Om FHU

1. Databehandleravtalens bakgrunn, formål og definisjoner

1.1. Denne Databehandleravtalen fastsetter rettigheter og plikter for Kunden (Behandlingsansvarlig) og FHU (Databehandler), sammen omtalt som Partene, når FHU behandler personopplysninger på vegne av Kunden i henhold til Avtalen om kliniske studier. Hovedavtalen og Standardvilkårene (inkludert Databehandleravtalen og arbeidsdelingsskjema) utgjør Avtalen mellom FHU og Kundene (heretter benevnt som Avtalen).

1.2. Databehandleravtalen skal sikre at personopplysningene behandles i samsvar med kravene i personopplysningsloven og EUs personvernforordning, samt øvrige lover og forskrifter om behandling av personopplysninger (heretter samlet omtalt Personvernregelverket).

1.3. Databehandleravtalen består av et sett vilkår (heretter omtalt som Vilkårene) i dette dokumentet og vedlegg A, B og C (heretter felles omtalt som Vedleggene). Vedleggene utgjør en integrert del av Databehandleravtalen.

1.4. Vedlegg A inneholder nærmere opplysninger om behandlingen av personopplysninger som skal finne sted, herunder om behandlingens art og formål, typen av personopplysninger, kategorier av registrerte og behandlingens varighet.

1.5. Vedlegg B angir hvilke eksterne aktører FHU utveksler personopplysninger med for å ivareta sine forpliktelser etter denne avtalen, eller rettslige forpliktelser som påhviler FHU.

1.6. Vedlegg C inneholder spesifikke instrukser for FHUs behandling av personopplysninger på vegne av Kunden.

1.7. Databehandleravtalen setter minstekrav til behandling av personopplysninger som Partene ikke kan avtale seg bort i fra.

1.8. For personvernbegreper som ikke er definert i denne Databehandleravtalen gjelder definisjonene i EUs personvernforordning.

2. Kundens rettigheter og plikter

2.1. Kunden er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med Personvernregelverket. Kunden skal i den forbindelse særskilt sørge for at:

• behandlingen av personopplysninger er formålsbestemt og basert på et gyldig rettsgrunnlag;
• de registrerte har mottatt nødvendig informasjon om behandlingen av personopplysningene;
• Kunden har gjennomført tilstrekkelige risikovurderinger; og
• Kunden skal sørge for at det til enhver tid foreligger tilstrekkelige instrukser og informasjon for at FHU kan oppfylle sine plikter i henhold til denne databehandleravtalen og gjeldende personvernregelverk.

3. FHUs rettigheter og plikter

3.1. FHU er ansvarlig for å sikre at behandlingen av personopplysninger skjer i overensstemmelse med relevante bestemmelser i Personvernregelverket jf. Personvernforordningen artikkel 28-30.

3.2. FHU skal bare behandle personopplysninger etter dokumenterte instrukser fra Kunden, med mindre noe annet kreves av unionsretten eller medlemsstatenes nasjonale rett. Disse instruksene skal være spesifisert i Vedleggene.

3.3. Hvis annen behandling er nødvendig for å oppfylle forpliktelser som FHU er underlagt i henhold til gjeldende rett, skal FHU underrette Kunden så langt dette er tillat ved lov, jf. personvernforordningen artikkel 28 nr. 3 bokstav a.

3.4. Eventuelle endringer i protokoll skal varsles til FHU og skal komme frem av Appendix 1 i Hovedavtalen. Om ingen konkret frist er avtalt, skal dette skje innen rimelig tid. FHU kan kreve, etter dialog med Kunden at Kunden dekker dokumenterte kostnader som påløper i forbindelse med implementering av endringer forårsaket av nye instrukser. Det samme gjelder merkostnader som følge av endring av Personvernregelverket som gjelder kundens virksomhet.

3.5. FHU skal omgående underrette Kunden dersom FHU mener at en instruks er i strid med Personvernregelverket, bestemmelser i unionsretten eller medlemsstatenes nasjonale rett.

