Til hovedinnhold

Databehandleravtale

mellom Brukeren av Snakk om forbedring, heretter kalt "Behandlingsansvarlig" og Helsedirektoratet, heretter kalt "Databehandler" Om Databehandlers (Helsedirektoratets) behandling av personopplysninger på vegne av Behandlingsansvarlig

Bakgrunn og formål

Behandlingsansvarlig ønsker å ta i bruk Snakk om forbedring ("Tjenesten") som leveres av Databehandler. I forbindelse med Tjenesten vil Databehandler kunne behandle Personopplysninger i henhold til Lov om behandling av personopplysninger av 15.juni 2018 nr. 38 som iverksetter Europaparlaments- og rådsforordning (EU) 2016/679 av 27.april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (General Data Protection Regulation) (heretter omtalt som "personvernforordningen"). Denne avtalen regulerer slik behandling av Personopplysninger på vegne av Behandlingsansvarlig som ledd i bruken av Tjenesten. Tjenesten er et gratis verktøy som gir ledere og medarbeidere en felles forståelse og et bilde av pasientsikkerheten på arbeidsplassen. Gjennom dialog og systematisk tilnærming vurderes ti områder. Samtidig trer de viktigste forbedringsområdene fram slik at dere kan lage en god plan for kvalitetsarbeidet. Verktøyet gir eierskap og retning til pasientsikkerhet og forbedringsarbeid samt at det bidrar til kontinuerlig læring til beste for pasienter, brukere og pårørende. Snakk om forbedring er utviklet og eies av Helsedirektoratet. Verktøyet er gratis og tilgjengelig for alle, og virksomheter kan registrere flere team. Ingen sensitive data blir registrert eller lagret i løsningen. Formålet med Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig er å kunne identifisere hvem som har godkjent databehandleravtalen på vegne av virksomheten. Personopplysninger som behandles vil være Behandlingsansvarlige sitt egenopplyste navn, organisasjonstilhørighet og en ID som hver bruker får ved pålogging gjennom ID-porten. Når brukeren logger seg inn gjennom autentiseringsleverandøren (ID-porten), får Databehandler (Helsedirektoratet) oversendt personnummer og en unik kode for brukeren fra ID-porten. Kun den unike koden vil bli lagret. Denne databehandleravtalen ("Databehandleravtalen") oppfyller kravet om databehandleravtale etter personopplysningsloven. Databehandleravtalen angir Databehandlers håndtering av Personopplysninger som behandles på vegne av Behandlingsansvarlig, og angir Databehandlers ansvar for informasjonssikkerhet etter personopplysningsloven.

Definisjoner

I denne databehandleravtalen skal begrepene nedenfor ha den betydning som til enhver tid følger av personvernforordningen artikkel 4: 1) «personopplysninger» er enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet, 2)«behandling» er enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, 3) «begrensning av behandling» er merking av lagrede personopplysninger med det som mål å begrense behandlingen av disse i framtiden, 4) «profilering» er enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser», 5) «pseudonymisering» behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person, 6) «register» er enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag, 7) «behandlingsansvarlig» er en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett, 8) «databehandler» er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige.

Beskrivelse av behandlingen

Denne Databehandleravtalen gjelder all behandling av Personopplysninger som Databehandler utfører på vegne av den Behandlingsansvarlige i forbindelse med Tjenesten. Databehandleren kan bare behandle de kategorier av Personopplysninger som er forutsatt i Tjenesten og i den grad det er nødvendig for å levere og administrere Tjenesten. Helsedirektoratet behandler følgende personopplysninger i løsningen: • Informasjon som brukeren eventuelt legger inn i fritekstfelt. Det er lagt inn veiledningstekst i løsningen som oppfordrer bruker til å ikke legge inn personopplysninger i løsningen. • Bruker-ID og personnummer som Helsedirektoratet mottar fra ID-porten (generert av ID-leverandør). Helsedirektoratet lagrer ikke personnummeret. • Navn og organisasjonstilhørighet som bruker legger inn i forbindelse med godkjenning av databehandleravtalen. Helsedirektoratet lagrer kun dette for å kunne identifisere hvem som har godkjent avtalen på vegne av virksomheten. Disse dataene vil ligge i en lukket database der kun Helsedirektoratets autoriserte medarbeidere har tilgang og som logges for tidspunkt og navn på den som har åpnet databasen.

Databehandlers plikter

Etterleverelse av krav i lov og forskrift

I avtaleperioden skal Databehandler overholde alle relevante bestemmelser i personvernforordningen. Databehandler skal ikke ved handling eller unnlatelse sette den Behandlingsansvarlige i en situasjon der Behandlingsansvarlig misligholder en eller flere bestemmelser i personvernforordningen. Databehandler skal samarbeide med og yte bistand til den Behandlingsansvarlige for å sikre at Behandlingsansvarlig overholder sine forpliktelser i henhold til personopplysningsregelverket. Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles på vegne av Behandlingsansvarlig og systemene som benyttes til dette formål. Databehandleren skal på forespørsel bistå Behandlingsansvarlig så langt det er mulig med oppfyllelse av de registrertes rettigheter etter personvernforordningen kapittel III gjennom egnede tekniske eller organisatoriske tiltak. Registrertes rettigheter til innsyn, endring og retting av informasjon er nærmere omtalt i personvernerklæringen. Databehandler skal overholde de til enhver tid gjeldende instrukser og rutiner for behandling av Personopplysninger som Behandlingsansvarlig har vedtatt.

Begrensninger som gjelder bruk

Databehandler skal ikke behandle Personopplysninger utover det som kreves for å levere og administrere Tjenesten til Behandlingsansvarlig i henhold til vilkår for bruk av Tjenesten. Databehandler skal påse at Personopplysninger ikke gis til utenforstående med mindre Behandlingsansvarlig har pålagt slik utlevering eller Databehandler er forpliktet til dette i samsvar med lov. Databehandler skal ikke ha rettigheter til eller eierskap over Personopplysninger som Databehandler får tilgang til som ledd i leveranse av Tjenesten. Dersom bruker ikke er aktiv på 24 måneder, så slettes alt som er registrert på bruker.

Informasjonssikkerhet

Databehandler skal ved hjelp av planlagte, systematiske organisasjonsmessige og tekniske tiltak sikre tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet i forbindelse med behandling av Personopplysninger i henhold til Personvernforordningen artikkel 28 pkt.1., samt Personvernforordningen artikkel 32 pkt. 1. til 4.

Dokumentasjon av sikkerhetstiltak

For å oppnå tilfredsstillende informasjonssikkerhet skal Databehandler, på forespørsel fra den Behandlingsansvarlige, fremlegge dokumentasjon for datasystemer og sikkerhetstiltak. Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres.

Avvik

Enhver bruk av informasjonssystemet som er i strid med Databehandlers fastlagte rutiner, den Behandlingsansvarliges instrukser eller Personvernforordningen, samt ethvert sikkerhetsbrudd, skal behandles som et avvik. Databehandler skal ha på plass rutiner og systematiske tiltak for oppfølging av avvik, herunder tiltak for gjenoppretting av normal tilstand, fjerning av årsaken til avviket og hindre gjentakelse. Rapporten skal omfatte informasjon om hvilke tiltak Databehandler har gjort for å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentakelse. Databehandler skal også gi Behandlingsansvarlig alle nødvendige opplysninger for å kunne besvare spørsmål fra datatilsynsmyndigheter og etterleve eventuelle krav om varsling til Datatilsynet og berørte registrerte.

Sikkerhetsrevisjon

Databehandler er innforstått med at den Behandlingsansvarlige regelmessig og minst en gang årlig kan gjennomføre sikkerhetsrevisjoner av informasjonssystemet og tilhørende fasiliteter som benyttes av Databehandler for behandling av Personopplysninger på vegne den Behandlingsansvarlige.

Bruk av underleverandører

Databehandler benytter Norsk Helsenett som underleverandør. Norsk Helsenett benytter igjen Microsoft som underleverandør. Databehandler er ansvarlig for arbeid som utføres av underleverandør, og skal påse at underleverandøren påtar seg ansvar i samsvar med forpliktelsene som angitt i denne Databehandleravtalen. Ved ønske om endring i underleverandør skal den dataansvarlige underrettes i god tid, slik at det gis mulighet til å motsette seg endringen.

Overføring til utlandet

Bruk av underleverandører som overfører personopplysninger til land utenfor EU/EØS (tredjeland) skal avtales skriftlig med Dataansvarlig på forhånd. Ved overføring av personopplysninger til land utenfor EU/EØS (tredjeland) skal Databehandler benytte godkjente EU-overføringsmekanismer. Dataene i Snakk om forbedring behandles på servere i Norge og lagres i database i skyløsning i Norge fra Microsoft. Ved behov for tilgang til personopplysninger ved support fra Microsoftpersonell fra andre land, vil en overføring av opplysninger kun skje der det er strengt nødvendig og etter inngått Standard Contractual Clauses. Databehandler vil ikke overføre direkte identifiserbare personopplysninger utenfor EØS-området ved slik eventuelt behov for support.

Konfidensialitet

Databehandleren påtar seg å ivareta taushet om enhver opplysning som behandles på vegne av den Behandlingsansvarlige i henhold til vilkår for bruk av Tjenesten eller denne databehandleravtalen. Taushetsplikten omfatter også annen informasjon av betydning for informasjonssikkerheten. Taushetsplikten skal også gjelde etter utløpet av denne Databehandleravtalen. Databehandler skal påse at godkjente underleverandører som behandler Personopplysninger på vegne av den Behandlingsansvarlige i henhold til pkt. 4.8 er kjent med denne Databehandleravtalen og sørge for at de er underlagt vilkårene i denne, herunder kravene til konfidensialitet. Snakk om forbedring har tilgangsstyring slik at bare autorisert personell hos Databehandler har tilgang.

Varighet og opphør av Databehandleravtalen

Denne Databehandleravtalen gjelder fra den dato begge parter har signert Databehandleravtalen og frem til 24 måneder etter at Behandlingsansvarlig slutter å bruke Tjenesten, bortsett fra eventuelle vilkår som i henhold til denne Databehandleravtalen eller vilkår for bruk av Tjenesten skal fortsette å ha virkning etter opphør. Databehandler vil da slette opplysningene som behandles på vegne av den Behandlingsansvarlige. Databehandleren har ingen rett til å beholde kopier av opplysninger i noe som helst format. Ved brudd på Databehandleravtalen og/eller gjeldende personvernregler, kan Behandlingsansvarlig og aktuelle tilsynsmyndigheter pålegge Databehandler å stoppe hele eller deler av behandlingen av opplysningene med øyeblikkelig virkning.

Lovvalg og tvisteløsning

Partenes rettigheter og plikter etter denne Databehandleravtalen bestemmes i sin helhet etter norsk rett. Oslo tingrett vedtas som eksklusivt verneting. Partene kan som alternativ til domstolsbehandling avtale at tvisten avgjøres med endelig virkning ved voldgift.