverantören tillse att underbiträdet erinras om aktuella sekretess- och tystnadspliktbestämmelser som underbiträdet och underbiträdets personal ska iaktta. Leverantören behöver inte tillse att det finns sekretessförbindelse mellan underbiträdet och underbiträdets egen personal om underbiträdet och underbiträdets egen personal omfattas av lagreglerad tystnadsplikt Om underbiträdet inte uppfyller sina skyldigheter i fråga om behandling enligt personuppgiftsbiträdesavtalet ska Leverantören förbli fullt ansvarig gentemot Inera för underbiträdets uppfyllande av sina skyldigheter enligt föreliggande Ineras Personuppgiftsbiträdesavtal Upphör detta Ineras Personuppgiftsbiträdesavtal 3 att gälla får Leverantören eller ett underbiträde till denne inte fortsätta behandla personuppgifter som omfattas av detta Ineras Personuppgiftsavtal 3. Förvarar underbiträdet händelsevis personuppgifter åt Personuppgiftsansvarig eller Inera ska Leverantören tillse att personuppgifterna i ett 7

8 sådant fall återlämnas till den Personuppgiftsansvarige eller till Inera eller utplånas i enlighet med punkten 6.12 nedan. 6. Leverantörens allmänna åtagande 6.1. Leverantören förbinder sig att följa personuppgiftslagen (1998:204), och fr.o.m. den 25 maj 2018 Dataskyddsförordningen samt andra vid var tid gällande tillämpliga registerförfattningar med avseende på behandling av personuppgifter Leverantören är blott en teknisk tillhandahållare av delar av Nationella tjänsteplattformen eller nationella digitala tjänster. Leverantören får därför inte utan tillåtelse av Inera ta del av personuppgifter som behandlas för den Personuppgiftsansvariges räkning Leverantören har emellertid, oaktat punkten 6.2, tillåtelse av Inera att, beroende på uppdragets omfattning och art, ta del av den Personuppgiftsansvariges data i Nationella tjänsteplattformen, digitala tjänster och i loggar, inklusive personuppgifter, för felsökning, driftskontroll, support och statistik, liksom för att utreda missbruk eller analysera intrång, om det är oundgängligen nödvändigt för att tillhandahålla tjänsten och om andra, mindre ingripande åtgärder av hänsyn till den personliga integriteten är uttömda Leverantören får också behandla, beroende på uppdragets omfattning och art, personuppgifter om den Personuppgiftsansvariges personal och uppdragstagare. Sådana personuppgifter är t.ex. uppgifter avseende namn, personnummer, mobiltelefonnummer, e-postadress och IP-adress. Sådana personuppgifter får behandlas för att Inera ska kunna fullfölja Kundavtal med Personuppgiftsansvarig om tjänsten samt för administration, inklusive säkerhetsadministration Leverantören ska med hänsyn till arten av känsliga personuppgifter som finns hos vårdgivare och utförare av socialtjänst samt för att säkerställa att den Personuppgiftsansvarige kan leva upp till författningsenliga krav på en god kontroll över skyddet för personuppgifterna behandla dessa på utrustning som fysiskt befinner sig i Sverige. Även service och supporttjänster ska tillhandahållas i Sverige. Leverantören ska säkerställa att kravet i denna punkt beaktas vid upphandling av underbiträde för behandling av personuppgifter. På behandlingen är svensk rätt tillämplig, liksom Dataskyddsförordningen Den Personuppgiftsansvarige och Inera har rätt att på egen bekostnad själva eller genom tredje man kontrollera att Leverantören och dess eventuella underbiträden följer detta Ineras Personuppgiftsbiträdesavtal 3. Leverantören och dess eventuella underbiträden ska därvid lämna den Personuppgiftsansvariges och/eller Ineras representanter den assistans som behövs. Den Personuppgiftsansvariges och/eller Ineras representanter ska ha rätt till inspektion av den hårdvara och mjukvara som används för behandling av personuppgifter som omfattas av detta Ineras Personuppgiftsbiträdesavtal 3 samt tillträde till de fysiska lokaler där utrustning och annan hård- och mjukvara finns. Leverantören ska säkerställa att kravet på kontroll enligt denna punkt beaktas i avtal med underbiträde för behandling 8