4. Konfidensialitet og taushetsplikt

4.1. FHU skal sikre at ansatte og andre som har tilgang til Kundens personopplysninger er autorisert til å behandle slike personopplysninger på Kundens vegne. Dersom slik autorisasjon utløper eller trekkes tilbake, skal tilgangen til personopplysningene opphøre uten ugrunnet opphold.

4.2. Kun personer som er under FHUs instruksjonsmyndighet, og som er forpliktet til konfidensialitet eller lovbestemt taushetsplikt, skal ha tilgang til personopplysninger, og kun i den utstrekning vedkommende har tjenstlig behov.

4.3. FHU skal påse at tilgangen til personopplysningene stenges for ansatte og andre som ikke lenger har behov for slik tilgang.

4.4. FHU skal sikre at personer som er autorisert til å behandle personopplysninger på vegne av Kunden er underlagt taushetsplikt gjennom avtale eller lov og kjenner de spesielle krav som følger av Kundens instrukser. Taushetsplikten skal bestå også etter avtalens og/eller ansettelsesforholdets opphør.

4.5. FHU har en policy for at ansatte og andre med tilgang er autorisert og underlagt ovennevnte taushetsplikt.

4.6. Ved opphør av databehandlerforholdet plikter FHU å avvikle alle tilganger til personopplysninger som behandles under avtalen.

5. Sikkerhet ved behandlingen

5.1. I tråd med personvernforordningen artikkel 32 skal Kunden og FHU iverksette egnede tekniske og organisatoriske tiltak for å oppnå et tilfredsstillende sikkerhetsnivå. Det skal i den forbindelse ses hen til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter. FHU skal som et minimum iverksette de tiltak som er spesifisert i Vedlegg C.

5.2. Kunden skal vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør og gjennomføre tiltak for å imøtegå disse risikoene.

5.3. Ifølge personvernforordningen artikkel 32 skal FHU på selvstendig grunnlag vurdere risikoene for fysiske personers rettigheter og friheter som behandlingen utgjør, samt gjennomføre tiltak for å imøtegå risikoene. Kunden skal stille den nødvendige informasjonen til rådighet for FHU som gjør vedkommende i stand til å identifisere og vurdere slike risikoer.

5.4. FHU skal bistå Kunden med å overholde Kundens plikter etter personvernforordningen artikkel 32, herunder ved å stille til rådighet nødvendig informasjon om de gjennomførte tekniske og organisatoriske sikkerhetstiltakene, samt all annen informasjon som er nødvendig for at Kunden skal kunne overholde sine plikter.

6. Bruk av Underdatabehandlere

6.1. FHU skal oppfylle betingelsene som er fastsatt i personvernforordningen artikkel 28 nr. 2 og nr. 4 for bruk av Underdatabehandlere.

6.2. FHU skal kun engasjere Underdatabehandlere som gjennomfører egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene etter Personvernregelverket. FHU skal gjennomføre kontroller av Underdatabehandlere for å verifisere at tilfredsstillende tiltak er iverksatt.

6.3. FHU benytter Underdatabehandlere for å oppfylle Avtalen med Kunden. I de tilfellene FHU benytter seg av Underdatabehandlere til behandling av personopplysninger, skal FHU inngå en skriftlig avtale med Underdatabehandleren, og sikre at Underdatabehandleren påtar seg tilsvarende forpliktelser som FHU selv er underlagt etter denne databehandleravtalen.

6.4. Underdatabehandlere skal kun behandle personopplysninger i samsvar med denne Databehandleravtalen og ikke i større utstrekning eller lengre varighet enn det som er nødvendig for å oppfylle den aktuelle tjenesten som underleverandøren leverer.

6.5. FHU plikter å forelegge avtaler med Underdatabehandlere for Kunden på forespørsel. Dette gjelder likevel bare de delene av avtalen som er relevant for behandlingen av personopplysningene og med de begrensninger som eventuelt måtte følge av lov eller forskrift. Rent kommersielle vilkår kan uansett ikke kreves fremlagt.

