Databehandleravtale

Databehandleravtale

I henhold til helseregisterlovens § 16, jf. § 18 og personopplysningsforskriftens kapittel 2 gjelder denne databehandleravtalen mellom kunden som databehandlingsansvarlig og Infopad AS som databehandler.

1. Avtalens hensikt

Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den databehandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.

2. Databehandlers plikter

Databehandler skal følge de rutiner og instrukser for behandlingen som avtalepartene til en hver tid blir enig om at skal gjelde.

Databehandler plikter å gi databehandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at databehandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.

Databehandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.

Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.

Databehandler plikter å følge Norm for informasjonssikkerhet for helse–, omsorg– og sosialsektoren.

4. Bruk av underleverandør

Databehandler benytter seg av HostNordic som leverandør av serverpark og Intellicom som partner innen systemutvikling. HostNordic har ingen tilgang til databasene eller data som befinner seg på serveren til Infopad. Intellicom har de samme taushets– og konfidalitetskrav som Infopad sine egne ansatte.

Denne avtalen er således gjeldende både for databehandler og underleverandører.

5. Sikkerhet

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig helseregisterlovens §§ 16 – 18 og personopplysningsforskriftens kap. 2 og 3. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på databehandlingsansvarliges forespørsel.

Avviksmelding etter personopplysningsforskriftens § 2–6 skal skje ved at databehandler melder avviket til databehandlingsansvarlig. Databehandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.

6. Sikkerhetsrevisjoner

Det utføres kontinuerlig gjennomgang og revisjon av de systemene som brukes, og Databehandler plikter til enhver tid å tilstrebe oppdaterte sikkerhetsrutiner.

7. Avtalens varighet

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av databehandlingsansvarlig.

Ved brudd på denne avtale eller personopplysningsloven kan databehandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

Avtalen kan sies opp av begge parter med en gjensidig frist på 3 mnd.

8. Ved opphør

Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den databehandlingsansvarlige og som omfattes av denne avtalen.

Databehandler skal slette eller forsvarlig destruere alle dokumenter og alle data, som inneholder opplysninger som omfattes av avtalen hvis dette kreves av databehandlingsansvarlig. Dette gjelder også for eventuelle sikkerhetskopier.

Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.

9. Lovvalg og verneting

Avtalen er underlagt norsk rett og partene vedtar Salten tingrett som verneting. Dette gjelder også etter opphør av avtalen.