9 av personuppgifter. Vid Personuppgiftsansvarigs utövande av kontroll enligt denna klausul ska Inera informera andra Personuppgiftsansvariga som använder Ineras digitala tjänster om vem som genomfört kontrollen och tidpunkt Leverantören och dess eventuella underbiträden ska ge Inera tillgång till all information som krävs för att visa att skyldigheterna i artikel 28 Dataskyddsförordningen har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den Personuppgiftsansvarige och/eller Inera eller av en revisor som bemyndigats av den personuppgiftsansvarige eller Inera. Leverantören ska omedelbart informera Inera om Leverantören anser att en instruktion strider mot Dataskyddsförordningen eller svensk rätt Leverantören ska utan dröjsmål informera Inera om eventuella kontakter från Integritetsskyddsmyndigheten eller andra tillsynsmyndigheter som rör eller kan vara av betydelse för behandling av personuppgifter. Leverantören eller dess underbiträden har inte rätt att företräda vare sig den Personuppgiftsansvarige eller Inera, eller agera för deras räkning gentemot Integritetsskyddsmyndigheten eller annan myndighet eller annan tredje man Leverantören får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter inom ramen för detta Ineras Personuppgiftsbiträdesavtal 3 till tredje part utan skriftlig instruktion från Inera eller Personuppgiftsansvarig Leverantören ska hjälpa Inera, genom lämpliga tekniska och organisatoriska åtgärder att, i den mån detta är möjligt, och med tanke på behandlingens art, biträda den Personuppgiftsansvarige att fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med 3 kap. i Dataskyddsförordningen i den utsträckning dessa är tillämpliga Leverantören ska bistå den Personuppgiftsansvarige, genom Inera, med att se till att skyldigheterna enligt artiklarna i Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och den information som Leverantören har att tillgå. Skyldigheten att bistå avser följande: a) Säkerheten i samband med behandlingen b) Den Personuppgiftsansvariges anmälan om personuppgiftsincident till Integritetsskyddsmyndigheten c) Information till registrerad om personuppgiftsincident d) Konsekvensbedömning avseende dataskydd samt förhandssamråd Leverantören ska när detta Ineras Personuppgiftsbiträdesavtal 3 upphör att gälla, beroende på vad den Personuppgiftsansvarige väljer, radera eller överlämna samtliga personuppgifter till Inera på av Inera angivet lagringsmedium och se till att det inte finns några personuppgifter kvar i egna system, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller svensk rätt. 9

10 7. Ineras allmänna åtagande 7.1. Inera åtar sig att se till att Dataskyddsförordningen, samt övriga relevanta, vid var tid gällande, författningsbestämmelser efterlevs beträffande behandling av personuppgifter. Den Personuppgiftsansvarige ansvarar bland annat för att informera registrerade om behandlingen och för att i de fall så krävs inhämta samtycke från den registrerade Inera ska utan dröjsmål informera Leverantören om förändringar i behandlingen vilka påverkar Leverantörens skyldigheter enligt Dataskyddsförordningen. 8. Sekretess och tystnadsplikt 8.1. Parterna har en ömsesidig skyldighet att iaktta sekretess och tystnadsplikt för Konfidentiell Information som finns hos parterna, liksom hos den personuppgiftsansvarige. Som Konfidentiell information avses drifts- och affärshemligheter, exempelvis, men inte begränsat till, tekniska lösningar, tjänster, programvaror och verksamhet Leverantören får inte heller röja vare sig skriftligen, muntligen eller på annat sätt, den personuppgiftsansvariges uppgifter om enskilda personers personliga förhållanden, hälsa och skyddade personuppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), och som Leverantören förvaltar för den personuppgiftsansvariges räkning, till tredje part eller någon obehörig person inom Leverantörens egen verksamhet Parts åtagande om sekretess och tystnadsplikt gäller inte sådan Konfidentiell Information som: (i) vid mottagandet redan var känd för mottagande part; (ii) är eller blivit allmänt tillgänglig eller känd utan att mottagande part har brutit mot detta sekretessåtagande; (iii) mottagande part på behörigt sätt erhållit från en tredje part som inte är bunden av sekretessåtagande i förhållande till motparten; eller (iv) det åligger mottagande part att göra allmänt tillgängligt genom domstolsutslag, myndighetsbeslut eller i övrigt enligt föreskrift i lag Om en uppgift som rör den Personuppgiftsansvariges eller Ineras verksamhet begärs utlämnad, ska Leverantören som ett led i beredningen av begäran samråda med behörig representant hos Inera. Leverantören får inte lämna ut uppgifter eller annan information som omfattas av detta Ineras Personuppgiftsbiträdesavtal 3 utan skriftlig instruktion från Inera med undantag för skyldigheter som följer av lag eller annan författning Leverantören ansvarar för sina respektive anställdas och konsulters iakttagande av häri angivna bestämmelser, och ska genom personliga sekretessförbindelser med dessa eller genom andra lämpliga åtgärder tillse att detta Ineras Personuppgiftsbiträdesavtal 3 sekretess iakttas. 10