6.6. FHU kan inngå avtaler med nye Underdatabehandlere etter behov. Kunden skal motta en underretning innen rimelig tid før endringen trer i kraft. Kunden skal ha mulighet for å motsette seg endringene med en saklig begrunnelse. Dersom Behandlingsansvarlig motsetter seg endringer i bruken av Underdatabehandlere etter Databehandleravtalens Bilag B punkt B.1 skal Partene i god tro forhandle med sikte på å enes om en rimelig løsning på hvordan videre levering av tjenestene under Hovedavtalen skal gjennomføres, herunder om fordeling av eventuelle kostnader mellom Partene.

6.7. Kunder av FHU godkjenner samtlige av FHUs underleverandører som beskrevet på våre nettsider. En utvidet beskrivelse av FHUs underleverandører kan sendes til Kunden på forespørsel.

6.8. Hvis underdatabehandleren ikke oppfyller sine forpliktelser etter personvernregelverket, blir FHU fullt ut ansvarlig overfor Kunden. Dette påvirker ikke de registrertes rettigheter etter personvernforordningen, særlig de nedfestet i personvernforordningen artikkel 79 og 82.

7. Overføring til tredjeland eller internasjonale organisasjoner

7.1. FHU overfører ikke personopplysninger til land utenfor EU/EØS-området («tredjeland») eller internasjonale organisasjoner med mindre det foreligger skriftlig instruks fra Kunden og vilkårene i punkt 7.3 er oppfylt. Slik overføring skal alltid skje i overensstemmelse med personvernforordningen kapittel V. Som overføring regnes blant annet å:

• utlevere personopplysninger til en behandlingsansvarlig eller databehandler i et tredjeland eller til en internasjonal organisasjon,
• overlate behandling av personopplysninger til en underdatabehandler i et tredjeland, eller;
• behandle personopplysningene i datasentre o.l. som er lokalisert i tredjeland eller av personell som er lokalisert i et tredjeland (ved fjerntilgang)

7.2. FHU kan likevel overføre personopplysninger dersom det kreves i henhold til unionsretten eller nasjonal rett. I slike tilfeller skal FHU underrette Kunden om nevnte rettslige krav før overføringen finner sted, med mindre gjeldende rett forbyr en slik underretning av hensyn til viktige allmenne interesser.

7.3. Overføring til tredjeland eller internasjonale organisasjoner kan kun finne sted dersom det foreligger nødvendige garantier for et tilstrekkelig beskyttelsesnivå for personvern i henhold til Personvernregelverket. Med mindre annet er avtalt mellom Partene kan slik overførsel kun finne sted med grunnlag i:
a. en av EU-kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå i henhold til personvernforordningen artikkel 45; eller
b. en Databehandleravtale som inkorporerer standard personvernbestemmelser som angitt i personvernforordningen artikkel 46 (2) (c) eller (d) Standard Contractual Clauses (SCC); eller
c. En juridisk bindende og håndhevbar avtale mellom offentlige myndigheter som angitt i personvernforordningen artikkel 46 (2) (a)

8. Bistand til Kunden

8.1. FHU skal på forespørsel bistå Kunden med å svare på anmodninger fra de registrerte med henblikk på å utøve rettigheter fastsatt i personvernforordningen kapittel III. FHU skal yte slik bistand ved hjelp av egnede tekniske og organisatoriske tiltak, i den utstrekning det er mulig og hensiktsmessig sett hen til karakteren og omfanget av behandlingen av personopplysninger under Avtalen. FHU skal, så langt det er mulig, bistå Kunden med dens oppfyllelse av:

• opplysningsplikten ved innsamling av personopplysninger fra den registrerte
• opplysningsplikten dersom personopplysninger ikke er blitt samlet inn fra den registrerte
• den registrertes rett til innsyn
• retten til retting
• retten til sletting («retten til å bli glemt»)
• retten til begrensning av behandling
• underretningsplikten i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling
• retten til dataportabilitet
• retten til å protestere
• retten til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisk behandling, herunder profilering

8.2. FHU skal uten ugrunnet opphold videresende alle henvendelser som FHU eventuelt mottar fra den registrerte vedrørende den registrertes rettigheter i henhold til Personvernregelverket til Kunden. Slike henvendelser kan kun besvares av FHU når dette er skriftlig godkjent av Kunden.

8.3. FHU skal på forespørsel, idet det tas hensyn til behandlingens art og den informasjonen som er tilgjengelig for FHU, bistå Kunden med:

• Kundens forpliktelse til, ved brudd på personopplysningssikkerheten, å melde bruddet på personopplysningssikkerheten til Datatilsynet, uten ugrunnet opphold og, når det er mulig, senest 72 timer etter å ha fått kjennskap til det. Dette gjelder med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter.
• Kundens forpliktelse til uten ugrunnet opphold å underrette den registrerte om bruddet på personopplysningssikkerheten når det er sannsynlig at bruddet vil medføre en høy risiko for fysiske personers rettigheter og friheter.
• Kundens forpliktelse til, før behandlingen, å foreta en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet (vurdering av personvernkonsekvenser).
• Kundens forpliktelse til å rådføre seg med Datatilsynet, før behandlingen dersom en vurdering av personvernkonsekvenser tilsier at behandlingen vil medføre en høy risiko dersom Kunden ikke treffer tiltak for å redusere risikoen.

8.4. Dersom FHU på Kundens forespørsel yter bistand som nevnt i punkt 8.1 og 8.3, og bistanden går ut over det som er nødvendig for at FHU skal oppfylle sine egne forpliktelser etter Personvernregelverket, kan FHU kreve dekket sine dokumenterte kostnader knyttet til bistanden. Ved behov for konsulentbistand til slike forespørsler viderefaktureres Kunden uten påslag. Dette skjer kun etter avtale med Kunden.

9. Underretning om brudd på personopplysningssikkerheten

9.1. Ved kjennskap til brudd på personopplysningssikkerheten skal FHU uten ugrunnet opphold underrette Kunden skriftlig, slik at Kunden kan overholde sin forpliktelse til å melde bruddet til Datatilsynet, jf. personvernforordningen artikkel 33.

9.2. FHU skal bistå Kunden med å melde bruddet til Datatilsynet. Det innebærer at FHU skal bistå med å fremskaffe informasjon listet opp nedenfor, som ifølge personvernforordningen artikkel 33 nummer 3 skal fremgå av Kundens melding av bruddet til Datatilsynet. FHU skal så langt mulig:

• beskrive arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt
• beskrive de sannsynlige konsekvenser av bruddet på personopplysningssikkerheten
• beskrive de tiltak som FHU har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.

9.3. FHU plikter å gjennomføre alle de tiltak som med rimelighet kan kreves for å utbedre og unngå tilsvarende brudd på personopplysningssikkerheten.

9.4. Kunden er ansvarlig for å underrette Datatilsynet og de berørte registrerte om brudd på personopplysningssikkerheten. FHU skal ikke informere tredjeparter om brudd på personopplysningssikkerheten med mindre noe annet er påkrevd etter gjeldende rett eller det følger av uttrykkelig skriftlig instruks fra Kunden.

10. Sletting og returnering av opplysninger

10.1. Ved opphør av Databehandleravtalen skal FHU slette eller tilbakelevere alle personopplysninger som er blitt behandlet på vegne av Kunden og bekrefte overfor Kunden at opplysningene er slettet, med mindre unionsretten eller medlemsstatenes nasjonale rett krever oppbevaring av personopplysningene. Dette gjelder også eventuelle sikkerhetskopier. FHU vil gå i dialog med Kunden for å ta en vurdering av hva som vil være mest fordelaktig.

