Avtale om leveranse av IKT-tjenester Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Del II - Databehandleravtale
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Versjon: 0.1<br />
Dato oppdatert : 22.03.11<br />
<strong>Avtale</strong> <strong>om</strong> <strong>leveranse</strong> <strong>av</strong> <strong>IKT</strong>-<strong>tjenester</strong><br />
Tjeneste<strong>av</strong>tale nr.: SUNHF-2011<br />
<strong>Del</strong> <strong>II</strong> - Databehandler<strong>av</strong>tale
Databehandler<strong>av</strong>tale<br />
mell<strong>om</strong><br />
Sunnaas Sykehus HF<br />
Organisasjonsnr.: 883 971 752<br />
heretter "Databehandlingsansvarlig"<br />
og<br />
Helse Sør-Øst RHF ved Sykehuspartner <strong>IKT</strong><br />
Organisasjonsnr.: 991 324 968<br />
heretter "Databehandler "<br />
i fellesskap kalt "Partene"
<strong>Avtale</strong> <strong>om</strong> <strong>leveranse</strong> <strong>av</strong> <strong>IKT</strong>-<strong>tjenester</strong> Side : 4 <strong>av</strong> 10<br />
<strong>Del</strong> <strong>II</strong> - Databehandler<strong>av</strong>tale Versjon: 0.1<br />
Kunde: Sunnaas Sykehus HF <strong>Del</strong> 2 <strong>Avtale</strong> SP <strong>IKT</strong> - Databehandler<strong>av</strong>tale<br />
Leverandør: Sykehuspartner<br />
Parafering: _______ / _______
<strong>Avtale</strong> <strong>om</strong> <strong>leveranse</strong> <strong>av</strong> <strong>IKT</strong>-<strong>tjenester</strong> Side : 5 <strong>av</strong> 10<br />
<strong>Del</strong> <strong>II</strong> - Databehandler<strong>av</strong>tale Versjon: 0.1<br />
1 <strong>Avtale</strong>ns bakgrunn og formål<br />
Databehandlingsansvarlig har inngått <strong>av</strong>tale med Sykehuspartner <strong>om</strong> <strong>leveranse</strong> <strong>av</strong> <strong>IKT</strong><strong>tjenester</strong><br />
til Databehandlingsansvarlig ("Tjeneste<strong>av</strong>talen"). For hver databehandling beskrives<br />
formålet med behandlingen, beskrivelsen <strong>av</strong> type personopplysninger, utlevering, koblinger<br />
med mer i ”Tjeneste<strong>av</strong>talen”.<br />
Sykehuspartner er databehandler for Databehandlingsansvarlig i forbindelse med bl.a. drift og<br />
forvaltning <strong>av</strong> it-systemer s<strong>om</strong> Databehandlingsansvarlig benytter under Tjeneste<strong>av</strong>talen.<br />
Databehandler vil i denne forbindelse behandle helseopplysninger og andre<br />
personopplysninger slik disse begrepene er definert i henholdsvis helseregisterloven<br />
(lov 18. mai 2001 nr. 24) og personopplysningsloven (lov 14. april 2000 nr. 31).<br />
Helseopplysninger og personopplysninger er heretter med et fellesbegrep kalt<br />
personopplysninger.<br />
Denne databehandler<strong>av</strong>talen er inngått for å regulere Partenes rettigheter og plikter s<strong>om</strong><br />
henholdsvis databehandlingsansvarlig og databehandler i forbindelse med behandling <strong>av</strong><br />
personopplysninger under Tjeneste<strong>av</strong>talen. Med behandling <strong>av</strong> personopplysninger menes<br />
enhver behandling <strong>av</strong> slike opplysninger, herunder innsamling, registrering, sammenstilling,<br />
lagring, utlevering og sletting eller en k<strong>om</strong>binasjon <strong>av</strong> disse.<br />
2 Partenes roller og oppg<strong>av</strong>er<br />
Databehandlingsansvarlig bestemmer formålet med behandlingen <strong>av</strong> personopplysningene<br />
