Personuppgiftsbiträde
DATUM
SIDA
1 (7)
DIARIENUMMER
SN-2014/2246
PERSONUPPGIFTSBITRÄDE
I och med att leverantören undertecknar avtal om att utföra daglig
verksamhet på uppdrag av Huddinge kommun omfattas leverantören av det
som sägs i denna bilaga.
Personuppgiftslagen (1998:204) ställer krav på skriftligt avtal när
personuppgiftsbiträden ska behandla personuppgifter för en
personuppgiftsansvarigs räkning. Personuppgiftsbiträdet ska för Huddinge
kommuns räkning utföra tjänster beslutade enligt Socialtjänstlagen (SFS
2001:453) eller Lagen om stöd och service till vissa funktionshindrade
(1993:387) eller båda dessa lagar och kommer som en del av detta uppdrag
att för Huddinge kommuns räkning behandla personuppgifter.
Skyddet för behandlade individers personliga integritet är av stor etisk
betydelse för Huddinge kommun och syftet med detta avtal är att tillse att
Personuppgiftsbiträdet behandlar personuppgifterna i enlighet med Huddinge
kommuns anvisningar och i enlighet med tillämplig lag, föreskrifter och
branschnormer.
I avtalet finns föreskrifter om att Personuppgiftsbiträdet får behandla
Personuppgifterna bara i enlighet med instruktioner från den
Personuppgiftsansvarige och att Personuppgiftsbiträdet är skyldigt att vidta
lämpliga Tekniska och organisatoriska åtgärder för att skydda de
Personuppgifter som behandlas. Åtgärderna ska åstadkomma en
säkerhetsnivå som är lämplig med beaktande av:
• de tekniska möjligheter som finns,
• vad det skulle kosta att genomföra åtgärderna,
• de särskilda risker som finns med Behandlingen av Personuppgifterna, och
• hur pass känsliga de behandlade Personuppgifterna är.
Kompletterande föreskrifter beträffande Behandling av Personuppgifter
ges i personuppgiftsförordningen (1998:1191).
POSTADRESS
BESÖKSADRESS
TELEFON (VX) OCH FAX
E-POST OCH WEBB
Kommunstyrelsens förvaltning
Upphandlingsenheten
Kommunalvägen 28
Huddinge
08 535 300 00
08 535 302 90
upphandlingsavdelningen@huddin
ge.se
www.huddinge.se
141 85 Huddinge
UPPHANDLINGSENHETEN
Personuppgiftsbiträdesavtal
DATUM
DIARIENUMMER
SN-2014/2246
1 Definitioner
1.1 Med ”avtalet” avses detta personuppgiftsbiträdesavtal.
1.2 Med "personuppgifter" avses nedan all slags information som direkt eller
indirekt kan hänföras till en fysisk person som är i livet och som behandlas
för Huddinge kommuns räkning.
1.3 Med ”registrerad” avses nedan den som en personuppgift avser.
1.4 Med ”behandling” avses nedan varje åtgärd eller serie av åtgärder som
vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller
inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller
ändring, återvinning, inhämtande, användning, utlämnande genom
översändande, spridning eller annat tillhandahållande av uppgifter,
sammanställning eller samkörning, blockering, utplåning eller förstöring.
1.5 Med ”integritetskänsliga personuppgifter” avses personuppgifter som
exempelvis omfattas av sekretess, rör en registrerads personliga sfär eller
som på annat sätt värderar den registrerades sociala, ekonomiska eller
liknande förhållanden.
1.6 Med ”känsliga personuppgifter” avses personuppgifter som avslöjar ras
eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse,
medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.
1.7 Med ”personuppgiftsansvarig” avses den som ensam eller tillsammans
med andra bestämmer ändamålen med och medlen för Behandlingen
av Personuppgifter.
1.8 Med ”personuppgiftsbiträde” avses den som i samband med
avtalstecknande går med på att från Personuppgiftsansvarig ta emot
Personuppgifter för vidare Behandling i enlighet med
Personuppgiftsansvarigs instruktioner och villkoren i avtalet.
SIDA
2 (10)
UPPHANDLINGSENHETEN
Personuppgiftsbiträdesavtal
DATUM
DIARIENUMMER
SN-2014/2246
1.9 Med ”tillsynsmyndighet” avses den myndighet som regeringen utser för
att utöva tillsyn. Enligt 2 § personuppgiftsförordningen (1998:1191) är
Datainspektionen Tillsynsmyndighet.
1.10 Med ”tillämplig uppgiftsskyddslagstiftning” avses Personuppgiftslagen
(1998:204) eller annan registerförfattning som omfattar den
Personuppgiftsansvariges verksamhet.
1.11 Med ”tekniska och organisatoriska säkerhetsåtgärder” avses åtgärder
avsedda att skydda Personuppgifter mot oavsiktlig eller olaglig utplåning,
oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten åtkomst, i
synnerhet när Behandlingen inbegriper överföring av uppgifter över ett nät,
och mot varje annan form av olaglig Behandling.
1.12 Med ”underbiträde” avses underleverantör som anlitats av
Personuppgiftsbiträdet eller av en annan av Personuppgiftsbiträdets
Underbiträden och som går med på att från Personuppgiftsbiträdet eller en
annan av Personuppgiftsbiträdets Underbiträden ta emot Personuppgifter i
den enda avsikten att efter överföringen behandla Personuppgifter för
Personuppgiftsansvarigs räkning i enlighet med Personuppgiftsansvarigs
instruktioner, villkoren i Avtalet samt villkoren i ett skriftligt
underbiträdesavtal.
2 Personuppgiftsbiträdets åtaganden
2.1 Personuppgiftsbiträdet intygar att dennes verksamhet bedrivs på sätt
som säkerställer att personuppgiftslagens bestämmelser och krav avseende
adekvat skydd för personuppgiftsbehandlingar efterlevs.
2.2 Personuppgiftsbiträdet och den eller de personer som arbetar under
dennes ledning får bara behandla personuppgifter i enlighet med de
instruktioner som anges i avsnittet ”Tekniska och organisatoriska
säkerhetsåtgärder” eller som från tid till annan lämnas av Huddinge kommun.
Om Personuppgiftsbiträdet saknar instruktioner som han bedömer är
nödvändiga för att genomföra uppdrag han erhållit från Huddinge kommun
ska Personuppgiftsbiträdet, utan dröjsmål, informera Huddinge kommun om
sin inställning och invänta de instruktioner som Huddinge kommun bedömer
erfordras.
SIDA
3 (10)
UPPHANDLINGSENHETEN
Personuppgiftsbiträdesavtal
DATUM
DIARIENUMMER
SN-2014/2246
2.3 För det fall att Registrerad, Tillsynsmyndighet eller annan tredje man
begär information från Personuppgiftsbiträdet som rör behandling av
personuppgifter ska Personuppgiftsbiträdet hänvisa till Huddinge kommun.
Av punkten 2.2 ovan och punkten 3.1 nedan följer bland annat att
Personuppgiftsbiträdet inte får lämna ut personuppgifter eller annan
information om behandlingen av personuppgifter utan uttrycklig instruktion
från Huddinge kommun.
2.4 Den Registrerade har laglig rätt att begära registerutdrag eller kräva
rättelse, blockering eller utplåning av de Personuppgifter som omfattas av
Avtalet. Personuppgiftsbiträdet är skyldigt att bistå den
Personuppgiftsansvarige i sådan omfattning att denna rätt kan säkerställas.
2.5 Personuppgiftsbiträdet ska utan dröjsmål informera Huddinge kommun
om eventuella kontakter från Tillsynsmyndighet som rör eller kan vara av
betydelse för behandling av personuppgifter. Personuppgiftsbiträdet har inte
rätt att företräda Huddinge kommun eller agera för Huddinge kommuns
räkning gentemot Tillsynsmyndighet.
2.6 Punkten 2.2 ovan innebär att Personuppgiftsbiträdet endast får samla in
personuppgifter i enlighet med instruktioner utfärdade av Huddinge kommun.
Personuppgiftsbiträdet ska om inte annat skriftligen angivits av Huddinge
kommun vid sådant insamlande särskilt se till att erforderliga samtycken
inhämtas av registrerade och att de erhåller information i enlighet med
personuppgiftslagens krav. Personuppgiftsbiträdet ska på begäran från
Huddinge kommun utan dröjsmål överlämna såväl inhämtade samtycken
som de uppgifter Huddinge kommun behöver för att kunna visa att de
registrerade informerats.
2.7 Personuppgiftsbiträdet ska vidta de tekniska och organisatoriska
åtgärder som erfordras enligt personuppgiftslagen för att skydda de
personuppgifter som behandlas mot obehörig åtkomst, förstörelse eller
ändring. Personuppgiftsbiträdet ska därvid särskilt iaktta Datainspektionens
allmänna råd ”Säkerhet för personuppgifter” eller andra föreskrifter som
ersätter de förutnämnda.
2.8 Personuppgiftsbiträdet ska omgående underrätta Huddinge kommun vid
upptäckt av fullbordade fall av eller försökt till obehörig åtkomst, förstörelse
eller ändring av personuppgifter.
SIDA
4 (10)
UPPHANDLINGSENHETEN
Personuppgiftsbiträdesavtal
DATUM
DIARIENUMMER
SN-2014/2246
2.9 Huddinge kommun har rätt att utreda obehörig åtkomst hos
Personuppgiftsbiträdet.
2.10 Huddinge kommun äger sin information/data oinskränkt. Det omfattar all
information/data som exporteras och laddas upp hos
personuppgiftsbiträdeten samt resultatet av personuppgiftsbiträdetens
behandling av informationen/data. Huddinge kommuns information omfattas
av metadata och loggar.
2.11 Tillgång till och utlämnande av ingående information/data beslutas av
Huddinge kommun. Informationen/data får inte användas av
personuppgiftsbiträdet för andra ändamål än vad som avtalats.
Personuppgiftsbiträdet ska tillse att all berörd information/data vid avslutande
av hela/delar av avtalsrelationen, eller när avtalat uppdrag har avslutats,
återbördas till Huddinge kommun i ett för kommunen läsbart och användbart
format vid den tidpunkt det blir aktuellt.
2.12 Återmigrering av information ska ske på av Huddinge kommun angivet
medium enligt Riksarkivets bestämmelser om fastställda format.
Leverantören ska säkerställa att detta kan ske och bistå Huddinge kommun
eller av kommunen anvisad part med detta.
2.13 Information/data som inte återgår till Huddinge kommun ska förstöras
eller anonymiseras så att det inte är möjligt att återskapa dem.
Personuppgiftsbiträdet ska se till att det inte finns några personuppgifter kvar
hos Personuppgiftsbiträdet, eller i förekommande fall hos underleverantör,
vid avslutandet av tjänst eller avtalsrelation. Huddinge kommun eller av
Huddinge kommun anvisad part ska ha rätt att granska att erforderliga
åtgärder har vidtagits i samband med detta.
2.14 Informationen/data från Huddinge kommun ska gå att verifiera via
hashsumma vid alla behandlingar som personuppgiftsbiträdet utför och
spårbarhet ska också finnas via loggar för leverantörens behandling.
Motsvarande ska gälla om personuppgiftsbiträdet använder sig av
underleverantörer. Huddinge kommun har rätt att ta del av de uppgifter som
registreras i loggen.
2.15 Personuppgiftsbiträdet ska ha de immateriella rättigheter för tjänsten
som krävs och tillse att den inte utgör intrång i tredje mans rätt.
SIDA
5 (10)
UPPHANDLINGSENHETEN
Personuppgiftsbiträdesavtal
DATUM
DIARIENUMMER
SN-2014/2246
2.16 Huddinge kommun eller av Huddinge kommun anvisad part har rätt att
följa upp att Personuppgiftsbiträdet, eller i förekommande fall
underleverantörer, lever upp till Huddinge kommuns krav på Behandlingen
och verkligen vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder.
Personuppgiftsbiträdet ska lämna Huddinge kommun den assistans som
behövs.
2.17 Personuppgiftsbiträdet ska vid användande av underleverantörer tillse
att detta förhållande regleras och att underleverantörer blir bunden av detta
avtal och de angivna kraven. Personuppgiftsbiträdet är ansvarig för
underleverantörers arbete såsom för eget arbete.
2.18 Underleverantörer samt i vilket land Behandlingen sker ska vid var tid
vara kända av Personuppgiftsbiträdet och vid anmodan från Huddinge
kommun redovisas. Personuppgiftsbiträdet ska assistera Huddinge kommun
eller av Huddinge kommun anvisad extern part vid kontroll och revision av
behandling och bearbetning av Huddinge kommuns information/data.
2.19 För det fall att Behandlingar av Personuppgifter kommer att utföras av
Underbiträde i tredje land, kan Parterna välja mellan följande:
a) Huddinge kommun ger Personuppgiftsbiträdet mandat att teckna
Personuppgiftsbiträdesavtal för Huddinge kommuns räkning med
Underbiträden i tredjeland, i enlighet med Kommissionens beslut
(2010/87/EU) om standardavtalsklausuler för överföring av Personuppgifter
till tredjeland.
b) Ett Personuppgiftsbiträdesavtal tecknas mellan Huddinge kommun och
Personuppgiftsbiträdets Underbiträde i tredjeland, i enlighet med
Kommissionens beslut (2010/87/EU) om standardavtalsklausuler för
överföring av Personuppgifter till tredjeland.
2.20 Huddinge kommun har rätt att avsluta avtalet om denne inte godtar ett
visst underbiträde eller en viss typ av Behandling.
3 Sekretess
3.1 Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller
annars röja information om behandling av personuppgifter som omfattas av
detta avtal eller annan information som Personuppgiftsbiträdet erhållit till följd
SIDA
6 (10)
UPPHANDLINGSENHETEN
Personuppgiftsbiträdesavtal
DATUM
DIARIENUMMER
SN-2014/2246
av detta avtal. Personuppgiftsbiträdet åtar sig vidare att inte utnyttja
personuppgifterna för egna ändamål.
3.2 Åtagandet i punkten 3.1 första meningen gäller inte
a) information som part kan visa var allmänt känd vid tidpunkt för
mottagandet, eller
b) information som part föreläggs utge till myndighet. Sekretessåtagandet
gäller även efter att detta avtal i övrigt upphört att gälla.
4 Ersättning
4.1 Personuppgiftsbiträde har inte rätt till särskild ersättning för behandling
av personuppgifter under detta avtal.
5 Ansvar gentemot tredje man
5.1 För den händelse registrerad, eller annan tredje man riktar krav mot
Huddinge kommun på grund av Personuppgiftsbiträdets eller dess
underleverantörs behandling av personuppgifter ska Personuppgiftsbiträdet
hålla Huddinge kommun skadeslös för sådana krav som följer av att
Personuppgiftsbiträdet inte efterföljt detta avtal eller angivna anvisningar.
6 Avtalstid
6.1 Avtalet gäller från dess undertecknande och så länge som
Personuppgiftsbiträdet behandlar personuppgifter för Huddinge kommuns
räkning.
7 Ändringar i avtalet
7.1 Huddinge kommun får i den mån så erfordras ändra innehållet i detta
avtal för att krav som följer av personuppgiftslagen eller annan tillämplig
uppgiftsskyddslagstiftning ska kunna tillgodoses. Sådan ändring av avtalet
träder ikraft senast trettio (30) dagar efter att Huddinge kommun översänt
ändringsmeddelande till Personuppgiftsbiträdet. För det fall
Personuppgiftsbiträdet inte accepterar sådan ändring äger Huddinge
kommun rätt att omedelbart skriftligen säga upp samtliga avtal med
SIDA
7 (10)
UPPHANDLINGSENHETEN
Personuppgiftsbiträdesavtal
DATUM
DIARIENUMMER
SN-2014/2246
Personuppgiftsbiträdet, vilket innebär att Personuppgiftsbiträdet inte längre
har rätt att behandla personuppgifter för Huddinge kommuns räkning. Övriga
ändringar och tillägg till avtalet ska för att vara bindande upprättas skriftligen
och vara behörigen undertecknade av parterna.
7.2 Personuppgiftsbiträdet har ingen självständig rätt att påkalla ändringar av
detta avtal.
7.3 För det fall att tjänstens innehåll ändras på så sätt att nya funktioner
tillkommer, vilka kan föranleda att nya typer av Behandlingar av
personuppgifter kan komma att utföras, ska Huddinge kommun underrättas
om förändringarna.
8 Behandlingar omfattade av avtalet
8.1 Behandling av personuppgifter
Personuppgiftsbiträdet ska på Huddinge kommuns uppdrag behandla
sådana personuppgifter som krävs för att dokumentera insatser i enlighet
med socialtjänstlagen och lagen om stöd och service till vissa
funktionshindrade. Behandlingen omfattar känsliga personuppgifter.
9 Tekniska och organisatoriska säkerhetsåtgärder
9.1 Detta avsnitt utgör instruktioner till Personuppgiftsbiträdet, och ska fyllas i
av parterna. Observera att villkoren nedan kan bli föremål för ändringar
utifrån vad som framkommer i den Personuppgiftsansvariges
laglighetsprövning och den risk- och sårbarhetsanalys som den
Personuppgiftsansvarige gör.
9.2 I detta avsnitt redogörs för de Tekniska och organisatoriska
säkerhetsåtgärder som Personuppgiftsbiträdet vidtagit i enlighet med avsnitt
2.7. Den Personuppgiftsansvarige har rätt att kontrollera att åtgärderna
verkligen vidtas under Avtalets fullgörande.
9.3 Åtkomstskydd. När datorutrustning och löstagbara datamedier hos
Personuppgiftsbiträdet inte står under uppsikt ska utrustningen och medierna
låsas in för att skyddas mot obehörig användning, påverkan och stöld. I
annat fall ska Personuppgifterna krypteras.
SIDA
8 (10)
UPPHANDLINGSENHETEN
Personuppgiftsbiträdesavtal
DATUM
DIARIENUMMER
SN-2014/2246
9.4 För det fall eventuella bärbara datorer används vid Behandlingar ska
Personuppgifterna på fasta och löstagbara lagringsmedier alltid vara
krypterade.
9.5 Säkerhetskopia. Personuppgifterna ska regelbundet överföras till
säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att
Personuppgifterna kan återskapas efter en störning. Personuppgiftsbiträdet
ska ha en rutin för test av återläsning.
9.6 Behörighetskontroll. Ett tekniskt system för behörighetskontroll ska styra
åtkomsten till Personuppgifterna för Personuppgiftsbiträdet. Behörigheten
ska begränsas till dem som behöver uppgifterna för sitt arbete.
Användaridentitet och lösenord ska vara personliga och får inte överlåtas på
någon
annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter.
9.7 Loggning. Åtkomst till Personuppgifter ska kunna följas upp i efterhand
genom en logg eller liknande underlag.
9.8 Datakommunikation. Anslutning för extern datakommunikation ska
skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är
behörig.
9.9 För åtkomst till Känsliga och Integritetskänsliga personuppgifter krävs
tvåfaktorsautentisering.
9.10 Personuppgifter som överförs via datorkommunikation utanför lokaler
som kontrolleras av Personuppgiftsbiträdet ska skyddas med kryptering.
9.11 Utplåning. När fasta eller löstagbara lagringsmedier som innehåller
Personuppgifter inte längre ska användas för sitt ändamål ska
Personuppgifterna raderas på sådant sätt att de inte kan återskapas.
9.12 Reparation och service. När reparation och service av datorutrustning,
vilken används för att lagra Huddinge kommuns Personuppgifter, utförs av
annan än Personuppgiftsbiträdet, ska avtal som reglerar säkerhet och
sekretess träffas med serviceföretaget.
SIDA
9 (10)
UPPHANDLINGSENHETEN
Personuppgiftsbiträdesavtal
DATUM
DIARIENUMMER
SN-2014/2246
9.13 Vid servicebesök ska servicen ske under Personuppgiftsbiträdets
överinseende. Är detta inte möjligt ska lagringsmedier som innehåller
Personuppgifter avlägsnas.
9.14 Service via fjärrstyrd datakommunikation får endast ske efter säker
elektronisk identifiering av den som utför servicen. Servicepersonal ska ges
åtkomst i systemet endast vid servicetillfället. Finns separat
kommunikationsingång för service ska den vara stängd när service inte
pågår.
9.15 Den Personuppgiftsansvarige har rätt att utföra kontroller av att
avtalade säkerhetsåtgärder faktiskt vidtas.
Detta avtal har upprättats i två exemplar, varav parterna har tagit var sitt.
(Ort datum)
(Ort datum)
HUDDINGE KOMMUN
_____________________________ ___________________________
(Underskrift)
(Underskrift)
(Namnförtydligande)
(Namnförtydligande)
SIDA
10 (10)