10.2. Nærmere bestemmelser om sletting og tilbakelevering fremgår av bilag C.

10.3. FHU skal bekrefte skriftlig overfor Kunden at sletting er foretatt og skal på forespørsel dokumentere hvordan det er gjennomført.

11. Revisjon

11.1. FHU skal på forespørsel stille til Kundens disposisjon all informasjon som er nødvendig for å påvise etterlevelse av forpliktelsene etter personvernforordningen artikkel 28 og disse Vilkårene. Dette også gjelder protokollen, jf. personvernforordningen artikkel 30 nr. 2.

11.2. FHU forplikter seg til å gi tilsynsmyndighetene, som etter gjeldende lovgivning har tilgang til Kundens eller FHUs lokaler, eller representanter som opptrer på slike tilsynsmyndigheters vegne, adgang til FHUs fysiske lokaler ved presentasjon av behørig legitimasjon.

11.3. Dersom en revisjon avdekker avvik fra forpliktelsene i Personvernregelverket eller Databehandleravtalen, skal FHU så snart som mulig utbedre avviket. Kunden kan kreve at FHU midlertidig stopper hele eller deler av behandlingsaktivitetene frem til utbedringen er godkjent av Kunden.

12. Brudd og pålegg om stans

12.1. Ved brudd på Databehandleravtalen og/eller Personvernregelverket, kan Kunden og aktuelle tilsynsmyndigheter pålegge FHU å stoppe hele eller deler av behandlingen av opplysningene med øyeblikkelig virkning.

13. Ikrafttredelse og opphør

13.1. Databehandleravtalen trer i kraft fra signering av tjenesteavtalen for hver enkel Kunde.

13.2. Hvis FHU vurderer at det er nødvendig å gjøre endringer i Databehandleravtalen som følge av lovendringer eller uhensiktsmessigheter i Databehandleravtalen, vil FHU gjøre Kunden oppmerksom på dette.

13.3. Databehandleravtalen gjelder så lenge FHU behandler personopplysninger på vegne av Kunden. I denne perioden kan Vilkårene ikke sies opp, med mindre partene avtaler andre vilkår som regulerer levering av databehandlertjenestene. Den gjelder også for eventuelle personopplysninger som måtte finnes hos FHU eller noen av FHUs Underdatabehandler etter Avtalens opphør.

13.4. Databehandleravtalen kan ikke sies opp så lenge Avtalen består med mindre den avløses av en ny databehandleravtale.

Vedlegg A Opplysninger om behandlingen

Formålet
Formålet med FHUs behandling av personopplysninger på vegne av Kunden er å innhente og overlevere rådata innsamlet i kliniske og desentraliserte studier.

FHUs behandling av personopplysninger på vegne av Kunden (behandlingens art):

Utføring av oppdrag fra Kunden herunder:

• Innsamling
• Registrering
• Organisering og strukturering
• Prosessering
• Lagring
• Utlevering ved overføring og andre former for tilgjengeliggjøring
• Sammenstilling
• Sletting

Behandlingen omfatter følgende typer av personopplysninger om de registrerte:

Grunnlagsdata: Navn, adresse, fødselsnummer, e-post, telefonnummer og brukernavn. Kontaktinformasjon til pårørende.
Øvrig: CV og kursbevis for Kundens ansatte og andre engasjerte medarbeidere.

Særlige kategorier av personopplysninger: Enhver opplysning innsamlet i kliniske studier, herunder helseopplysninger, genetiske opplysninger, opplysninger om seksuelle forhold, opplysninger om seksuell legning, opplysninger om rasemessig eller etnisk opprinnelse, som Kunden vurderer er nødvendig og relevant for studien.

Særlige kategorier av personopplysninger, slik de er definert i artikkel 9, behandles fordi de de er vurdert av Kunden som nødvendig for formål knyttet til vitenskapelig forskning.

Behandlingen omfatter følgende kategorier av registrerte:

Kundens ansatte og deltakere i kliniske studier er de som omtales som de registrerte i denne Databehandleravtalen.

