Bilaga Personuppgiftsbiträdesavtal Innehållsförteckning

Relevanta dokument
Bilaga Personuppgiftsbiträdesavtal UPP 2016/235. Innehållsförteckning

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Personuppgiftsbiträdesavtal

InTime International AB (nedan kallat Personuppgiftsbiträdet ) med organisationsnummer och adress Varvsgatan 47, Luleå

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

BILAGA Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄ DESÄVTÄL

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Bilaga Personuppgiftsbiträdesavtal

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Villkor för kommunens användning av GeoVy och behandling av personuppgifter för Lantmäteriets räkning

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

BILAGA Personuppgiftsbiträdesavtal

Bilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Södertörns brandförsvarsförbund

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

Bilaga 1a Personuppgiftsbiträdesavtal

Personuppgiftsbiträde

Personuppgiftsbiträdesavtal

C. Mot bakgrund av ovanstående har Parterna ingått detta Avtal.

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Personuppgiftsbiträdesavtal

Bilaga 3 - Personsuppgiftbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

M E L L A N P E R S O N U P P G I F T S A N S V A R I G O C H P E R S O N U P P G I F T S B I T R Ä D E

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

PERSONUPPGIFTSBITRÄDESAVTAL

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Denna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter.

PERSONUPPGIFTSBITRÄDESAVTAL

Dataskyddsförordningen GDPR

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Policy för behandling av personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA. 1. Allmänt

Personuppgiftsbiträdesavtal 1 Parter Detta avtal har dagen för undertecknanden ingåtts mellan parterna;

Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.

PERSONUPPGIFTSBITRÄDESAVTAL - DM

Mertzig Asset Management AB

Bilaga 3 Personuppgiftsbiträdesavtal

Personuppgiftsbehandling för forskningsändamål

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

Säkerhet vid behandling av personuppgifter i forskning

PERSONUPPGIFTSBITRÄDESAVTAL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Personuppgiftsbiträdesavtal

Personuppgiftsbehandling i forskning

INTEGRITETSPOLICY Max Mitteregger Kapitalförvaltning AB. INTEGRITETSPOLICY Den 25 maj 2018

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

PERSONUPPGIFTSBITRÄDESAVTAL. ("Personuppgiftsbiträdesavtalet")

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Personuppgiftsbiträde

Svensk författningssamling

Bilaga - Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Personuppgiftspolicy

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

Novare Peritos - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Tillägg om Zervants behandling av personuppgifter

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Riktlinjer för arbete med personuppgifter vid GIH

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Allmänna villkor Version: Allmänna Villkor

1. DEFINITIONER. Detta Databehandlingstillägg (detta Tillägg ) har införlivats i Tjänsteavtalet ( Avtalet ) som ingåtts mellan

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

PERSONUPPGIFTSLAGEN (PUL)

1. Bakgrund. 2. Parter. 3. Definitioner

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL Bilaga till Avtal om Swelön

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Personuppgiftsbiträdesavtal Fastighetsägarna Dokument

Transkript:

Bilaga Personuppgiftsbiträdesavtal Datum. [Diarienummer] Innehållsförteckning 1 Avtalets syfte... 2 2 Parter... 3 3 Definitioner... 3 4 Allmänt om Avtalet... 5 5 Personuppgiftsbiträdets skyldigheter... 6 6 Utläggning av behandlingar till underbiträden... 7 7 Skyldigheter efter Avtalets upphörande... 8 8 Ändringar i Avtalet... 8 9 Giltighetstid... 8 10 Behandlingar som omfattas av Avtalet... 8 11 Tekniska och organisatoriska säkerhetsåtgärder...10

