Databehandleravtale

 

mellom

 

Klinikk, neden kalt (klinikk)

og

21st Century Mobile AB (publ.), neden kalt (21st)

 

1)     Formål med avtalen er å sikre at krav til konfidensialitet, integritet, tilgjengelighet og kvalitet ivaretas i henhold til Personopplysningsloven m/forskrift og at det foreligger en gjennomarbeidet avtale og øvrige prosedyrer er på plass.

 

2)     Med klinikk i denne avtalen menes lege, tannlege eller annen tjenesteytter i helsesektoren.

 

3)     21st plikter å behandle personopplysinger fra Klinikk slik at krav til konfidensialitet, integritet, tilgjengelighet og kvalitet er ivaretatt etter Personopplysingsloven § 13, personopplysningsforskriften § 2-15 og Normen gjennom Norsk Helsenett.

 

4)     Det er Klinikkens ansvar å påse at 21st informasjonssikkerhet er tilfredsstillende. Om sikkerhetsnivået ikke er tilfredsstillende plikter 21st å justere sikkerhetsnivået etter instruks fra Klinikk.

 

21st har det praktiske ansvaret for at tilfredsstillende informasjonssikkerhet er etablert gjennom planlagte og systematiske tiltak. I den forbindelse skal 21st oversende dokumentasjon til Klinikk om mål og strategi for informasjonssikkerheten.

Dette skal skje første gang ved avtaleinngåelse og når denne avtalen blir revidert.

 

5)     Ved bruk av leverandører til vedlikehold og oppdatering av registre, databaser med mer, så plikter 21st å sørge for at disse leverandørene etterlever den samme krav til informasjonssikkerhet. Dette på en slik måte at sikkerhetsnivået, som er beskrevet ovenfor, ikke blir svekket.

 

6)     21st plikter å ha dokumentert systemet og prosedyrer som er relevant i forbindelse med denne avtalen. Med dokumentasjon menes prosedyrer for autorisasjon og bruk, ulike tekniske og organisatoriske sikkerhetstiltak. Dokumentasjonen skal være tilgjengelig for Klinikk og Datatilsynet. Innsyn i dokumentasjonen skal reguleres strengt (gis til et begrenset antall autoriserte personer) slik at dette ikke svekker sikkerhetsnivået.

 

7)     Når det forekommer avvik ihht. vedtatt informasjonssikkerhet skal 21st som en del av avviksprosedyren sende avviksrapporter til Klinikk for avvik som har betydning i denne sammenhengen. Klinikk har rett til å la en tredje part revidere 21sts informasjonssikkerhet. Kostnadene for dette skal dekkes av Klinikk.

 

8)     Ved opphør av avtaleforholdet plikter databehandler å slette alle elektroniske data som 21st måtte besitte i egenskap av å være databehandler. 21st har rett til å beholde informasjon som 21st er pålagt med henhold til gjeldende lov og/eller myndighetsbeslutt.

 

9)     Taushetsplikten for de personopplysningene og andre relevant informasjons i tilknytning til dette skal overholdes underveis i avtaleforholdet. 21st er bundet av den samme taushetsplikten også etter at avtaleforholdet er avsluttet for de personopplysningene som er behandlet.