11 8.6. Leverantörens tystnadsplikt för personrelaterade uppgifter gäller för obegränsad tid efter Leverantörsavtalets upphörande Part som bryter mot sekretessförpliktelsen ska ersätta den skada som den andra Parten orsakas därigenom. 9. Säkerhet vid behandling av personuppgifter 9.1. Leverantören ska, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, vidta skäliga tekniska, administrativa och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt a. pseudonymisering och kryptering av personuppgifter, b. förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och digitala tjänster, c. förmågan att återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och d. ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet; villkor för test och utvärdering av säkerheten framgår av Leverantörsavtalet Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats Enligt artikel 28.5 Dataskyddsförordningen får ett personuppgiftsbiträde ansluta sig till en godkänd uppförandekod som avses i artikel 40 eller en godkänd certifieringsmekanism som avses i artikel 42 för att visa att tillräckliga garantier finns för att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas, såsom avses i artikel 28.1 och 28.4 Dataskyddsförordningen. Leverantören, och Leverantörens underbiträden, är fria att ansluta sig till antingen en godkänd uppförandekod eller en godkänd certifieringsmekanism, med stöd av artikel 32 i för att visa att kraven i punkten 9.1 ovan följs. Behörighetstilldelning 9.4. Leverantören ska ansvara för att det finns rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av den egna personalens och uppdragstagares behörigheter för åtkomst till den Personuppgiftsansvariges respektive Ineras personuppgifter, när det är tillåtet enligt detta Ineras Personuppgiftsbiträdesavtal 3. 11

12 Loggning 9.5. Se punkt Säkerhetskopiering 9.6. Leverantören ska ha rutiner för säkerhetskopiering av personuppgifter i ett allmänt erkänt och strukturerat format. Om detta Ineras Personuppgiftsbiträdesavtal 3 upphör gäller för säkerhetskopian vad som framgår av punkt Elektronisk informationsöverföring 9.7. Leverantören ska vid elektronisk överföring av personuppgifter från eller till den Personuppgiftsansvarige skydda uppgifterna på ett adekvat sätt med hänsyn till personuppgifternas känslighet och art när de kommuniceras. Drift och underhåll 9.8. Innan Leverantören driftsätter sina system för mottagande eller utlämnande av information enligt detta Ineras Personuppgiftsbiträdesavtal 3 ska systemen kvalitetssäkras genom tester och riskanalyser i testmiljö Om Leverantören avser att göra förändringar i sitt system (uppgradering, patchning etc.) på sätt som kan förväntas påverka informationshanteringen ska Leverantören underrätta Inera om detta. Sådan information ska lämnas i god tid före förändringen. Driftstörningar Driftsäkerhet samt avhjälpande av fel eller brist regleras inte i detta Ineras Personuppgiftsbiträdesavtal Intrångsförsök eller annat bedrägligt förfarande för att få åtkomst till den Personuppgiftsansvariges personuppgifter (personuppgiftsincident) ska enligt artikel 33.2 Dataskyddsförordningen anmälas av Leverantören utan onödigt dröjsmål till Inera, dock inte senare än 12 timmar vid upptäckt. Inga ändringar (omstart, uppgraderingar m.m.) får normalt vidtas utan samråd med Inera Leverantören åtar sig att kontinuerligt logga åtkomst till personuppgifter enligt detta Ineras Personuppgiftsbiträdesavtal 3. Leverantören ska ansvara för att 1. det av dokumentationen av åtkomsten (loggar) framgår vilka åtgärder som har vidtagits med uppgifter om en registrerad person, 2. det av loggarna framgår vid vilken enhet åtgärderna vidtagits, 3. det av loggarna framgår vid vilken tidpunkt åtgärderna vidtagits, 4. användarens och den registrerades identitet framgår av loggarna, 12

13 5. systematiska och återkommande stickprovskontroller av loggarna görs, och 6. kontroller av loggarna dokumenteras. Loggarna ska ha ett adekvat säkerhetsskydd. Loggar får gallras först fem (5) år efter loggningstillfället. Loggen ska lämnas ut till Inera om detta Ineras Personuppgiftsbiträdesavtal 3 upphör att gälla. 10. Ersättning Ersättning för Leverantörens tillhandahållande av digitala tjänster regleras i Leverantörsavtalet. 11. Ansvar mot registrerad för skada 11.1 Parternas ansvar och ansvarsbegränsningar för skada med avseende på behandling av personuppgifter och säkerhet i samband med behandlingen regleras i Leverantörsavtalet. 12. Avtalstid och ändring i avtal 12.1 Ineras Personuppgiftsbiträdesavtal 3 gäller från dess undertecknande och så länge som Inera har ett uppdrag från den Personuppgiftsansvarige att behandla personuppgifter för dennes räkning, såvida inte part säger upp Leverantörsavtalet. Uppsägning regleras i Leverantörsavtalet Förslag eller önskemål om ändring i eller uppsägning av detta Ineras Personuppgiftsbiträdesavtal 3 ska godkännas av Inera och Leverantören tillsammans och fastställas i särskilt tilläggsavtal eller motsvarande. 13. Tvist 13.1 Tvist angående tolkning eller tillämpning av detta Ineras Personuppgiftsbiträdesavtal 3 ska avgöras av Stockholms tingsrätt. Svensk rätt ska äga tillämpning på tvisten. 13