1 Avtalets syfte Personuppgiftsbiträdets tillhandahållande av tjänsten och fullgörande av Avtalet i övrigt innebär att Personuppgiftsbiträdet behandlar Specialpedagogiska skolmyndighetens personuppgifter i enlighet med vad som stadgas i personuppgiftslagen (1998:204). Detta avtal syftar till att uppfylla stadgandet i 30 personuppgiftslagen, som föreskriver att det ska finnas ett skriftligt avtal om Personuppgiftsbiträdets behandling av personuppgifter för Specialpedagogiska skolmyndighetens räkning. I avtalet finns föreskrifter om att Personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från Specialpedagogiska skolmyndigheten och att Personuppgiftsbiträdet är skyldigt att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med Behandlingen av personuppgifterna, och hur pass känsliga de behandlade personuppgifterna är. Kompletterande föreskrifter beträffande behandling av personuppgifter ges i personuppgiftsförordningen (1998:1191). Avtalet är en bilaga till tjänsteavtalet Klicka här för att ange text.. 2 (11)

2 Parter Specialpedagogiska skolmyndigheten Adress: Box 1100, 871 29 Härnösand Telefonnummer: 010-473 5000 E-postadress: spsm@spsm.se Organisationsnummer: 202100-5745 och Namn på organisation (Personuppgiftsbiträdet) Klicka här för att ange text. Adress: Klicka här för att ange text. Telefonnummer: Klicka här för att ange text. Fax: Klicka här för att ange text. E-postadress: Klicka här för att ange text. Organisationsnummer: Klicka här för att ange text. var och en part, tillsammans parterna, har tecknat följande Personuppgiftsbiträdesavtal (Avtalet) för att säkerställa ett adekvat skydd för privatliv och grundläggande rättigheter och friheter för enskilda i samband med överföring från Specialpedagogiska skolmyndigheten till Personuppgiftsbiträdet av personuppgifter. 3 Definitioner Avtalet har motsvarande definitioner som i 3 personuppgiftslagen. Begrepp Avtalet Behandling Förklaring Detta Personuppgiftsbiträdesavtal. Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. 3 (11)

Begrepp Integritetskänsliga personuppgifter Känsliga personuppgifter Personuppgifter Personuppgiftsansvarig Personuppgiftsbiträde Registrerad Tillsynsmyndighet Tillämplig uppgiftsskyddslagstiftning Tekniska och organisatoriska säkerhetsåtgärder Förklaring Personuppgifter som exempelvis omfattas av sekretess, rör en Registrerads personliga sfär eller som på annat sätt värderar den Registrerades sociala, ekonomiska eller liknande förhållanden. Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för Behandlingen av personuppgifter. Den som i samband med Kontraktstecknande går med på att från Specialpedagogiska skolmyndigheten ta emot personuppgifter för vidare Behandling i enlighet med Specialpedagogiska skolmyndighetens instruktioner och villkoren i avtalet. Den som en personuppgift avser. Den myndighet som regeringen utser för att utöva tillsyn. Enligt 2 personuppgiftsförordningen (1998:1191) är Datainspektionen Tillsynsmyndighet. Personuppgiftslagen (1998:204) eller annan registerförfattning som omfattar den Personuppgiftsansvariges verksamhet. Åtgärder avsedda att skydda personuppgifter mot oavsiktlig eller olaglig utplåning, oavsiktlig 4 (11)

Begrepp Underbiträde Förklaring förlust, ändring, otillåtet utlämnande eller otillåten åtkomst, i synnerhet när Behandlingen inbegriper överföring av uppgifter över ett nät, och mot varje annan form av olaglig Behandling. Underleverantör som anlitats av Personuppgiftsbiträdet eller av en annan av Personuppgiftsbiträdets Underbiträden och som går med på att från Personuppgiftsbiträdet eller en annan av Personuppgiftsbiträdets Underbiträden ta emot personuppgifter i den enda avsikten att efter överföringen behandla personuppgifter för Specialpedagogiska skolmyndighetens räkning i enlighet med Specialpedagogiska skolmyndighetens instruktioner, villkoren i Avtalet samt villkoren i ett skriftligt underbiträdesavtal. 4 Allmänt om Avtalet 4.1 Information om behandlingen, och i förekommande fall om känsliga eller integritetskänsliga personuppgifter avses att behandlas, anges i avsnitt 10. 4.2 Personuppgiftsbiträdet har inte rätt till särskild ersättning för åtagande enligt Avtalet. 4.3 Alla behandlingar av personuppgifter som regleras i Avtalet omfattas av personuppgiftslagens (1998:204) bestämmelser, eller annan gällande författning som reglerar behandling av personuppgifter. Den 25 maj 2018 träder EU:s dataskyddsförordning (Europaparlamentets och Rådets förordning 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG) i kraft och börjar tillämpas såsom svensk lag. 4.4 Genom signeringen ges Specialpedagogiska skolmyndigheten rätt att följa upp att Personuppgiftsbiträdet lever upp till Specialpedagogiska skolmyndighetens krav på behandlingen och verkligen vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder. 4.5 Personuppgiftsbiträdet intygar att dennes verksamhet bedrivs på sätt som säkerställer att personuppgiftslagens bestämmelser och krav avseende adekvat skydd för personuppgiftsbehandlingar efterlevs. 5 (11)

5 Personuppgiftsbiträdets skyldigheter 5.1 För att skydda behandlingen av personuppgifter mot obehörig åtkomst, förstörelse eller ändring ska Personuppgiftsbiträdet vidta sådana tekniska och organisatoriska säkerhetsåtgärder som anges i avsnitt 11, i syfte att upprätthålla en lämplig säkerhetsnivå. Personuppgiftsbiträdet åtar sig att i sin verksamhet vid var tid tillse att berörd personal följer Avtalet, de instruktioner som ges av Specialpedagogiska skolmyndigheten samt att de hålls informerade om innehållet i personuppgiftslagen. Det är ytterst Specialpedagogiska skolmyndigheten som bedömer vilka säkerhetsåtgärder som minst måste vidtas. 5.2 Personuppgiftsbiträdet ska omgående underrätta Specialpedagogiska skolmyndigheten vid upptäckt av fullbordade fall av eller försök till obehörig åtkomst, förstörelse eller ändring av personuppgifter. 5.3 Personuppgiftsbiträdet får inte behandla personuppgifter på något annat sätt, för andra ändamål eller enligt andra instruktioner än de som anges i avsnitt Fel! Hittar inte referenskälla.10 med iakttagande av de tekniska och organisatoriska säkerhetsåtgärder som stadgas i avsnitt 11. För det fall att Personuppgiftsbiträdet bedömer att det saknas instruktioner som är nödvändiga för att genomföra uppdraget enligt vad som sägs i detta Avtal ska Personuppgiftsbiträdet utan dröjsmål informera Specialpedagogiska skolmyndigheten om sin inställning, ange om fullgörandet av Avtalet kan påverkas av behovet av instruktioner samt invänta vidare instruktioner från Specialpedagogiska skolmyndigheten. 5.4 För det fall den registrerade, tillsynsmyndigheten eller annan tredje man begär information från Personuppgiftsbiträdet som rör behandling av personuppgifter, ska Personuppgiftsbiträdet hänvisa till Specialpedagogiska skolmyndigheten. Personuppgiftsbiträdet får inte lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från Specialpedagogiska skolmyndigheten, eller om utlämnandet är en följd av en laglig skyldighet. 5.5 Personuppgiftsbiträdet ska utan dröjsmål informera Specialpedagogiska skolmyndigheten om eventuella kontakter med tillsynsmyndigheten som rör, eller kan vara av betydelse för, Personuppgiftsbiträdets behandling av personuppgifter. Åtagandet är dock begränsat till sådan behandling av personuppgifter som berör, eller kan komma att beröra, Specialpedagogiska skolmyndigheten. Personuppgiftsbiträdet har inte rätt att företräda Specialpedagogiska skolmyndigheten eller agera för myndighetens räkning gentemot tillsynsmyndigheten. 5.6 Specialpedagogiska skolmyndigheten har rätt att själv eller genom en oberoende tredje man kontrollera att Personuppgiftsbiträdet följer vad som anges i Avtalet och av de instruktioner som utfärdats av Specialpedagogiska skolmyndigheten. Personuppgiftsbiträdet ska lämna Specialpedagogiska skolmyndigheten den assistans och tillhandahålla den dokumentation som erfordras för detta. 6 (11)

5.7 Uppgifter i tjänstens loggar får endast användas av Personuppgiftsbiträdet och tjänstleverantören för vad som krävs för upprätthållande av tjänstens funktionalitet och kvalitet. Specialpedagogiska skolmyndigheten har rätt att ta del av de uppgifter som registreras i loggarna. 5.8 Den registrerade har laglig rätt att begära registerutdrag eller kräva rättelse, blockering eller utplåning av de personuppgifter som omfattas av avtalet. Personuppgiftsbiträdet är skyldigt att bistå Specialpedagogiska skolmyndigheten i sådan omfattning att denna rätt kan säkerställas. 5.9 All behandling av personuppgifter sker med iakttagande av sekretess, innebärande att Personuppgiftsbiträdet, någon av dennes anställda eller underbiträden inte får lämna ut några uppgifter till tredje man utan att först ha inhämtat Specialpedagogiska skolmyndighetens samtycke. 6 Utläggning av behandlingar till underbiträden 6.1 Personuppgiftsbiträdet får endast lägga över sina skyldigheter enligt detta Avtal på ett underbiträde efter skriftligt medgivande från Specialpedagogiska skolmyndigheten. 6.2 Avtal varigenom Personuppgiftsbiträdet lägger över sina skyldigheter enligt detta Avtal på ett underbiträde ska vara skriftligt och ålägga underbiträdet samma skyldigheter som enligt Avtalet åligger Personuppgiftsbiträdet. 6.3 För det fall att behandlingar av personuppgifter kommer att utföras av underbiträde i tredje land, kan Specialpedagogiska skolmyndigheten ge Personuppgiftsbiträdet mandat att teckna personuppgiftsbiträdesavtal för Specialpedagogiska skolmyndighetens räkning med underbiträden i tredjeland, i enlighet med Kommissionens beslut (2010/87/EU) om standardavtalsklausuler för överföring av Personuppgifter till tredjeland. 6.4 Ett Personuppgiftsbiträdesavtal kan även tecknas mellan Specialpedagogiska skolmyndigheten och Personuppgiftsbiträdets Underbiträde i tredjeland, i enlighet med Kommissionens beslut (2010/87/EU) om standardavtalsklausuler för överföring av Personuppgifter till tredjeland. 6.5 Om underbiträdet inte uppfyller sina skyldigheter i fråga om behandling enligt ett underbiträdesavtal ska Personuppgiftsbiträdet förbli fullt ansvarig gentemot Specialpedagogiska skolmyndigheten för underbiträdets uppfyllande av sina skyldigheter enligt Avtalet. 6.6 För att Specialpedagogiska skolmyndigheten ska kunna uppfylla sina lagstadgade skyldigheter som personuppgiftsansvarig, måste alla underbiträden vara kända av och redovisade för Specialpedagogiska skolmyndigheten. Specialpedagogiska skolmyndigheten måste vidare ha kännedom om i vilket land som behandlingen äger rum. Specialpedagogiska skolmyndigheten har rätt att avsluta Avtalet om myndigheten inte godtar ett visst underbiträde eller en viss typ av behandling. 7 (11)

7 Skyldigheter efter Avtalets upphörande 7.1 Parterna är överens om att Personuppgiftsbiträdet och eventuella underbiträden efter behandlingens upphörande och beroende på vad Specialpedagogiska skolmyndigheten beslutar antingen ska återlämna alla överförda personuppgifter och kopior av dessa till Specialpedagogiska skolmyndigheten, eller förstöra alla personuppgifter och intyga för Specialpedagogiska skolmyndigheten att så skett. Om detta inte är tekniskt möjligt, ska Personuppgiftsbiträdet garantera att denne kommer att bevara sekretessen hos de överförda personuppgifterna och inte behandla de överförda personuppgifterna ytterligare, alternativt anonymisera dem på sätt som gör dem omöjliga att återskapa. 7.2 Personuppgiftsbiträdet och eventuella underbiträden garanterar att de på Specialpedagogiska skolmyndighetens eller tillsynsmyndighets begäran kommer att ställa tjänsten till förfogande för en granskning av de åtgärder som anges i 7.1. 8 Ändringar i Avtalet 8.1 Specialpedagogiska skolmyndigheten får ändra innehållet i Avtalet endast i den mån så erfordras för att tillgodose krav som följer av tillämplig lagstiftning eller för att möjliggöra sådana behandlingar som avses i 8.3. Ändring träder i kraft 30 dagar efter att meddelandet om ändring kommit Personuppgiftsbiträdet tillhanda. 8.2 Personuppgiftsbiträdet har ingen självständig rätt att påkalla ändringar av detta Avtal. 8.3 För det fall att tjänstens innehåll ändras på så sätt att nya funktioner tillkommer, vilka kan föranleda att nya typer av behandlingar av personuppgifter kan komma att utföras, ska Specialpedagogiska skolmyndigheten underrättas om förändringarna. 9 Giltighetstid 9.1 Detta Avtal gäller från undertecknandet av Avtalet och så länge som Personuppgiftsbiträdet behandlar Specialpedagogiska skolmyndighetens personuppgifter. Regler om uppsägning av Avtalet finns i avtalet mellan Personuppgiftsbiträdet och Specialpedagogiska skolmyndigheten som reglerar leverans av tjänsten. 10 Behandlingar som omfattas av Avtalet 10.1 Registrerade De personuppgifter som ska överföras rör följande kategorier av registrerade: Typ av personuppgifter som överförs De personuppgifter som överförs till, och behandlas i, journalsystemet är: 8 (11)

o Elevinformation Personnummer Namn Adress Telefonnummer Behov av tolk Modersmål Personuppgiftsskydd Skoltillhörighet Skolklasstillhörighet Journalinnehåll, inklusive planerade insatser, samtliga hälsouppgifter, läkemedel och vaccinationer samt tester Aktinnehåll o Informations om vårdnadshavare Relation till elev Personnummer Namn Adress Telefon- och mobilnummer Personuppgiftsskydd o Användarinformation (personal) Namn Skola, enhet Roll logghistorik Känsliga personuppgifter (i förekommande fall) Då alla myndighetens elever har någon form av funktionsnedsättning är all personinformation relaterat till elever att betrakta som uppgifter om hälsa, dvs känslig personinformation. Följande information är också känsliga personuppgifter: Hälsa, bl.a. diagnos mm. Sekretesskyddade uppgifter, bl.a. skyddade personuppgifter. Religiös tillhörighet (t.ex. slöja). Sexualliv (t.ex. abort) Behandling Leverantören får endast vidta de personuppgiftsbehandlingar som krävs för att utveckla, förvalta, felsöka, underhålla och administrera journalsystemet. Ändamålet med behandlingarna Behandlingen av personuppgifter sker hos personuppgiftsombudet i syfte att utveckla, förvalta, felsöka, underhålla och administrera journalsystemet. Särskilda instruktioner angående behandlingarna Leverantören får endast vidta de personuppgiftsbehandlingar som krävs för att utveckla, förvalta, felsöka, underhålla och administrera journalsystemet. 9 (11)

Loggning De personuppgiftsbehandlingar som ska loggas framgår i huvudavtalet, kapitel 2.3.8.6. Behandlingshistorik och loggning. Loggning ska ske oavsett om åtkomst av patientuppgifter och elevuppgifter skett av myndighetens eller leverantörens användare. 11 Tekniska och organisatoriska säkerhetsåtgärder I detta avsnitt redogörs för de Tekniska och organisatoriska säkerhetsåtgärder som Personuppgiftsbiträdet ska vidta i enlighet med avsnitt 5.1. Specialpedagogiska skolmyndigheten har rätt att kontrollera att åtgärderna verkligen vidtas under Avtalets fullgörande. 11.1 Fysisk säkerhet. Personuppgiftsbärande system ska skyddas mot elavbrott och andra störningar orsakade i tekniska försörjningsystem. Utrymmen där personuppgifter förvaras, så som serverhallar, ska skyddas genom lämpliga tillträdeskontroller för att säkerställa att endast behörig personal får tillträde. Det ska också finnas ett tillfredställande skydd mot stöld och händelser som kan förstöra IT-system och lagringsmedia. 11.2 Åtkomstskydd. När datorutrustning och löstagbara datamedier hos Personuppgiftsbiträdet som innehåller eller kan ge tillgång till personuppgifter som Personuppgiftsbiträdet behandlar för Specialpedagogiska skolmyndighetens räkning, inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska personuppgifterna krypteras. 11.3 Skydd mot skadlig kod. Personuppgiftsbärande system ska vara skyddade mot virus, trojaner och andra former av digitala intrång. 11.4 För det fall eventuella bärbara datorer används vid behandlingar ska personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade. 11.5 Säkerhetskopia. Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att personuppgifterna kan återskapas efter en störning. Personuppgiftsbiträdet ska ha en dokumenterad rutin för säkerhetskopiering och återläsning av säkerhetskopior, samt för test av återläsning. 11.6 Behörighetskontroll. Ett tekniskt system för behörighetskontroll ska styra åtkomsten till personuppgifterna för Personuppgiftsbiträdet. Behörigheten ska begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter. 11.7 Loggning. Åtkomst till personuppgifter ska kunna följas upp i efterhand genom loggar eller liknande underlag. Underlaget ska kunna kontrolleras av 10 (11)

Personuppgiftsbiträdet och återrapporteras till Specialpedagogiska skolmyndigheten. 11.8 Datakommunikation. Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. 11.9 För åtkomst till känsliga och integritetskänsliga personuppgifter krävs tvåfaktorsautentisering till tjänsten. 11.10 Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Personuppgiftsbiträdet ska skyddas med kryptering. 11.11 Utplåning. När fasta eller löstagbara lagringsmedier som innehåller personuppgifter inte längre ska användas för sitt ändamål ska personuppgifterna raderas på sådant sätt att de inte kan återskapas. 11.12 Reparation och service. När reparation och service av datorutrustning, vilken används för att lagra Specialpedagogiska skolmyndighetens personuppgifter, utförs av annan än Personuppgiftsbiträdet, ska kontrakt som reglerar säkerhet och sekretess träffas med serviceföretaget. 11.13 Vid servicebesök ska servicen ske under Personuppgiftsbiträdets överinseende. Är detta inte möjligt ska lagringsmedier som innehåller personuppgifter avlägsnas. 11.14 Service via fjärrstyrd datakommunikation får endast ske efter säker elektronisk identifiering av den som utför servicen. Servicepersonal ska ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår. 11.15 Specialpedagogiska skolmyndigheten har rätt att utföra kontroller av att avtalade säkerhetsåtgärder faktiskt vidtas. 11.16 Specialpedagogiska skolmyndigheten har rätt att utreda obehörig åtkomst hos Personuppgiftsbiträdet. Detta avtal har upprättats i två likalydande exemplar varav parterna tagit var sitt. Ort och datum. Ort och Datum. Namn. Specialpedagogiska skolmyndigheten Uppdragtagarens namn. 11 (11)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss