PERSONUPPGIFTSBITRÄDESAVTAL

Relevanta dokument
Bilaga Personuppgiftsbiträdesavtal

BILAGA Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga Personuppgiftsbiträdesavtal UPP 2016/235. Innehållsförteckning

Bilaga Personuppgiftsbiträdesavtal Innehållsförteckning

BILAGA Personuppgiftsbiträdesavtal

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL - DM

PERSONUPPGIFTSBITRÄ DESÄVTÄL

Personuppgiftsbiträdesavtal

InTime International AB (nedan kallat Personuppgiftsbiträdet ) med organisationsnummer och adress Varvsgatan 47, Luleå

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Södertörns brandförsvarsförbund

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Villkor för kommunens användning av GeoVy och behandling av personuppgifter för Lantmäteriets räkning

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Personuppgiftsbiträdesavtal

Bilaga 1a Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Personuppgiftsbiträde

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL - TELEMARKETING

Personuppgiftsbiträde

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

PERSONUPPGIFTSBITRÄDESAVTAL

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

PERSONUPPGIFTSBITRÄDESAVTAL

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Personuppgiftsbiträdesavtal

Bilaga 3 - Personsuppgiftbiträdesavtal

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

1. Bakgrund. 2. Parter. 3. Definitioner

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

Denna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter.

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

M E L L A N P E R S O N U P P G I F T S A N S V A R I G O C H P E R S O N U P P G I F T S B I T R Ä D E

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillägg om Zervants behandling av personuppgifter

Personuppgiftsbiträdesavtal 1 Parter Detta avtal har dagen för undertecknanden ingåtts mellan parterna;

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

PERSONUPPGIFTSBITRÄDESAVTAL

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Personuppgiftsbehandling i forskning

Särskilda bestämmelser vid behandling av personuppgifter i samband med andra tjänster än Molntjänster och IT-Infrastrukturtjänster (övriga tjänster)

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

PERSONUPPGIFTSLAGEN (PUL)

Dataskyddsförordningen GDPR

C. Mot bakgrund av ovanstående har Parterna ingått detta Avtal.

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Personuppgiftsbehandling för forskningsändamål

Personuppgiftsbiträdesavtal

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Särskilda bestämmelser vid behandling av personuppgifter i samband med Molntjänster

PERSONUPPGIFTSBITRÄDESAVTAL

Villkor för Visma Webbfakturering tilläggsavtal till Användarvillkor för Visma Spcs webbplatser Visma Spcs AB ( )

Integritetspolicy - SoftOne

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Mertzig Asset Management AB

Personuppgiftslagen konsekvenser för mitt företag

PERSONUPPGIFTSBITRÄDESAVTAL

Underbiträdesavtal. Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Hantering av personuppgifter

Personuppgiftsbiträdesavtal

AVTAL FÖR ADVITUMS DOKUMENTPORTAL

Bilaga - Personuppgiftsbiträdesavtal

Säkerhet vid behandling av personuppgifter i forskning

Riktlinjer för behandling av personuppgifter i Årjängs kommun

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Personuppgiftsbiträdesavtal Fastighetsägarna Dokument

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

PERSONUPPGIFTSBITRÄDESAVTAL. ("Personuppgiftsbiträdesavtalet")

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Integritetspolicy Våra Gårdar

Riktlinjer för arbete med personuppgifter vid GIH

1. DEFINITIONER. Detta Databehandlingstillägg (detta Tillägg ) har införlivats i Tjänsteavtalet ( Avtalet ) som ingåtts mellan

Transkript:

1 (7) Huddinge kommun, 141 85 Huddinge och ( Personuppgiftsbiträdet = Leverantörens namn) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL Personuppgiftslagen (1998:204) ställer krav på skriftligt avtal när personuppgiftsbiträden ska behandla personuppgifter för en personuppgiftsansvarigs räkning. Personuppgiftsbiträdet ska för Huddinge kommuns räkning utföra leverans av förmånsportal som tjänst och kommer som en del av detta uppdrag att för Huddinge kommuns räkning behandla personuppgifter. Skyddet för behandlade individers personliga integritet är av stor etisk betydelse för Huddinge kommun och syftet med detta avtal är att tillse att Personuppgiftsbiträdet behandlar personuppgifterna i enlighet med Huddinge kommuns anvisningar och i enlighet med tillämplig lag, föreskrifter och branschnormer. I avtalet finns föreskrifter om att Personuppgiftsbiträdet får behandla Personuppgifterna bara i enlighet med instruktioner från den Personuppgiftsansvarige och att Personuppgiftsbiträdet är skyldigt att vidta lämpliga Tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av: de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med Behandlingen av Personuppgifterna, och hur pass känsliga de behandlade Personuppgifterna är. Kompletterande föreskrifter beträffande Behandling av Personuppgifter ges i personuppgiftsförordningen (1998:1191). POSTADRESS Kommunstyrelsens förvaltning Upphandlingsenheten 141 85 Huddinge BESÖKSADRESS Kommunalvägen 28 Huddinge TELEFON (VX) OCH FAX 08 535 300 00 08 535 302 90 E-POST OCH WEBB upphandlingsavdelningen@huddinge.se www.huddinge.se

2 (10) 1 Definitioner 1.1 Med avtalet avses detta personuppgiftsbiträdesavtal. 1.2 Med "personuppgifter" avses nedan all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och som behandlas för Huddinge kommuns räkning. 1.3 Med registrerad avses nedan den som en personuppgift avser. 1.4 Med behandling avses nedan varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. 1.5 Med integritetskänsliga personuppgifter avses personuppgifter som exempelvis omfattas av sekretess, rör en registrerads personliga sfär eller som på annat sätt värderar den registrerades sociala, ekonomiska eller liknande förhållanden. 1.6 Med känsliga personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. 1.7 Med personuppgiftsansvarig avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för Behandlingen av Personuppgifter. 1.8 Med personuppgiftsbiträde avses den som i samband med avtalstecknande går med på att från Personuppgiftsansvarig ta emot Personuppgifter för vidare Behandling i enlighet med Personuppgiftsansvarigs instruktioner och villkoren i avtalet. 1.9 Med tillsynsmyndighet avses den myndighet som regeringen utser för att utöva tillsyn. Enligt 2 personuppgiftsförordningen (1998:1191) är Datainspektionen Tillsynsmyndighet.

3 (10) 1.10 Med tillämplig uppgiftsskyddslagstiftning avses Personuppgiftslagen (1998:204) eller annan registerförfattning som omfattar den Personuppgiftsansvariges verksamhet. 1.11 Med tekniska och organisatoriska säkerhetsåtgärder avses åtgärder avsedda att skydda Personuppgifter mot oavsiktlig eller olaglig utplåning, oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten åtkomst, i synnerhet när Behandlingen inbegriper överföring av uppgifter över ett nät, och mot varje annan form av olaglig Behandling. 1.12 Med underbiträde avses underleverantör som anlitats av Personuppgiftsbiträdet eller av en annan av Personuppgiftsbiträdets Underbiträden och som går med på att från Personuppgiftsbiträdet eller en annan av Personuppgiftsbiträdets Underbiträden ta emot Personuppgifter i den enda avsikten att efter överföringen behandla Personuppgifter för Personuppgiftsansvarigs räkning i enlighet med Personuppgiftsansvarigs instruktioner, villkoren i Avtalet samt villkoren i ett skriftligt underbiträdesavtal. 2 Personuppgiftsbiträdets åtaganden 2.1 Personuppgiftsbiträdet intygar att dennes verksamhet bedrivs på sätt som säkerställer att personuppgiftslagens bestämmelser och krav avseende adekvat skydd för personuppgiftsbehandlingar efterlevs. 2.2 Personuppgiftsbiträdet och den eller de personer som arbetar under dennes ledning får bara behandla personuppgifter i enlighet med de instruktioner som anges i avsnittet Tekniska och organisatoriska säkerhetsåtgärder eller som från tid till annan lämnas av Huddinge kommun. Om Personuppgiftsbiträdet saknar instruktioner som han bedömer är nödvändiga för att genomföra uppdrag han erhållit från Huddinge kommun ska Personuppgiftsbiträdet, utan dröjsmål, informera Huddinge kommun om sin inställning och invänta de instruktioner som Huddinge kommun bedömer erfordras. 2.3 För det fall att Registrerad, Tillsynsmyndighet eller annan tredje man begär information från Personuppgiftsbiträdet som rör behandling av personuppgifter ska Personuppgiftsbiträdet hänvisa till Huddinge kommun. Av punkten 2.2 ovan och punkten 3.1 nedan följer bland annat att Personuppgiftsbiträdet inte får lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från Huddinge kommun.

4 (10) 2.4 Den Registrerade har laglig rätt att begära registerutdrag eller kräva rättelse, blockering eller utplåning av de Personuppgifter som omfattas av Avtalet. Personuppgiftsbiträdet är skyldigt att bistå den Personuppgiftsansvarige i sådan omfattning att denna rätt kan säkerställas. 2.5 Personuppgiftsbiträdet ska utan dröjsmål informera Huddinge kommun om eventuella kontakter från Tillsynsmyndighet som rör eller kan vara av betydelse för behandling av personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Huddinge kommun eller agera för Huddinge kommuns räkning gentemot Tillsynsmyndighet. 2.6 Punkten 2.2 ovan innebär att Personuppgiftsbiträdet endast får samla in personuppgifter i enlighet med instruktioner utfärdade av Huddinge kommun. Personuppgiftsbiträdet ska om inte annat skriftligen angivits av Huddinge kommun vid sådant insamlande särskilt se till att erforderliga samtycken inhämtas av registrerade och att de erhåller information i enlighet med personuppgiftslagens krav. Personuppgiftsbiträdet ska på begäran från Huddinge kommun utan dröjsmål överlämna såväl inhämtade samtycken som de uppgifter Huddinge kommun behöver för att kunna visa att de registrerade informerats. 2.7 Personuppgiftsbiträdet ska vidta de tekniska och organisatoriska åtgärder som erfordras enligt personuppgiftslagen för att skydda de personuppgifter som behandlas mot obehörig åtkomst, förstörelse eller ändring. Personuppgiftsbiträdet ska därvid särskilt iaktta Datainspektionens allmänna råd Säkerhet för personuppgifter eller andra föreskrifter som ersätter de förutnämnda. 2.8 Personuppgiftsbiträdet ska omgående underrätta Huddinge kommun vid upptäckt av fullbordade fall av eller försökt till obehörig åtkomst, förstörelse eller ändring av personuppgifter. 2.9 Huddinge kommun har rätt att utreda obehörig åtkomst hos Personuppgiftsbiträdet. 2.10 Huddinge kommun äger sin information/data oinskränkt. Det omfattar all information/data som exporteras och laddas upp hos personuppgiftsbiträdeten samt resultatet av personuppgiftsbiträdetens behandling av informationen/data. Huddinge kommuns information omfattas av metadata och loggar.

5 (10) 2.11 Tillgång till och utlämnande av ingående information/data beslutas av Huddinge kommun. Informationen/data får inte användas av personuppgiftsbiträdet för andra ändamål än vad som avtalats. Personuppgiftsbiträdet ska tillse att all berörd information/data vid avslutande av hela/delar av avtalsrelationen, eller när avtalat uppdrag har avslutats, återbördas till Huddinge kommun i ett för kommunen läsbart och användbart format vid den tidpunkt det blir aktuellt. 2.12 Återmigrering av information ska ske på av Huddinge kommun angivet medium enligt Riksarkivets bestämmelser om fastställda format. Leverantören ska säkerställa att detta kan ske och bistå Huddinge kommun eller av kommunen anvisad part med detta. 2.13 Information/data som inte återgår till Huddinge kommun ska förstöras eller anonymiseras så att det inte är möjligt att återskapa dem. Personuppgiftsbiträdet ska se till att det inte finns några personuppgifter kvar hos Personuppgiftsbiträdet, eller i förekommande fall hos underleverantör, vid avslutandet av tjänst eller avtalsrelation. Huddinge kommun eller av Huddinge kommun anvisad part ska ha rätt att granska att erforderliga åtgärder har vidtagits i samband med detta. 2.14 Informationen/data från Huddinge kommun ska gå att verifiera via hashsumma vid alla behandlingar som personuppgiftsbiträdet utför och spårbarhet ska också finnas via loggar för leverantörens behandling. Motsvarande ska gälla om personuppgiftsbiträdet använder sig av underleverantörer. Huddinge kommun har rätt att ta del av de uppgifter som registreras i loggen. 2.15 Personuppgiftsbiträdet ska ha de immateriella rättigheter för tjänsten som krävs och tillse att den inte utgör intrång i tredje mans rätt. 2.16 Huddinge kommun eller av Huddinge kommun anvisad part har rätt att följa upp att Personuppgiftsbiträdet, eller i förekommande fall underleverantörer, lever upp till Huddinge kommuns krav på Behandlingen och verkligen vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder. Personuppgiftsbiträdet ska lämna Huddinge kommun den assistans som behövs. 2.17 Personuppgiftsbiträdet ska vid användande av underleverantörer tillse att detta förhållande regleras och att underleverantörer blir bunden av detta avtal och de angivna kraven. Personuppgiftsbiträdet är ansvarig för underleverantörers arbete såsom för eget arbete.