Vedlegg B – Utveksling av opplysninger

Følgende er en fremstilling av hvilke aktører det kan deles personopplysninger med:

Vedlegg C – Instruks

Følgende behandlinger omfattes av Avtalen, se også nærmere i arbeidsdelingsskjema:

a. Sikkerhet ved behandlingen

Angivelse av sikkerhetsnivå

Ut fra en vurdering av omfanget av personopplysninger som blir behandlet, typen opplysninger og karakteren av behandlingen er det basert på en konkret risikovurdering fastsatt at behandlingen:

Krever et høyt sikkerhetsnivå. Begrunnelse:

FHU leverer en rekke ulike tjenester innen utføring av kliniske studier. Spesielt brudd innen konfidensialitet kan potensielt gi store konsekvenser. Det er gjort risikovurdering på ulike områder som til sammen gir FHU grunnlag for å vurdere at dette krever høyt sikkerhetsnivå.

På grunn av totaliteten av tjenestene er det i denne sammenheng vurdert at det er høyt sikkerhetsnivå, men dette innebærer ikke at alle tjenestene er underlagt høyt sikkerhetsnivå.

FHUs underleverandører må ha et høyt sikkerhetsnivå med minst følgende krav til informasjonssikkerhet:

• Lagringsområder innenfor EU/EØS
• Kryptering (minimum TLS 1.2) ved lagring og overføring
• Følger gjeldende regelverk for GDPR
• Tilgangsstyring og brukerhåndtering
• Logging av brukeraktivitet og servicepersonellaktivitet
• Brannmur
• Regelmessig sikkerhetskopiering
• To-faktor pålogging
• Data lagres på eget domene

Du kan lese mer om våre underleverandørers informasjonssikkerhet her: EasyTrial Security of data | EasyTrial.net og SurveyXact: GDPR (rambollxact.no).

Styringsinformasjon for informasjonssikkerhet

Databehandleren har et egnet styringssystem for informasjonssikkerhet - UiBs Styringssystem for Informasjonssikkerhet og personvern (SIP). Databehandleren skal etablere og forvalte tilstrekkelige sikkerhetstiltak for å ivareta informasjonssikkerheten for behandling av personopplysningene.

b. Dokumentasjon

Databehandler skal dokumentere de rutiner og tiltak som er iverksatt for å oppfylle kravene som fremkommer av Gjeldende personvernregler og Databehandleravtalen. Slik dokumentasjon skal oppbevares og ajourholdes så lenge Databehandleravtalen består, og gjøres tilgjengelig for Kunden eller tilsynsmyndigheter på forespørsel.

c. Rutiner for revisjon og tilsyn

For å kontrollere etterlevelse av Gjeldende personvernregler og Databehandleravtalen er det avtalt følgende:

Databehandleren vil årlig rapportere på etterlevelse av sine plikter i henhold til Databehandleravtalen, herunder statusrapporter, deling av informasjon fra relevante internrevisjonsrapporter og eventuelle eksterne tredjepartsattestasjoner.

Rapportene vil fremlegges for Kunden på forespørsel.

Databehandler vil i tillegg gi slik informasjon og bistand som er nødvendig for at Kunden kan etterleve sine forpliktelser etter gjeldende personvernregelverk.

Kunden har adgang til å be om at det gjennomføres revisjon hos databehandler én gang i året. Utgifter til slik revisjon etter krav fra enkeltkunder,  som kommer i tillegg til årlig rapportering fra Databehandleren, skal dekkes av Kunden.

d. Sletting og tilbakelevering av personopplysninger ved avtalens opphør

Alle personopplysninger skal tilbakeleveres til kunde ved opphør av en avtale og kunden vil få komplette datasett av sine data.

Personopplysninger skal slettes innen ett år etter opphør av Hovedavtalen. Dette samme gjelder eventuell annen relevant informasjon som forvaltes på vegne av Kunden.

Da kan du sende en epost til Personvernombudet ved UiB eller Personvernombudet i Helse Bergen, eller søke informasjon på Datatilsynets nettsider.