og er bl.a. ansvarlig for at det foreligger et lovlig behandlingsgrunnlag for<br />
personopplysningene, at den behandling s<strong>om</strong> databehandlingsansvarlig gir anvisning på er i<br />
overensstemmelse med gjeldende lovgivning og at behandlingen skjer i henhold til<br />
Databehandlingsansvarliges sikkerhetsmål og sikkerhetsstrategi. Databehandlingsansvarlig<br />
har ansvaret også når det benyttes databehandler. Det innebærer blant annet at<br />
Databehandlingsansvarlig har ansvaret for å påse at kr<strong>av</strong>ene er oppfylt i forbindelse med<br />
oppbevaring og bruk <strong>av</strong> personopplysningene hos Databehandleren, jf<br />
personopplysningsloven § 15 og personopplysningsforskriften § 2-15.<br />
Databehandler behandler personopplysninger på vegne <strong>av</strong>, og i henhold til <strong>av</strong>tale med,<br />
Databehandlingsansvarlig.<br />
3 Behandling <strong>av</strong> personopplysninger<br />
Databehandler skal bare behandle personopplysninger slik det er skriftlig <strong>av</strong>talt med<br />
Databehandlingsansvarlig i Tjeneste<strong>av</strong>talen eller skriftlig tilleggs<strong>av</strong>tale og i den utstrekning<br />
det er nødvendig for å oppfylle slik <strong>av</strong>tale. Opplysningene kan heller ikke uten slik <strong>av</strong>tale<br />
overlates til noen andre for lagring eller bearbeidelse. Eventuell tilleggs<strong>av</strong>tale skal vedlegges<br />
denne databehandler<strong>av</strong>talen.<br />
Databehandleren skal sikre at personopplysninger s<strong>om</strong> behandles for én Databehandlingsansvarlig<br />
holdes atskilt fra egne og andre databehandlingsansvarliges opplysninger og<br />
<strong>tjenester</strong>.<br />
Kunde: Sunnaas Sykehus HF <strong>Del</strong> 2 <strong>Avtale</strong> SP <strong>IKT</strong> - Databehandler<strong>av</strong>tale<br />
Leverandør: Sykehuspartner<br />
Parafering: _______ / _______
<strong>Avtale</strong> <strong>om</strong> <strong>leveranse</strong> <strong>av</strong> <strong>IKT</strong>-<strong>tjenester</strong> Side : 6 <strong>av</strong> 10<br />
<strong>Del</strong> <strong>II</strong> - Databehandler<strong>av</strong>tale Versjon: 0.1<br />
Databehandlingsansvarlig kan til enhver tid velge å stanse videre behandling <strong>av</strong><br />
personopplysninger hos Databehandler eller kreve endringer i behandlingsmåten. De<br />
merkantile virkningene <strong>av</strong> forespørsler fra Databehandlingsansvarlig <strong>om</strong> endringer i<br />
behandlingsmåten, eller hel eller delvis <strong>av</strong>slutning <strong>av</strong> behandlingen, håndteres i henhold til<br />
Tjeneste<strong>av</strong>talens bestemmelser <strong>om</strong> endringshåndtering og/eller <strong>av</strong>bestilling/oppsigelse.<br />
Databehandler plikter å ha dokumentert sitt system for behandling <strong>av</strong> personopplysninger og<br />
rutiner s<strong>om</strong> er relevante i forbindelse med denne <strong>av</strong>talen. Med dokumentasjon menes bl.a.<br />
beskrivelse <strong>av</strong> rutiner for autorisasjon og bruk, samt tekniske og organisatoriske<br />
sikkerhetstiltak. Dokumentasjonen skal være tilgjengelig for databehandlingsansvarlig,<br />
Datatilsynet og Helsetilsynet, jf. punkt 6 nedenfor.<br />
4 Informasjonssikkerhet<br />
4.1 Overordnede kr<strong>av</strong> til informasjonssikkerhet<br />
Databehandler skal til enhver tid oppfylle de kr<strong>av</strong> til informasjonssikkerhet s<strong>om</strong> følger <strong>av</strong><br />
Tjeneste<strong>av</strong>talen og Databehandlingsansvarliges sikkerhetsstrategi og sikre at all behandling<br />
<strong>av</strong> personopplysninger s<strong>om</strong> er <strong>om</strong>fattet <strong>av</strong> denne <strong>av</strong>talen skjer i henhold til det nivå for<br />
akseptabel risiko s<strong>om</strong> er fastsatt <strong>av</strong> Databehandlingsansvarlig. Gjenn<strong>om</strong>ført risikovurdering<br />
skal fremlegges <strong>av</strong> databehandler for egen og eventuelle underleverandørers sikkerhet s<strong>om</strong><br />
del <strong>av</strong> dette.<br />
Databehandlingsansvarlig skal påse at den til enhver tid gjeldende sikkerhetsstrategi og<br />
beslutninger med hensyn til akseptabel risiko er tilgjengelig for Databehandler. Det samme<br />
gjelder oversikt over hvilke typer personopplysninger s<strong>om</strong> behandles i henhold til<br />
Tjeneste<strong>av</strong>talen.<br />
Databehandler kan etter særskilt <strong>av</strong>tale bistå Databehandlingsansvarlig i dennes arbeid med<br />
gjenn<strong>om</strong>føring <strong>av</strong> risikoanalyse og utarbeiding <strong>av</strong> sikkerhetsstrategi.<br />
Databehandler har et selvstendig ansvar for å påse at behandling <strong>av</strong> personopplysningene<br />
skjer i overensstemmelse med kr<strong>av</strong>ene til informasjonssikkerhet i helseregisterloven § 16,<br />
personopplysningsloven § 13 og personopplysningsforskriften kap. 2. Det forutsettes at<br />
Databehandleren har utarbeidet tilfredsstillende sikkerhetsmål, -strategi, -organisering og<br />
ansvar i samsvar med Personopplysningsloven og –forskriften og at dette følges opp med<br />
nødvendig Internkontrollsystem.. Databehandleren skal oppfylle kr<strong>av</strong>ene i Norm for<br />
informasjonssikkerhet i helsesektoren.<br />
Databehandler skal etablere og vedlikeholde planlagte og systematiske tiltak s<strong>om</strong> er<br />
nødvendige for å oppfylle kr<strong>av</strong>ene i eller i medhold <strong>av</strong> helseregisterloven og<br />
personopplysningsloven, jf. helseregisterloven § 17 og personopplysningsloven § 14<br />
(internkontroll), herunder <strong>om</strong> prosedyrer for logging <strong>av</strong> feil og <strong>av</strong>vik og for varsling og<br />
håndtering <strong>av</strong> slike <strong>av</strong>vik.<br />
Databehandleren skal så snart s<strong>om</strong> mulig, og senest innen 24 timer, varsle Databehandlingsansvarlig<br />
<strong>om</strong> eventuelle <strong>av</strong>vik s<strong>om</strong> er <strong>av</strong> betydning for Databehandlingsansvarliges<br />
informasjonssikkerhet, og så snart s<strong>om</strong> mulig iverksette tiltak for å <strong>av</strong>hjelpe (lukke) <strong>av</strong>vikene<br />
Kunde: Sunnaas Sykehus HF <strong>Del</strong> 2 <strong>Avtale</strong> SP <strong>IKT</strong> - Databehandler<strong>av</strong>tale<br />
Leverandør: Sykehuspartner<br />
Parafering: _______ / _______
<strong>Avtale</strong> <strong>om</strong> <strong>leveranse</strong> <strong>av</strong> <strong>IKT</strong>-<strong>tjenester</strong> Side : 7 <strong>av</strong> 10<br />
<strong>Del</strong> <strong>II</strong> - Databehandler<strong>av</strong>tale Versjon: 0.1<br />
og begrense skadevirkningene <strong>av</strong> dem. Hvis den Databehandlingsansvarlige har personvern<strong>om</strong>bud,<br />
skal også <strong>om</strong>budet varsles.<br />
4.2 Kr<strong>av</strong> til teknisk sikkerhet<br />
Databehandleren skal sikre at følgende minimumskr<strong>av</strong> til teknisk sikkerhet er oppfylt<br />
(kr<strong>av</strong>ene er ikke uttømmende):<br />
Tilgang til <strong>tjenester</strong> og opplysninger i nettverket skal være basert på individuelle<br />
brukerkoder og passord.<br />
Lagring <strong>av</strong> opplysninger overlevert <strong>av</strong> databehandlingsansvarlig skal sikres, slik at<br />
kun autoriserte medarbeidere har tilgang.<br />
Tilgang til eksterne nett/Internett, inkludert Databehandlerens åpne nettverk, ders<strong>om</strong><br />
det finnes, forutsetter at det er etablert sikkerhetstiltak s<strong>om</strong> ikke kan påvirkes eller<br />
<strong>om</strong>gås <strong>av</strong> medarbeidere, og s<strong>om</strong> forhindrer uforvarende eksponering <strong>av</strong> sensitive<br />
personopplysninger til l<strong>av</strong>ere sikrede nettverk. Sikkerhetstiltakene skal ikke være<br />
begrenset til handlinger s<strong>om</strong> den enkelte forutsetter å utføre.<br />
Sikkerhet skal ivaretas ved fjerndrift. Dette innebærer benyttelse <strong>av</strong> bærbar PC<br />
tilhørende Leverandøren, kryptert VPN forbindelse og sperring mot samtidig tilgang<br />
til Internett. DriftsPC skal ikke brukes <strong>av</strong> venner, familie eller andre ikke autoriserte<br />
personer.<br />
To-nivå autentisering skal benyttes <strong>om</strong> tilgang skjer via usikre/l<strong>av</strong>ere sikrede nettverk<br />
K<strong>om</strong>munikasjon skal sikres med kryptering ders<strong>om</strong> den går over usikre nettverk og<br />
det sendes sensitive personopplysninger eller fødselsnummer.<br />
Hvis databehandler behandler helse- og personopplysninger for flere virks<strong>om</strong>heter<br />
skal databehandler ved hjelp <strong>av</strong> tekniske tiltak s<strong>om</strong> ikke kan overstyres <strong>av</strong> brukerne<br />
ivareta at det er etablert skiller mell<strong>om</strong> virks<strong>om</strong>hetene i henhold til gjenn<strong>om</strong>ført<br />
risikovurdering, dette både i database hvor data er lagret og i k<strong>om</strong>munikasjon.<br />
4.3 Kr<strong>av</strong> til tilgangskontroll<br />
Databehandleren skal ha rutiner for tilgangsautorisasjon og -styring s<strong>om</strong> sikrer at bare de <strong>av</strong><br />
Databehandlerens medarbeidere s<strong>om</strong> har reelt behov til tilgang til Systemet og informasjonen<br />
for å gjenn<strong>om</strong>føre <strong>leveranse</strong>n/tjenesten, har tilgang. Tilgangsnivå skal være i henhold til reelt<br />
behov knyttet til å gjenn<strong>om</strong>føre <strong>leveranse</strong>n.<br />
Databehandler skal til enhver tid ha oversikt over eget personell s<strong>om</strong> er autorisert for tilgang<br />
til Databehandlingsansvarliges informasjon og <strong>tjenester</strong>. På forespørsel skal slik oversikt<br />
forelegges Databehandlingsansvarlig.<br />
Ders<strong>om</strong> Databehandlingsansvarlig har innvendinger mot at en gitt person har fysisk og/eller<br />
elektronisk adgang til Systemet, skal autorisasjon for dette inndras.<br />
Det skal benyttes personlige brukerkonti for all tilgang knyttet til gjenn<strong>om</strong>føring <strong>av</strong><br />
<strong>leveranse</strong>n.<br />
Ders<strong>om</strong> Databehandleren benytter bærbare klient maskiner til drift, skal Databehandleren ha<br />
rutiner s<strong>om</strong> sikrer at disse bare benyttes <strong>av</strong> driftspersonell og til driftsrelaterte oppg<strong>av</strong>er.<br />
Kunde: Sunnaas Sykehus HF <strong>Del</strong> 2 <strong>Avtale</strong> SP <strong>IKT</strong> - Databehandler<strong>av</strong>tale<br />
Leverandør: Sykehuspartner<br />
Parafering: _______ / _______
<strong>Avtale</strong> <strong>om</strong> <strong>leveranse</strong> <strong>av</strong> <strong>IKT</strong>-<strong>tjenester</strong> Side : 8 <strong>av</strong> 10<br />
<strong>Del</strong> <strong>II</strong> - Databehandler<strong>av</strong>tale Versjon: 0.1<br />
Ders<strong>om</strong> tredjepart eller underleverandør i forbindelse med support eller tilsvarende skal ha<br />
tilgang til systemet, skal det benyttes midlertidige passord eller tilsvarende. Dette skal<br />
endres/sperres umiddelbart når behovet for tilgang opphører.<br />
4.4 Kr<strong>av</strong> til fysisk sikkerhet<br />
Det skal benyttes adgangskontroll med bruk <strong>av</strong> adgangskort med personlig kode eller<br />
tilsvarende. Adgangskontroll til begrensede <strong>om</strong>råder (f.eks drift og serverr<strong>om</strong>) skal være<br />
basert på faktiske behov. Personell s<strong>om</strong> ikke er autoriserte, skal følges. Adgangskontroll med<br />
låste dører gjelder for følgende typer lokaler: datahall/serverr<strong>om</strong>, IT lokaler (drift/support),<br />
lokaler med IT relatert utstyr (koblingsmatriser, svitsjer/rutere), osv.<br />
4.5 Nærmere og tjenestespesifikke kr<strong>av</strong> til informasjonssikkerhet<br />
Nærmere og tjenestespesifikke bestemmelser <strong>om</strong> kr<strong>av</strong> til informasjonssikkerhet er fastsatt i<br />
Tjeneste<strong>av</strong>talens tjenestebeskrivelser.<br />
5 Taushetsplikt<br />
Databehandlers ansatte og andre s<strong>om</strong> opptrer på Databehandlers vegne i forbindelse med<br />
behandling <strong>av</strong> personopplysninger i henhold til denne <strong>av</strong>talen er underlagt taushetsplikt, jf.<br />
helseregisterloven § 15. Det samme gjelder eventuelle underleverandører. Databehandler skal<br />
påse at alle s<strong>om</strong> behandler personopplysninger er kjent med taushetsplikten.<br />
Alle ansatte og andre s<strong>om</strong> opptrer på Databehandlers vegne i forbindelse med behandling <strong>av</strong><br />
personopplysninger skal ha undertegnet taushetserklæring. Bestemmelsen gjelder tilsvarende<br />
for eventuelle underleverandører.<br />
Taushetsplikten gjelder også etter databehandler<strong>av</strong>talens opphør.<br />
Partene plikter å ta de forholdsregler s<strong>om</strong> er nødvendig for å sikre at materiale eller<br />
opplysninger ikke blir gjort kjent for andre i strid med dette punktet.<br />
6 Innsyn og revisjon mv<br />
Databehandlingsansvarlig kan til enhver tid kreve innsyn i Databehandlers behandling <strong>av</strong><br />
personopplysninger for Databehandlingsansvarlig, herunder i dokumentasjon for oppfyllelse<br />
<strong>av</strong> kr<strong>av</strong>ene til informasjonssikkerhet og Databehandlers system for internkontroll. Retten til<br />
innsyn gjelder alle tekniske, organisatoriske og administrative forhold s<strong>om</strong> er relevante for<br />
sikkerheten i tjenesten s<strong>om</strong> leveres Databehandlingsansvarlig.<br />
Databehandlingsansvarlig skal så vidt mulig gi Databehandler rimelig varsel <strong>om</strong> kr<strong>av</strong> <strong>om</strong><br />
innsyn og kontroll, vanligvis med minst 30 dagers varsel. For kr<strong>av</strong> <strong>om</strong> dokumentinnsyn bør<br />
det gis minst 14 dagers varsel. Databehandlingsansvarlig skal medvirke til at innsyn og<br />
kontroll kan koordineres mell<strong>om</strong> flere databehandlingsansvarlige s<strong>om</strong> får levert <strong>tjenester</strong> fra<br />
Databehandler. Databehandleren aksepterer at innsyn og kontroll kan gjenn<strong>om</strong>føres <strong>av</strong><br />
Databehandlingsansvarlig eller den tredjepart Databehandlingsansvarlig måtte velge til<br />
gjenn<strong>om</strong>føring.<br />
Kunde: Sunnaas Sykehus HF <strong>Del</strong> 2 <strong>Avtale</strong> SP <strong>IKT</strong> - Databehandler<strong>av</strong>tale<br />
Leverandør: Sykehuspartner<br />
Parafering: _______ / _______
<strong>Avtale</strong> <strong>om</strong> <strong>leveranse</strong> <strong>av</strong> <strong>IKT</strong>-<strong>tjenester</strong> Side : 9 <strong>av</strong> 10<br />
<strong>Del</strong> <strong>II</strong> - Databehandler<strong>av</strong>tale Versjon: 0.1<br />
Databehandler skal gi Datatilsynet og annen relevant tilsynsmyndighet slik tilgang og innsyn<br />
i behandlingen <strong>av</strong> personopplysninger s<strong>om</strong> følger <strong>av</strong> helseregisterloven og<br />
personopplysningsloven.<br />
Databehandleren skal uten ugrunnet opphold korrigere eventuelle <strong>av</strong>vik. Avvik s<strong>om</strong> skyldes<br />
Databehandleren eller dennes underleverandører skal korrigeres uten kostnad for<br />
Databehandlingsansvarlig. Databehandleren skal skriftlig redegjøre for korrektive tiltak og<br />
plan for gjenn<strong>om</strong>føring.<br />
7 Databehandlerens bruk <strong>av</strong> underleverandører<br />
Databehandler kan ikke benytte underleverandører i forbindelse med behandling <strong>av</strong><br />
personopplysninger uten at det er skriftlig <strong>av</strong>talt med Databehandlingsansvarlig.<br />
Før behandling <strong>av</strong> personopplysninger kan skje hos eventuelle underleverandører, skal<br />
Databehandler ha inngått skriftlig <strong>av</strong>tale med underleverandøren s<strong>om</strong> sikrer oppfyllelse <strong>av</strong><br />
kr<strong>av</strong>ene i denne databehandler<strong>av</strong>talen, herunder kr<strong>av</strong>ene til informasjonssikkerhet og at<br />
Databehandlingsansvarlig og tilsynsmyndigheten har samme innsyn og kontroll med<br />
behandling <strong>av</strong> personopplysningene s<strong>om</strong> de har etter denne databehandler<strong>av</strong>talen.<br />
Databehandler skal sikre at eventuelle underleverandører er kjent med at de er underlagt<br />
lovbestemt taushetsplikt, jf. ovenfor.<br />
Databehandleren skal sikre at eventuelle underleverandører er kjent med Databehandlingsansvarliges<br />
sikkerhetsstrategi og beslutninger med hensyn til akseptabel risiko.<br />
Databehandler er ansvarlig for utførelsen <strong>av</strong> oppg<strong>av</strong>er hos underleverandøren på samme måte<br />
s<strong>om</strong> <strong>om</strong> Databehandler selv stod for utførelsen <strong>av</strong> disse.<br />
8 <strong>Avtale</strong>ns varighet og opphør<br />
<strong>Avtale</strong>n løper fra den er undertegnet og så lenge Databehandler behandler<br />
personopplysninger for Databehandlingsansvarlig i henhold til Tjeneste<strong>av</strong>talen eller annen<br />
tilsvarende <strong>av</strong>tale.<br />
Hvis Tjeneste<strong>av</strong>talen opphører, uten at den <strong>av</strong>løses <strong>av</strong> ny tilsvarende <strong>av</strong>tale, skal<br />
Databehandler <strong>av</strong>slutte behandlingen <strong>av</strong> personopplysningene i henhold til prosedyrene for<br />
<strong>av</strong>slutning <strong>av</strong> <strong>av</strong>talen i punkt 9 nedenfor.<br />
9 Avslutning <strong>av</strong> <strong>av</strong>talen<br />
Når <strong>av</strong>talen opphører skal Databehandler tilrettelegge for overføring (tilbakelevering) <strong>av</strong> alle<br />
opplysninger s<strong>om</strong> Databehandler behandler på vegne <strong>av</strong> Databehandlingsansvarlig og<br />
medvirke til slik overføring. Partene <strong>av</strong>taler nærmere hvordan overføring konkret skal skje.<br />
Etter at personopplysningene er overført til Databehandlingsansvarlig, og bekreftet mottatt <strong>av</strong><br />
denne, skal Databehandler slette opplysningene i sitt system. Kr<strong>av</strong>et til sletting <strong>om</strong>fatter også<br />
Kunde: Sunnaas Sykehus HF <strong>Del</strong> 2 <strong>Avtale</strong> SP <strong>IKT</strong> - Databehandler<strong>av</strong>tale<br />
Leverandør: Sykehuspartner<br />
Parafering: _______ / _______
<strong>Avtale</strong> <strong>om</strong> <strong>leveranse</strong> <strong>av</strong> <strong>IKT</strong>-<strong>tjenester</strong> Side : 10 <strong>av</strong> 10<br />
<strong>Del</strong> <strong>II</strong> - Databehandler<strong>av</strong>tale Versjon: 0.1<br />
sikkerhetskopier <strong>av</strong> personopplysningene fra perioden etter at regulær behandling <strong>av</strong><br />
personopplysningene opphørte. Databehandlingsansvarlig kan kreve at også sikkerhetskopier<br />
<strong>av</strong> personopplysninger fra tidligere perioder overføres til Databehandlingsansvarlig og<br />
deretter slettes hos Databehandler.<br />
Databehandler skal gi Databehandlingsansvarlig skriftlig bekreftelse på at opplysningene er<br />
overført og slettet s<strong>om</strong> angitt ovenfor.<br />
10 Mislighold, sanksjoner og tvisteløsning mv<br />
For Partenes eventuelle midlighold, sanksjoner og prosedyrer for tvisteløsning gjelder<br />
bestemmelsene i Tjeneste<strong>av</strong>talen del I.<br />
11 Partenes kontaktpersoner mv<br />
Partenes kontaktpersoner i forbindelse med meddelelser s<strong>om</strong> gjelder forhold regulert <strong>av</strong><br />
databehandler<strong>av</strong>talen fremgår nedenfor. Meddelelser skal normalt gis skriftlig, eller bekreftes<br />
skriftlig. Partene kan <strong>av</strong>tale at meddelelser kan gis ved hjelp <strong>av</strong> e-post til slik e-postadresse<br />
s<strong>om</strong> er angitt nedenfor.<br />
Kontaktperson/-adresse Databehandlingsansvarlig: …<br />
Kontaktperson/-adresse Databehandler: …<br />
12 Undertegning<br />
Denne <strong>av</strong>talen er undertegnet to eksemplarer, hvor<strong>av</strong> hver part beholder ett eksemplar.<br />
Sted: ………….., den .................<br />
………………………….<br />
Databehandlingsansvarlig (signatur)<br />
(med trykte bokst<strong>av</strong>er)<br />
Stilling:……………………………………..<br />
N<strong>av</strong>n: ………………………………………<br />
…………………………………..<br />
Databehandler (signatur)<br />
(med trykte bokst<strong>av</strong>er)<br />
Stilling: ………………………….<br />
N<strong>av</strong>n: ……………………………<br />
Kunde: Sunnaas Sykehus HF <strong>Del</strong> 2 <strong>Avtale</strong> SP <strong>IKT</strong> - Databehandler<strong>av</strong>tale<br />
Leverandør: Sykehuspartner<br />
Parafering: _______ / _______