Personuppgiftsbiträde DATUM SIDA 1 (7) DIARIENUMMER SN-2014/2246 PERSONUPPGIFTSBITRÄDE I och med att leverantören undertecknar avtal om att utföra daglig verksamhet på uppdrag av Huddinge kommun omfattas leverantören av det som sägs i denna bilaga. Personuppgiftslagen (1998:204) ställer krav på skriftligt avtal när personuppgiftsbiträden ska behandla personuppgifter för en personuppgiftsansvarigs räkning. Personuppgiftsbiträdet ska för Huddinge kommuns räkning utföra tjänster beslutade enligt Socialtjänstlagen (SFS 2001:453) eller Lagen om stöd och service till vissa funktionshindrade (1993:387) eller båda dessa lagar och kommer som en del av detta uppdrag att för Huddinge kommuns räkning behandla personuppgifter. Skyddet för behandlade individers personliga integritet är av stor etisk betydelse för Huddinge kommun och syftet med detta avtal är att tillse att Personuppgiftsbiträdet behandlar personuppgifterna i enlighet med Huddinge kommuns anvisningar och i enlighet med tillämplig lag, föreskrifter och branschnormer. I avtalet finns föreskrifter om att Personuppgiftsbiträdet får behandla Personuppgifterna bara i enlighet med instruktioner från den Personuppgiftsansvarige och att Personuppgiftsbiträdet är skyldigt att vidta lämpliga Tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av: • de tekniska möjligheter som finns, • vad det skulle kosta att genomföra åtgärderna, • de särskilda risker som finns med Behandlingen av Personuppgifterna, och • hur pass känsliga de behandlade Personuppgifterna är. Kompletterande föreskrifter beträffande Behandling av Personuppgifter ges i personuppgiftsförordningen (1998:1191). POSTADRESS BESÖKSADRESS TELEFON (VX) OCH FAX E-POST OCH WEBB Kommunstyrelsens förvaltning Upphandlingsenheten Kommunalvägen 28 Huddinge 08 535 300 00 08 535 302 90 upphandlingsavdelningen@huddin ge.se www.huddinge.se 141 85 Huddinge UPPHANDLINGSENHETEN Personuppgiftsbiträdesavtal DATUM DIARIENUMMER SN-2014/2246 1 Definitioner 1.1 Med ”avtalet” avses detta personuppgiftsbiträdesavtal. 1.2 Med "personuppgifter" avses nedan all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet och som behandlas för Huddinge kommuns räkning. 1.3 Med ”registrerad” avses nedan den som en personuppgift avser. 1.4 Med ”behandling” avses nedan varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. 1.5 Med ”integritetskänsliga personuppgifter” avses personuppgifter som exempelvis omfattas av sekretess, rör en registrerads personliga sfär eller som på annat sätt värderar den registrerades sociala, ekonomiska eller liknande förhållanden. 1.6 Med ”känsliga personuppgifter” avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. 1.7 Med ”personuppgiftsansvarig” avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för Behandlingen av Personuppgifter. 1.8 Med ”personuppgiftsbiträde” avses den som i samband med avtalstecknande går med på att från Personuppgiftsansvarig ta emot Personuppgifter för vidare Behandling i enlighet med Personuppgiftsansvarigs instruktioner och villkoren i avtalet. SIDA 2 (10) UPPHANDLINGSENHETEN Personuppgiftsbiträdesavtal DATUM DIARIENUMMER SN-2014/2246 1.9 Med ”tillsynsmyndighet” avses den myndighet som regeringen utser för att utöva tillsyn. Enligt 2 § personuppgiftsförordningen (1998:1191) är Datainspektionen Tillsynsmyndighet. 1.10 Med ”tillämplig uppgiftsskyddslagstiftning” avses Personuppgiftslagen (1998:204) eller annan registerförfattning som omfattar den Personuppgiftsansvariges verksamhet. 1.11 Med ”tekniska och organisatoriska säkerhetsåtgärder” avses åtgärder avsedda att skydda Personuppgifter mot oavsiktlig eller olaglig utplåning, oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten åtkomst, i synnerhet när Behandlingen inbegriper överföring av uppgifter över ett nät, och mot varje annan form av olaglig Behandling. 1.12 Med ”underbiträde” avses underleverantör som anlitats av Personuppgiftsbiträdet eller av en annan av Personuppgiftsbiträdets Underbiträden och som går med på att från Personuppgiftsbiträdet eller en annan av Personuppgiftsbiträdets Underbiträden ta emot Personuppgifter i den enda avsikten att efter överföringen behandla Personuppgifter för Personuppgiftsansvarigs räkning i enlighet med Personuppgiftsansvarigs instruktioner, villkoren i Avtalet samt villkoren i ett skriftligt underbiträdesavtal. 2 Personuppgiftsbiträdets åtaganden 2.1 Personuppgiftsbiträdet intygar att dennes verksamhet bedrivs på sätt som säkerställer att personuppgiftslagens bestämmelser och krav avseende adekvat skydd för personuppgiftsbehandlingar efterlevs. 2.2 Personuppgiftsbiträdet och den eller de personer som arbetar under dennes ledning får bara behandla personuppgifter i enlighet med de instruktioner som anges i avsnittet ”Tekniska och organisatoriska säkerhetsåtgärder” eller som från tid till annan lämnas av Huddinge kommun. Om Personuppgiftsbiträdet saknar instruktioner som han bedömer är nödvändiga för att genomföra uppdrag han erhållit från Huddinge kommun ska Personuppgiftsbiträdet, utan dröjsmål, informera Huddinge kommun om sin inställning och invänta de instruktioner som Huddinge kommun bedömer erfordras. SIDA 3 (10) UPPHANDLINGSENHETEN Personuppgiftsbiträdesavtal DATUM DIARIENUMMER SN-2014/2246 2.3 För det fall att Registrerad, Tillsynsmyndighet eller annan tredje man begär information från Personuppgiftsbiträdet som rör behandling av personuppgifter ska Personuppgiftsbiträdet hänvisa till Huddinge kommun. Av punkten 2.2 ovan och punkten 3.1 nedan följer bland annat att Personuppgiftsbiträdet inte får lämna ut personuppgifter eller annan information om behandlingen av personuppgifter utan uttrycklig instruktion från Huddinge kommun. 2.4 Den Registrerade har laglig rätt att begära registerutdrag eller kräva rättelse, blockering eller utplåning av de Personuppgifter som omfattas av Avtalet. Personuppgiftsbiträdet är skyldigt att bistå den Personuppgiftsansvarige i sådan omfattning att denna rätt kan säkerställas. 2.5 Personuppgiftsbiträdet ska utan dröjsmål informera Huddinge kommun om eventuella kontakter från Tillsynsmyndighet som rör eller kan vara av betydelse för behandling av personuppgifter. Personuppgiftsbiträdet har inte rätt att företräda Huddinge kommun eller agera för Huddinge kommuns räkning gentemot Tillsynsmyndighet. 2.6 Punkten 2.2 ovan innebär att Personuppgiftsbiträdet endast får samla in personuppgifter i enlighet med instruktioner utfärdade av Huddinge kommun. Personuppgiftsbiträdet ska om inte annat skriftligen angivits av Huddinge kommun vid sådant insamlande särskilt se till att erforderliga samtycken inhämtas av registrerade och att de erhåller information i enlighet med personuppgiftslagens krav. Personuppgiftsbiträdet ska på begäran från Huddinge kommun utan dröjsmål överlämna såväl inhämtade samtycken som de uppgifter Huddinge kommun behöver för att kunna visa att de registrerade informerats. 2.7 Personuppgiftsbiträdet ska vidta de tekniska och organisatoriska åtgärder som erfordras enligt personuppgiftslagen för att skydda de personuppgifter som behandlas mot obehörig åtkomst, förstörelse eller ändring. Personuppgiftsbiträdet ska därvid särskilt iaktta Datainspektionens allmänna råd ”Säkerhet för personuppgifter” eller andra föreskrifter som ersätter de förutnämnda. 2.8 Personuppgiftsbiträdet ska omgående underrätta Huddinge kommun vid upptäckt av fullbordade fall av eller försökt till obehörig åtkomst, förstörelse eller ändring av personuppgifter. SIDA 4 (10) UPPHANDLINGSENHETEN Personuppgiftsbiträdesavtal DATUM DIARIENUMMER SN-2014/2246 2.9 Huddinge kommun har rätt att utreda obehörig åtkomst hos Personuppgiftsbiträdet. 2.10 Huddinge kommun äger sin information/data oinskränkt. Det omfattar all information/data som exporteras och laddas upp hos personuppgiftsbiträdeten samt resultatet av personuppgiftsbiträdetens behandling av informationen/data. Huddinge kommuns information omfattas av metadata och loggar. 2.11 Tillgång till och utlämnande av ingående information/data beslutas av Huddinge kommun. Informationen/data får inte användas av personuppgiftsbiträdet för andra ändamål än vad som avtalats. Personuppgiftsbiträdet ska tillse att all berörd information/data vid avslutande av hela/delar av avtalsrelationen, eller när avtalat uppdrag har avslutats, återbördas till Huddinge kommun i ett för kommunen läsbart och användbart format vid den tidpunkt det blir aktuellt. 2.12 Återmigrering av information ska ske på av Huddinge kommun angivet medium enligt Riksarkivets bestämmelser om fastställda format. Leverantören ska säkerställa att detta kan ske och bistå Huddinge kommun eller av kommunen anvisad part med detta. 2.13 Information/data som inte återgår till Huddinge kommun ska förstöras eller anonymiseras så att det inte är möjligt att återskapa dem. Personuppgiftsbiträdet ska se till att det inte finns några personuppgifter kvar hos Personuppgiftsbiträdet, eller i förekommande fall hos underleverantör, vid avslutandet av tjänst eller avtalsrelation. Huddinge kommun eller av Huddinge kommun anvisad part ska ha rätt att granska att erforderliga åtgärder har vidtagits i samband med detta. 2.14 Informationen/data från Huddinge kommun ska gå att verifiera via hashsumma vid alla behandlingar som personuppgiftsbiträdet utför och spårbarhet ska också finnas via loggar för leverantörens behandling. Motsvarande ska gälla om personuppgiftsbiträdet använder sig av underleverantörer. Huddinge kommun har rätt att ta del av de uppgifter som registreras i loggen. 2.15 Personuppgiftsbiträdet ska ha de immateriella rättigheter för tjänsten som krävs och tillse att den inte utgör intrång i tredje mans rätt. SIDA 5 (10) UPPHANDLINGSENHETEN Personuppgiftsbiträdesavtal DATUM DIARIENUMMER SN-2014/2246 2.16 Huddinge kommun eller av Huddinge kommun anvisad part har rätt att följa upp att Personuppgiftsbiträdet, eller i förekommande fall underleverantörer, lever upp till Huddinge kommuns krav på Behandlingen och verkligen vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder. Personuppgiftsbiträdet ska lämna Huddinge kommun den assistans som behövs. 2.17 Personuppgiftsbiträdet ska vid användande av underleverantörer tillse att detta förhållande regleras och att underleverantörer blir bunden av detta avtal och de angivna kraven. Personuppgiftsbiträdet är ansvarig för underleverantörers arbete såsom för eget arbete. 2.18 Underleverantörer samt i vilket land Behandlingen sker ska vid var tid vara kända av Personuppgiftsbiträdet och vid anmodan från Huddinge kommun redovisas. Personuppgiftsbiträdet ska assistera Huddinge kommun eller av Huddinge kommun anvisad extern part vid kontroll och revision av behandling och bearbetning av Huddinge kommuns information/data. 2.19 För det fall att Behandlingar av Personuppgifter kommer att utföras av Underbiträde i tredje land, kan Parterna välja mellan följande: a) Huddinge kommun ger Personuppgiftsbiträdet mandat att teckna Personuppgiftsbiträdesavtal för Huddinge kommuns räkning med Underbiträden i tredjeland, i enlighet med Kommissionens beslut (2010/87/EU) om standardavtalsklausuler för överföring av Personuppgifter till tredjeland. b) Ett Personuppgiftsbiträdesavtal tecknas mellan Huddinge kommun och Personuppgiftsbiträdets Underbiträde i tredjeland, i enlighet med Kommissionens beslut (2010/87/EU) om standardavtalsklausuler för överföring av Personuppgifter till tredjeland. 2.20 Huddinge kommun har rätt att avsluta avtalet om denne inte godtar ett visst underbiträde eller en viss typ av Behandling. 3 Sekretess 3.1 Personuppgiftsbiträdet förbinder sig att inte till tredje man lämna ut eller annars röja information om behandling av personuppgifter som omfattas av detta avtal eller annan information som Personuppgiftsbiträdet erhållit till följd SIDA 6 (10) UPPHANDLINGSENHETEN Personuppgiftsbiträdesavtal DATUM DIARIENUMMER SN-2014/2246 av detta avtal. Personuppgiftsbiträdet åtar sig vidare att inte utnyttja personuppgifterna för egna ändamål. 3.2 Åtagandet i punkten 3.1 första meningen gäller inte a) information som part kan visa var allmänt känd vid tidpunkt för mottagandet, eller b) information som part föreläggs utge till myndighet. Sekretessåtagandet gäller även efter att detta avtal i övrigt upphört att gälla. 4 Ersättning 4.1 Personuppgiftsbiträde har inte rätt till särskild ersättning för behandling av personuppgifter under detta avtal. 5 Ansvar gentemot tredje man 5.1 För den händelse registrerad, eller annan tredje man riktar krav mot Huddinge kommun på grund av Personuppgiftsbiträdets eller dess underleverantörs behandling av personuppgifter ska Personuppgiftsbiträdet hålla Huddinge kommun skadeslös för sådana krav som följer av att Personuppgiftsbiträdet inte efterföljt detta avtal eller angivna anvisningar. 6 Avtalstid 6.1 Avtalet gäller från dess undertecknande och så länge som Personuppgiftsbiträdet behandlar personuppgifter för Huddinge kommuns räkning. 7 Ändringar i avtalet 7.1 Huddinge kommun får i den mån så erfordras ändra innehållet i detta avtal för att krav som följer av personuppgiftslagen eller annan tillämplig uppgiftsskyddslagstiftning ska kunna tillgodoses. Sådan ändring av avtalet träder ikraft senast trettio (30) dagar efter att Huddinge kommun översänt ändringsmeddelande till Personuppgiftsbiträdet. För det fall Personuppgiftsbiträdet inte accepterar sådan ändring äger Huddinge kommun rätt att omedelbart skriftligen säga upp samtliga avtal med SIDA 7 (10) UPPHANDLINGSENHETEN Personuppgiftsbiträdesavtal DATUM DIARIENUMMER SN-2014/2246 Personuppgiftsbiträdet, vilket innebär att Personuppgiftsbiträdet inte längre har rätt att behandla personuppgifter för Huddinge kommuns räkning. Övriga ändringar och tillägg till avtalet ska för att vara bindande upprättas skriftligen och vara behörigen undertecknade av parterna. 7.2 Personuppgiftsbiträdet har ingen självständig rätt att påkalla ändringar av detta avtal. 7.3 För det fall att tjänstens innehåll ändras på så sätt att nya funktioner tillkommer, vilka kan föranleda att nya typer av Behandlingar av personuppgifter kan komma att utföras, ska Huddinge kommun underrättas om förändringarna. 8 Behandlingar omfattade av avtalet 8.1 Behandling av personuppgifter Personuppgiftsbiträdet ska på Huddinge kommuns uppdrag behandla sådana personuppgifter som krävs för att dokumentera insatser i enlighet med socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade. Behandlingen omfattar känsliga personuppgifter. 9 Tekniska och organisatoriska säkerhetsåtgärder 9.1 Detta avsnitt utgör instruktioner till Personuppgiftsbiträdet, och ska fyllas i av parterna. Observera att villkoren nedan kan bli föremål för ändringar utifrån vad som framkommer i den Personuppgiftsansvariges laglighetsprövning och den risk- och sårbarhetsanalys som den Personuppgiftsansvarige gör. 9.2 I detta avsnitt redogörs för de Tekniska och organisatoriska säkerhetsåtgärder som Personuppgiftsbiträdet vidtagit i enlighet med avsnitt 2.7. Den Personuppgiftsansvarige har rätt att kontrollera att åtgärderna verkligen vidtas under Avtalets fullgörande. 9.3 Åtkomstskydd. När datorutrustning och löstagbara datamedier hos Personuppgiftsbiträdet inte står under uppsikt ska utrustningen och medierna låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska Personuppgifterna krypteras. SIDA 8 (10) UPPHANDLINGSENHETEN Personuppgiftsbiträdesavtal DATUM DIARIENUMMER SN-2014/2246 9.4 För det fall eventuella bärbara datorer används vid Behandlingar ska Personuppgifterna på fasta och löstagbara lagringsmedier alltid vara krypterade. 9.5 Säkerhetskopia. Personuppgifterna ska regelbundet överföras till säkerhetskopior. Kopiorna ska förvaras avskilt och väl skyddade så att Personuppgifterna kan återskapas efter en störning. Personuppgiftsbiträdet ska ha en rutin för test av återläsning. 9.6 Behörighetskontroll. Ett tekniskt system för behörighetskontroll ska styra åtkomsten till Personuppgifterna för Personuppgiftsbiträdet. Behörigheten ska begränsas till dem som behöver uppgifterna för sitt arbete. Användaridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Det ska finnas rutiner för tilldelning och borttagande av behörigheter. 9.7 Loggning. Åtkomst till Personuppgifter ska kunna följas upp i efterhand genom en logg eller liknande underlag. 9.8 Datakommunikation. Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. 9.9 För åtkomst till Känsliga och Integritetskänsliga personuppgifter krävs tvåfaktorsautentisering. 9.10 Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av Personuppgiftsbiträdet ska skyddas med kryptering. 9.11 Utplåning. När fasta eller löstagbara lagringsmedier som innehåller Personuppgifter inte längre ska användas för sitt ändamål ska Personuppgifterna raderas på sådant sätt att de inte kan återskapas. 9.12 Reparation och service. När reparation och service av datorutrustning, vilken används för att lagra Huddinge kommuns Personuppgifter, utförs av annan än Personuppgiftsbiträdet, ska avtal som reglerar säkerhet och sekretess träffas med serviceföretaget. SIDA 9 (10) UPPHANDLINGSENHETEN Personuppgiftsbiträdesavtal DATUM DIARIENUMMER SN-2014/2246 9.13 Vid servicebesök ska servicen ske under Personuppgiftsbiträdets överinseende. Är detta inte möjligt ska lagringsmedier som innehåller Personuppgifter avlägsnas. 9.14 Service via fjärrstyrd datakommunikation får endast ske efter säker elektronisk identifiering av den som utför servicen. Servicepersonal ska ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår. 9.15 Den Personuppgiftsansvarige har rätt att utföra kontroller av att avtalade säkerhetsåtgärder faktiskt vidtas. Detta avtal har upprättats i två exemplar, varav parterna har tagit var sitt. (Ort datum) (Ort datum) HUDDINGE KOMMUN _____________________________ ___________________________ (Underskrift) (Underskrift) (Namnförtydligande) (Namnförtydligande) SIDA 10 (10)