6 (10) 2.18 Underleverantörer samt i vilket land Behandlingen sker ska vid var tid vara kända av Personuppgiftsbiträdet och vid anmodan från Huddinge kommun redovisas. Personuppgiftsbiträdet ska assistera Huddinge kommun eller av Huddinge kommun anvisad extern part vid kontroll och revision av behandling och bearbetning av Huddinge kommuns information/data. 2.19 För det fall att Behandlingar av Personuppgifter kommer att utföras av Underbiträde i tredje land, kan Parterna välja mellan följande: a) Huddinge kommun ger Personuppgiftsbiträdet mandat att teckna för Huddinge kommuns räkning med Underbiträden i tredjeland, i enlighet med Kommissionens beslut (2010/87/EU) om standardavtalsklausuler för överföring av Personuppgifter till tredjeland. b) Ett tecknas mellan Huddinge kommun och Personuppgiftsbiträdets Underbiträde i tredjeland, i enlighet med Kommissionens beslut (2010/87/EU) om standardavtalsklausuler för överföring av Personuppgifter till tredjeland. 2.20 Huddinge kommun har rätt att avsluta avtalet om denne inte godtar ett visst underbiträde eller en viss typ av Behandling. 3 Sekretess 3.1 Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller annars röja information om behandling av personuppgifter som omfattas av detta avtal eller annan information som Personuppgiftsbiträdet erhållit till följd av detta avtal. Personuppgiftsbiträdet åtar sig vidare att inte utnyttja personuppgifterna för egna ändamål. 3.2 Åtagandet i punkten 3.1 första meningen gäller inte a) information som part kan visa var allmänt känd vid tidpunkt för mottagandet, eller b) information som part föreläggs utge till myndighet. Sekretessåtagandet gäller även efter att detta avtal i övrigt upphört att gälla.

7 (10) 4 Ersättning 4.1 Personuppgiftsbiträde har inte rätt till särskild ersättning för behandling av personuppgifter under detta avtal. 5 Ansvar gentemot tredje man 5.1 För den händelse registrerad, eller annan tredje man riktar krav mot Huddinge kommun på grund av Personuppgiftsbiträdets eller dess underleverantörs behandling av personuppgifter ska Personuppgiftsbiträdet hålla Huddinge kommun skadeslös för sådana krav som följer av att Personuppgiftsbiträdet inte efterföljt detta avtal eller angivna anvisningar. 6 Avtalstid 6.1 Avtalet gäller från dess undertecknande och så länge som Personuppgiftsbiträdet behandlar personuppgifter för Huddinge kommuns räkning. 7 Ändringar i avtalet 7.1 Huddinge kommun får i den mån så erfordras ändra innehållet i detta avtal för att krav som följer av personuppgiftslagen eller annan tillämplig uppgiftsskyddslagstiftning ska kunna tillgodoses. Sådan ändring av avtalet träder ikraft senast trettio (30) dagar efter att Huddinge kommun översänt ändringsmeddelande till Personuppgiftsbiträdet. För det fall Personuppgiftsbiträdet inte accepterar sådan ändring äger Huddinge kommun rätt att omedelbart skriftligen säga upp samtliga avtal med Personuppgiftsbiträdet, vilket innebär att Personuppgiftsbiträdet inte längre har rätt att behandla personuppgifter för Huddinge kommuns räkning. Övriga ändringar och tillägg till avtalet ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av parterna. 7.2 Personuppgiftsbiträdet har ingen självständig rätt att påkalla ändringar av detta avtal. 7.3 För det fall att tjänstens innehåll ändras på så sätt att nya funktioner tillkommer, vilka kan föranleda att nya typer av Behandlingar av personuppgif-

8 (10) ter kan komma att utföras, ska Huddinge kommun underrättas om förändringarna. 8 Behandlingar omfattade av avtalet 8.1 Behandling av personuppgifter Personuppgiftsbiträdet ska på Huddinge kommuns uppdrag genomföra följande åtgärder: Leverans av förmånsportal som en tjänst. Och omfattas av följande typer av personuppgifter: Uppgifter om samtliga anställda i Huddinge kommun. 9 Tekniska och organisatoriska säkerhetsåtgärder 9.1 Detta avsnitt utgör instruktioner till Personuppgiftsbiträdet, och ska fyllas i av parterna. Observera att villkoren nedan kan bli föremål för ändringar utifrån vad som framkommer i den Personuppgiftsansvariges laglighetsprövning och den risk- och sårbarhetsanalys som den Personuppgiftsansvarige gör. 9.2 I detta avsnitt redogörs för de Tekniska och organisatoriska säkerhetsåtgärder som Personuppgiftsbiträdet vidtagit i enlighet med avsnitt 2.7. Den Personuppgiftsansvarige har rätt att kontrollera att åtgärderna verkligen vidtas under Avtalets fullgörande. 9.3 Åtkomstskydd. När datorutrustning och löstagbara datamedier hos Personuppgiftsbiträdet inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska Personuppgifterna krypteras. 9.4 För det fall eventuella bärbara datorer används vid Behandlingar ska Personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade. 9.5 Säkerhetskopia. Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att Person-

9 (10) uppgifterna kan återskapas efter en störning. Personuppgiftsbiträdet ska ha en rutin för test av återläsning. 9.6 Behörighetskontroll. Ett tekniskt system för behörighetskontroll ska styra åtkomsten till Personuppgifterna för Personuppgiftsbiträdet. Behörigheten ska begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter. 9.7 Loggning. Åtkomst till Personuppgifter ska kunna följas upp i efterhand genom en logg eller liknande underlag. 9.8 Datakommunikation. Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. 9.9 För åtkomst till Känsliga och Integritetskänsliga personuppgifter krävs tvåfaktorsautentisering. 9.10 Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Personuppgiftsbiträdet ska skyddas med kryptering. 9.11 Utplåning. När fasta eller löstagbara lagringsmedier som innehåller Personuppgifter inte längre ska användas för sitt ändamål ska Personuppgifterna raderas på sådant sätt att de inte kan återskapas. 9.12 Reparation och service. När reparation och service av datorutrustning, vilken används för att lagra Huddinge kommuns Personuppgifter, utförs av annan än Personuppgiftsbiträdet, ska avtal som reglerar säkerhet och sekretess träffas med serviceföretaget. 9.13 Vid servicebesök ska servicen ske under Personuppgiftsbiträdets överinseende. Är detta inte möjligt ska lagringsmedier som innehåller Personuppgifter avlägsnas. 9.14 Service via fjärrstyrd datakommunikation får endast ske efter säker elektronisk identifiering av den som utför servicen. Servicepersonal ska ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår.

10 (10) 9.15 Den Personuppgiftsansvarige har rätt att utföra kontroller av att avtalade säkerhetsåtgärder faktiskt vidtas. Detta avtal har upprättats i två exemplar, varav parterna har tagit var sitt. (Ort datum) (Ort datum) HUDDINGE KOMMUN (Underskrift) (Underskrift) (Namnförtydligande) (Namnförtydligande) (Undertecknas av personuppgiftsansvarige inom respektive nämnd. Oftast verksamhetsansvarig/motsvarande som samlar in personuppgifterna för specifikt syfte.)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss