Public 360° Online - dataprocessoravtal Version oktober 2016 1 Dataprocessorn måste ge kontrollern åtkomst till Avsikten med avtalet dess säkerhetsdokumentation och tillhandahålla Avsikten med avtalet är att reglera rättigheter och hjälp så att kontrollern kan uppfylla sitt eget ansvar i skyldigheter enligt lokala persondatalagen relaterad enlighet med lagstiftning och bestämmelser. till behandling av personliga data samt Europa- Såvida inget annat avtalas eller föreskrivs i lag har direktiv 95/46/EU beträffande skydd av personliga kontrollern rätt till att komma åt och inspektera data (dataskyddsdirektivet). Avtalet är avsett att personliga data som bearbetas och systemen som säkerställa används för detta ändamål. Dataprocessorn tar på sig att registrerade personers personuppgifter inte används på olagligt sätt eller röjs för obehöriga personer. att tillhandahålla den nödvändiga hjälpen för detta. Dataprocessorn har en skyldighet att behandla den Avtalet reglerar dataprocessorns användning av dokumentation och de personuppgifter som den får personuppgifter - inklusive insamling, registrering, tillgång till under detta avtal konfidentiellt. Denna kompilering, lagring och leverans eller kombinationer bestämmelsefortsätter att gälla efter avtalet har av dessa - på uppdrag från den person eller upphört. organisation som är ansvarig för behandlingen av uppgifter. 4 Enligt detta avtal är leverantören ”dataprocessorn" och kunden är ”kontrollern”. 2 dataprocessorn, måste detta avtalas med kontrollern skriftligen innan behandlingen av personuppgifter Leverantören tillhandahåller tjänsterna på påbörjas. det sätt som anges i huvudavtalet Ett dataprocessoravtal, vilket gäller behandlingen av beträffande tjänster. personuppgifter i enlighet med avtalet, har ingåtts Förvaring av personuppgifter i med Microsoft, som behandlar personuppgifter i molntjänsterna, såväl som besiktning av enlighet personuppgifter relaterad till underhåll och dataskyddsdirektivet. support. behandling kräver ett databehandlingsavtal baserat Personuppgifter får inte användas på något annat sätt än i syfte att underlätta måste personuppgiftslagen I den mån och Microsofts på EU:s standardavtal, ger kontrollern dataprocessorn befogenhet att ingå sådana avtal på dess vägnar. här. Dataprocessorns skyldigheter Dataprocessorn med Avtalad Bilaga 2 till det avtalet bifogas som Bilaga 1 tjänsterna. 3 Om dataprocessorn använder underleverantörer eller andra personer som inte vanligtvis är anställda av Syfte Användning av underleverantör följa rutinerna 5 och anvisningarna för behandling som kontrollern har beslutat ska gälla vid en viss tid. Säkerhet Dataprocessorn enligt måste gällande dataskyddsdirektiv. uppfylla säkerhetskraven personuppgiftslag Dataprocessorn och måste dokumentera rutiner och andra åtgärder för att Version oktober 2016 Sidan 1 av 8 uppfylla dessa krav. Denna dokumentation måste med avtalet inom en skälig tidsperiod och senast 3 göras tillgänglig på kontrollerns begäran. månader efter avtalet har upphört. Meddelanden om bestämmelser enligt avvikelser till avtalets personuppgiftslagen dataskyddsdirektivet dataprocessorn från måste eller skickas kontrollern. av Kontrollern avtalets bestämmelser till den kommer att faktureras till dataprocessorns timtaxa vid tiden ifråga. är ansvarig för att skicka meddelandet om avvikelser från Kostnader med att returnera och/eller radera data lokala 9 Val av lag och laga domstol dataskyddsmyndigheten. Avtalet är underkastat kontrollerns jurisdiktion och 6 avtalet. laga domstol. Detta gäller även efter uppsägelse av Säkerhetsgranskningar Regelbundna säkerhetsgranskningar utförs på systemen och dylikt som täcks av avtalet. Granskningen kan bestå av en granskning av rutiner, punktkontroller, mer utförliga besiktningar och andra lämpliga kontrollåtgärder. Kontrollern åtar sig att betala alla kostnaderna för sådana granskningar. Om granskningen avslöjar väsentliga fel eller defekter måste dataprocessorn betala kostnaderna för granskningen. _______________________ Christian Schøyen Country Manager Tieto Norway AS 7 Avtalets längd Detta avtal gäller så länge dataprocessorn behandlar personuppgifter på uppdrag från kontrollern. Vid brott mot detta avtal, personuppgiftslagen eller dataskyddsdirektivet, har kontrollern rätt att beordra dataprocessorn att avbryta eventuell vidare behandling av data med omedelbar verkan. 8 Vid uppsägelse av avtalet Vid uppsägelse av avtalet måste dataprocessorn lämna tillbaka alla personuppgifter som har mottagits på kontrollerns vägnar och som täcks av detta avtal. Dataprocessorn måste, på ett sätt som ska avtalas, ta bort eller förstöra alla dokument, data, diskar, cdskivor etc som innehåller information som täcks av detta avtal. Detsamma gäller eventuella säkerhetskopior. Dataprocessorn måste dokumentera skriftligen att borttagning och/eller förstörelse har utförts i enlighet Version september 2016 Bilaga 2 till standardavtalet Denna bilaga utgör en del av klausulerna i avtalet och måste fyllas i och undertecknas av parterna. Beskrivning av de tekniska och organisationsmässiga säkerhetsåtgärderna som har implementerats av dataimportören i enlighet med klausul 4(d) och 5(c) (eller bifogat dokument/lagstiftning): 1. Allmänna villkor a. Parternas avsikt. Med avseende på plattformstjänsterna är Microsoft en dataprocessor underprocessor) som (eller agerar på kundens uppdrag. I egenskap av dataprocessor (eller underprocessor) handlar Microsoft enbart på kundens anvisningar. Windows Azure DPA och registrering (inklusive villkoren som inkorporeras däri) är kundens fullständiga och slutgiltiga anvisningar till Microsoft beträffande behandlingen av kunddata. Eventuella ytterligare eller alternativa anvisningar måste godkännas enligt förfarandet antingen: (1) ge kunden möjlighet att korrigera, ta bort eller spärra kunddata eller (2) göra sådana korrigeringar, borttagningar eller blockeringar på kundens vägnar. e. Dataskyddsansvarig. Microsofts dataskyddsrepresentant för Europeiska ekonomiska samarbetsområdet samt Schweiz kan nås på följande adress: Microsoft Ireland Operations Ltd. Attn: Privacy Officer Carmenhall Road Sandyford, Dublin 18, Ireland 2. Säkerhet a. Allmänna rutiner. Microsoft har implementerat och kommer att underhålla för plattformtjänsterna lämpliga tekniska och organisationsmässiga åtgärder, kontroller informationsmässiga och interna säkerhetsrutiner avsedda att skydda kunddata mot oavsiktlig förlust, förstörelse eller ändring; obehörigt röjande eller åtkomst; eller olaglig förstörelse. Kunden är fullständigt ansvarig för att implementera och upprätthålla säkerhetsåtgärder inuti eventuella program som för ändring av kundens registrering. tillhandahålls av kunden eller på kundens b. Databehandlingens längd och ändamål. Databehandlingens längd ska vara den tidsperiod som anges vid registreringen. Databehandlingens ändamål är utförandet av plattformstjänsterna. b. c. Databehandlingens omfattning och ändamål. Omfattningen och ändamålet med behandlingen av kunddata, inklusive eventuella personuppgifter som ingår i kunddata, beskrivs i detta Windows Azure DPA och registreringen. d. Åtkomst till kunddata. Under den tidsperiod som anges vid registreringen kommer Microsoft, vid dess val och efter behov enligt gällande lag som implementerar artikel 12(b) av EU:s dataskyddsdirektiv, Version september 2016 uppdrag, för användning i plattformstjänsterna. Basplattformstjänster. basplattformstjänster har För Microsoft implementerat och kommer att upprätthålla följande: (i) Domän: organisation av informationssäkerhet. 1) Säkerhetsansvarig. Microsoft har utsett en eller fler säkerhetsansvariga som är ansvariga för att samordna och övervaka säkerhetsregler och -rutiner. 2) Säkerhetsroller och -ansvar. Microsoft- A. Microsoft informerar sin personal personal med åtkomst till kunddata är skyldiga beträffande relevanta säkerhetsrutiner att behandla information konfidentiellt. och deras respektive roller. Microsoft informerar 3) Riskhanteringsprogram. Microsoft har utfört B. Microsoft använder endast anonyma 4) Microsoft behåller dess säkerhetsdokument bestämmelser personal säkerhetsregler och rutiner. eller basplattformstjänsterna startas. dess sin beträffande möjliga följder av brott mot en riskbedömning innan kunddata behandlas enligt även data i utbildningssyfte. beträffande dokumentbevarande efter de har upphört att gälla. (iv) Domän: fysisk säkerhet och miljösäkerhet. 1) (ii) Domän: tillgångsförvaltning. 1) Tillgångsinventering. Microsoft har en inventering över alla media där kunddata finns lagrade. Tillgång till inventeringarna av sådana media är begränsade till Microsoft-personal med skriftligt tillstånd till sådan åtkomst. A. Microsoft begränsar åtkomsten till kunddata. Kunden kan implementera kryptering av kunddata inuti kundens program. Microsoft begränsar utskrift av kunddata och har rutiner för att utskrivna material som innehåller kunddata. B. Microsoft-personal måste erhålla tillstånd från Microsoft innan kunddata lagras på portabla enheter, kommer åt kunddata från annan plats eller åtkomst Microsoft till begränsar anläggningar där anläggningarna. åtkomsten informationssystem till som behandlar kunddata finns till identifierade behöriga individer. 2) Fysisk åtkomst till komponenter. Microsoft sparar 2) Tillgångshantering. kassera Fysisk uppgifter om inkommande och utgående media som innehåller kunddata, inklusive typen av media, behörig sändare/mottagare, datum och tid, antalet media samt typerna av kunddata de innehåller. 3) Skydd från avbrott. Microsoft använder flera olika industristandardsystem för att skydda mot förlust av data p.g.a. strömavbrott eller störningar på linjen. 4) Kassering av komponenter. Microsoft använder standardmässiga rutiner för att ta bort kunddata när de inte längre behövs. behandlar kunddata utanför Microsofts anläggningar. Detta inkluderar flyttbara medier (t.ex. USB-minnen och cd-romskivor) samt dokument som innehåller kunddata från Microsofts anläggningar. (v) Domän: kommunikations- och verksamhetshantering. 1) Driftspolicy. Microsoft säkerhetsdokument som upprätthåller beskriver dess säkerhetsmått och dess personals relevanta (iii) Domän: säkerhet på personalavdelning. 1) Säkerhetsutbildning. rutiner och kunddata. 2) skyldigheter åtkomst till Dataåterställningsrutiner. Plattformstjänsterna Version september 2016 vid inkluderar kopieringsfunktioner som underlättar 3) Skadlig programvara. kontroller maskin Microsoft- programvara får obehörig tillgång till kunddata, datacenter. Kunder är ansvariga för att vidta inklusive skadlig programvara med ursprung i offentliga nätverk. kluster inuti ytterligare åtgärder för feltolerans, såsom att säkerhetskopior av ett att tillhandahålla skapa historiska kunddata, lagra säkerhetskopior av kunddata från plattformen, implementera redundanta beräkningsinstanser inom och mellan datacenter eller säkerhetskopiera tillstånd och data inuti en förhindrar att har återställning av kunddata vid haveri av en viss eller som Microsoft skadlig 4) Data bortom gränser. A. Microsoft ger kunden möjlighet att kryptera kunddata som överförs till och från Microsofts datacenter via offentliga nätverk. virtuell maskin. A. På kontinuerlig basis, men under alla omständigheter inte mindre ofta än en gång i veckan (såvida inga kunddata har uppdaterats under den tidsperioden), upprätthåller Microsoft flera kopior av kunddata från vilka kunddata kan återställas. Microsoft sparar inte Microsoft använder kryptering för kopiering av icke-offentliga kunddata mellan Microsofts datacenter. B. Microsoft begränsar åtkomsten till kunddata i media som lämnar dess anläggningar (t.ex. via kryptering). tillstånd eller data inuti en virtuell maskin som ska återställas till sitt ursprungliga tillstånd. B. Microsoft lagrar kopior av kunddata och dataåterställningsrutiner på en annan plats än var datorutrustningen den som primära behandlar (vi) Domän: åtkomstkontroll. 1) Policy beträffande åtkomst. Microsoft har ett register över säkerhetsbehörigheter för personer med åtkomst till kunddata. 2) Behörig åtkomst. kunddata finns. A. C. Microsoft har specifika rutiner som uppdaterar ett register över personal reglerar tillgången till kopior av kunddata. D. Microsoft går dataåterställningsrutiner igenom minst var sjätte månad. E. Microsoft dataåterställningsarbeten, loggar inklusive beskrivningen av de återställda data, samt i tillämpliga fall, ansvarig person samt vilka data (om sådana finns) som behövde matas in manuellt under dataåterställningen. Version september 2016 Microsoft upprätthåller och som är behörig att komma åt Microsoftsystem som innehåller kunddata. B. Microsoft autentiseringsuppgifter avaktiverar som inte används under en viss tid, högst sex månader. C. Microsoft identifierar den personal som kan bevilja, ändra eller avbryta behörig åtkomst till data och resurser. 3) Minimal behörighet. A. Teknisk support-personal får endast ha åtkomst till kunddata när det behövs. B. Microsoft begränsar åtkomsten till lösenorden kunddata till enbart de personer som distribueras, samt vid lagring. kräver sådan åtkomst för att utföra sin jobbfunktion. när de tilldelas och 6) Nätverksdesign. Microsoft har kontroller som förhindrar att personer antar behörigheter som de inte har tilldelats för att få åtkomst till 4) Integritet och konfidentialitet. Microsoft instruerar Microsofts personal att avaktivera administrativa sessioner vid utträde kunddata som de inte har behörighet att komma åt. från anläggning som Microsoft kontrollerar eller när datorer i övrigt lämnas utan tillsyn. (vii) 5) Autentisering. 1) Incidentrespons. Microsoft har ett register Domän: hantering av informationssäkerhetsincident. A. Microsoft använder standardrutiner över för autentisera beskrivning av överträdelsen, tidsperioden, användare som försöker komma åt följderna av överträdelsen, anmälarens namn informationssystem. och B. När autentiseringsmekanismer är överträdelsen anmäldes återställande av data. att identifiera och baserade på lösenord kräver Microsoft 2) att lösenorden förnyas regelbundet. C. När autentiseringsmekanismer är baserade på lösenord kräver Microsoft att lösenordet innehåller minst åtta säkerhetsöverträdelser, namnet på personen samt Serviceövervakning. med till en vilken rutinen för Microsofts säkerhetspersonal verifierar loggar minst var sjätte månad för att föreslå lämpliga åtgärder vid behov. tecken. D. Microsoft avaktiverade säkerställer eller att upphörda identifierare inte tilldelas de andra personerna. E. Microsoft övervakar eller gör det möjligt för kunden att övervaka upprepade försök att få tillgång till kunddata med ett ogiltigt lösenord. F. Microsoft standardmässiga upprätthåller rutiner för att avaktivera lösenord som har skadats eller röjts oavsiktligt. G. Microsoft använder standardmässiga rutiner för att skydda lösenord, inklusive rutiner som är avsedda att upprätthålla konfidentialiteten och integriteten hos Version september 2016 (viii) Domän: Kontinuitet i verksamheten. 1) Microsoft har nödsituations- och beredskapsplaner för anläggningar med Microsoft-informationssystem som behandlar kunddata. 2) Microsofts redundanta lagring och dess rutiner för återställande av data är avsedda att rekonstruera kunddata till dess senast kopierade tillstånd före tidpunkten då det förlorades eller förstördes. Återställande av virtuella maskiner sker till deras originalbild. (ix) Säkerhetsåtgärderna som beskrivs i del 4 är Microsofts enda ansvar med avseende på säkerheten hos kunddata. För kunddata ersätter dessa åtgärder eventuella konfidentialitetsskyldigheter som ingick i registreringen eller i annat avtal mellan Microsoft och kunden beträffande icke-röjande av uppgifter. (x) Datasäkerhetspolicy. Microsoft har upprättat och samtycker till att upprätthålla en datasäkerhetspolicy som uppfyller ISO 27001standarder för upprättande, implementering, kontroll och förbättring av informationssäkerhetshanteringssystemet och ISO/IEC 27002 koden för bästa praxis för informationssäkerhetshantering (“Windows Azure informationssäkerhetspolicy”). På en konfidentiell och behovsenlig basis, samt underkastat kundens samtycke till de skyldigheter gällande icke-avslöjande av uppgifter som Microsoft specificerar, gör Microsoft Windows Azure informationssäkerhetspolicyn tillgänglig till kunden, tillsammans med annan information som tillbörligt begärs av kunden beträffande Microsofts säkerhetsrutiner och -policyer. Kunden är ensamt ansvarig för att förnya Windows Azure informationssäkerhetspolicyn, utföra en självständig bedömning av huruvida Windows Azure informationssäkerhetspolicyn uppfyller kundens krav samt för att säkerställa att kundens personal och konsulter följer riktlinjerna som tillhandahålls beträffande datasäkerhet. c. Certifieringar och revisioner. (i) Microsoft kommer att utföra revision av säkerheten hos datorer och datamiljön som används vid behandlingen av kunddata (inklusive personuppgifter) på basplattformtjänsterna (revisionen täcker för närvarande inte tjänster utanför basplattformtjänsterna) och de fysiska datacenter från vilka Microsoft tillhandahåller alla plattformstjänster utom innehållsleveransnätverket. Denna revision: (1) kommer att utföras mins en gång om året; (2) kommer att utföras i enlighet med ISO 27001 eller andra branschstandarder; (3) kommer att utföras av tredje parts säkerhetspersonal enligt Microsofts utbud och på dess bekostnad; (4) kommer att resultera i skapande av en revisionsrapport (“Microsoft revisionsrapport”), vilken är Microsofts konfidentiella information; samt (5) kan utföras för andra ändamål Version september 2016 förutom att uppfylla kraven i detta avsnitt (t.ex. som del av Microsofts reguljära interna säkerhetsrutiner eller för att uppfylla andra skyldigheter under avtalet). (ii) Om kunden begär skriftlig revision kommer Microsoft att tillhandahålla kunden en konfidentiell sammanfattning av Microsofts revisionsrapport (“sammanfattningsrapport”) så att kunden skäligen kan verifiera Microsofts efterlevnad av säkerhetsskyldigheterna enligt denna Windows Azure DPA. Sammanfattningsrapporten är konfidentiell information tillhörande Microsoft. (iii) Microsoft kommer att göra en skälig ansträngning i god tro för att åtgärda (1) eventuella fel som identifieras i en Microsoft revisionsrapport som skäligen kan förmodas ha en negativ inverkan på kundens användning av plattformstjänsterna och (2) väsentliga kontrollbrister som identifierats i Microsofts revisionsrapport. (iv) Revisionsskyldigheterna som beskrivs i del 2 C (i-iii) görs på kundens begäran för att säkerställa en reguljär och konsekvent revisionsprocess och ska gälla, utan begränsning, behandling av kunddata (inklusive personuppgifter) av Microsoft Corporation enligt det standardmässiga avtalet mellan kunden och Microsoft Corporation i fullständig uppfyllelse av kundens rättigheter som dataexportör enligt klausul 5, paragraf f och klausul 12, paragraf 2 av det standardmässiga avtalet för att utföra en revision av databehandlingsanläggningarna som används av Microsoft Corporation. För att upprätthålla denna regelbundenhet och konsekvens måste ändringar eller tillägg till dessa revisionsskyldigheter göras i enlighet med det standardmässiga avtalet. Microsoft Corporation är en avsedd tredje parts förmånstagare för denna del 2 C (iv). 3. Diverse a. Konfidentialitet. Kunden ska behandla innehållet i Säkerhetspolicy för Windows Azure Information, Microsoft revisionsrapport och sammanfattningsrapporten konfidentiellt och ska inte avslöja innehållet för tredje part utom kundens revisorer eller konsulter om de behöver tillgång till innehållet i syfte att upprätthålla detta affärsförhållande enligt detta Windows Azure DPA samt registreringen. b. Avtalstid och uppsägning. Detta Windows Azure DPA sägs upp automatiskt när registreringen sägs upp eller upphör att gälla. c. Företrädesordning. Om det finns en konflikt mellan någon del av detta Windows Azure DPA och någon del av registreringsavtalet, Enterprise-avtalet eller tillämpligt Microsoft Business-avtal/Microsoft Business and Servicesavtal ska detta Windows Azure DPA ha företräde. Dataexportör Namn: .............................................................................................. Behöriga namnteckningar .............................................................................................. Dataimportör Namn: Behöriga namnteckningar ............................................................................................. Version september 2016