Elevaid
Tillæg til samarbejdsaftalen
Baggrund og formål
Samarbejdsaftalen beskriver betingelserne for brug af Elevaids elevrådgivning.
Formålet med elevrådgivningen er at tilbyde udvalgte elever på skolen hjælp og værktøjer til at håndtere trivselsrelaterede problemer.
Elevrådgivningens karakter og målgruppe
Elevaid tilbyder terapi og rådgivning til elever med sociale og personlige udfordringer af mildere karakter. Dette omfatter bl.a. angst, sociale fobier, præstationsangst, manglende skolelyst, manglende motivation eller lignende. Elevaid leverer ikke behandling af nogen art, herunder af kliniske psykiske lidelser eller lignende.
Elevaid og skolen vil være i tæt dialog om målgruppen og visitation af elever inden for denne. Målet er at sikre det rette match mellem elevernes udfordringer og den hjælp Elevaid kan tilbyde.
Såfremt en elev med alvorlige psykiske lidelser bliver sat i kontakt med Elevaid, vil Elevaid henvise eleven til praktiserende læge og afslutte forløbet. Elevaid oplyser skolen om afslutningen af forløbet, men ikke om den konkrete årsag, medmindre eleven har givet samtykke hertil.
Akutte elevhenvendelser
I tilfælde af at elever henvender sig til Elevaid med akutte nøds- eller krisesituationer (fx med selvmordstanker, tanker om selvskade eller lign.) henviser Elevaid til Livslinien på tlf. 70 201 201. Retningslinjer herfor og kontaktoplysninger til akut hjælp fremgår også af Elevaids hjemmeside www.elevaid.dk.
Elevaid har ikke en akuttelefon og det er kun muligt at kontakte Elevaid inden for de åbningstider, som fremgår af hjemmesiden.
Tillæg til databehandleraftalen
Baggrund for aftalen
Databehandlerens behandling af personoplysninger sker med henblik på opfyldelse af parternes ’hovedaftale’ om rådgivning af elever, som henvises af den dataansvarlige.
Databehandleraftalen og ’hovedaftalen’ er indbyrdes afhængige, og kan ikke opsiges særskilt. Databehandleraftalen kan dog – uden at opsige ’hovedaftalen’ – erstattes af en anden gyldig databehandleraftale.
Der hører tre bilag til denne aftale, og bilagene er en integreret del af aftalen.
- Bilag A indeholder oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
- Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den dataansvarlige har godkendt brugen af.
- Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
Aftalen med bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
Aftalen frigør ikke databehandleren fra forpligtelser, som databehandleren er pålagt efter databeskyttelsesforordningen eller anden lovgivning.
Den dataansvarliges rettigheder og forpligtelser
Den dataansvarlige er ansvarlig for, blandt andet, at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.
Databehandleren handler efter instruks
Den dataansvarliges instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestemmelser.
Fortrolighed
Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
Behandlingssikkerhed
Databehandleren og den dataansvarlige iværksætter alle foranstaltninger, som kræves i henhold til databeskyttelsesforordningens art. 32.
Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
- Pseudonymisering og kryptering af personoplysninger
- evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
- evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
- en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Efter forordningens artikel 32 skal databehandleren – uafhængigt af den dataansvarlige – også vurdere risiciene for fysiske personers rettigheder som behandlingen udgør og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici.
Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32, ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32.
Hvis imødegåelse af de identificerede risici – efter den dataansvarliges vurdering – kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.
Anvendelse af underdatabehandlere
Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere. Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af bilag B.
Databehandleren er ansvarlig for at kræve, at underdatabehandleren som minimum overholder databehandlerens forpligtelser efter denne aftale og databeskyttelsesforordningen.
Databehandleren skal i sin aftale med underdatabehandleren indføje den dataansvarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs, således at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gældende over for underdatabehandlere, som f.eks. gør den dataansvarlige i stand til at instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne.
Overførsel til tredjelande eller internationale organisationer
Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
Uden dokumenteret instruks fra den dataansvarlige må databehandleren således ikke inden for rammerne af denne aftale:
- overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation
- overlade behandling af personoplysninger til en underdatabehandler i et tredjeland
- behandle personoplysningerne i et tredjeland.
Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.
Bistand til den dataansvarlige
I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til afsnittet om behandlingssikkerhed bistår databehandleren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, den dataansvarlige med:
- den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder
- den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder
- den dataansvarliges forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse)
- den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed, Datatilsynet, inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.
Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af afsnittet om bistand til den dataansvarlige.
Revision, herunder inspektion
Den nærmere procedure herfor fremgår af denne aftales Bilag C.
Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databehandleren og underdatabehandlere er nærmere angivet i Bilag C.6. og C.7.
Parternes aftale om andre forhold
Parterne kan aftale andre bestemmelser vedrørende ydelserne. I så fald skal disse aftaler fremgå af ’hovedaftalen’.
Ikrafttræden og ophør
Bestemmelserne træder i kraft på datoen for begge parters underskrift heraf.
Hvis levering af ydelserne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den dataansvarlige i overensstemmelse med aftalens afsnit om sletning og returnering af oplysninger og Bilag C.4, kan aftalen opsiges med skriftligt varsel af begge parter.
Bilag A - Oplysninger om behandlingen
A.1. Formålet med databehandlerens behandling af personoplysninger på vegne af den dataansvarlige
Rådgivning af elever henvist af den dataansvarlige.
A.2. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige drejer sig primært om (karakteren af behandlingen)
Behandling af personoplysninger om den dataansvarliges henviste elever (navn, klasse, e-mailadresse, telefonnummer) og henvisningsårsag i forbindelse med personlig rådgivning.
A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede
- Navn
- E-mailadresse
- Telefonnummer
- Årsag til henvisningen til samtale
A.4. Behandlingen omfatter følgende kategorier af registrerede
Databehandleren behandler personoplysninger om elever, der er indskrevet i skoleforløb hos den dataansvarlige og som er henvist til elevrådgivning.
A.5. Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter denne aftale. Behandlingen har følgende varighed:
Oplysninger slettes senest 1 år efter afslutning af rådgivningsforløbet.
Oplysninger til brug for administration og regnskaber opbevares så længe regnskabsreglerne kræver det. Det er op til 6 år.
Bilag B - Underdatabehandlere
B.1. Godkendte underdatabehandlere
Ved aftalens ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandlere:
EasyPractice ApS (Terapeut Booking)
CVR 35642536
Strandlodsvej 44, 3. sal, 2400 København S
Terapeutbooking anvendes som underdatabehandler til henviste elevers tidsbestilling, invitation til samtaler, rådgiverens journalisering af samtalenoter og opbevaring af samtykke fra eleven.
Ved aftalens ikrafttræden har den dataansvarlige godkendt brugen af ovennævnte underdatabehandlere for den beskrevne behandlingsaktivitet.
Databehandleren må ikke – uden den dataansvarliges skriftlige godkendelse – gøre brug af en underdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller gøre brug af en anden underdatabehandler til denne behandlingsaktivitet.
Bilag C - Instruks vedrørende behandling af personoplysninger
C.1. Behandlingens genstand/instruks
Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:
Online rådgivning af de af den dataansvarlige henviste elever.
C.2. Behandlingssikkerhed
Sikkerhedsniveauet skal afspejle at behandlingen omfatter en større mængde almindelige personoplysninger og personoplysninger omfattet af databeskyttelsesforordningens artikel 9 om ”særlige kategorier af personoplysninger”, hvorfor der skal etableres et ”højt” sikkerhedsniveau.
Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der skal gennemføres for at etablere det nødvendige (og aftalte) sikkerhedsniveau.
Databehandleren skal dog – under alle omstændigheder og som minimum – gennemføre følgende foranstaltninger, som er aftalt med den dataansvarlige:
Alle personoplysninger opbevares og behandles i et system, Terapeut Booking, der drives af et dansk selskab (se bilag B) og som er beregnet til at behandle klientdata for psykolog-praksis mv. Der er etableret 2-faktor log in. Rådgiverne har alene adgang til data om de elever, som de rådgiver. Online rådgivning foretages af rådgivere, der er instrueret om, at samtalerne finder sted i et separat lokale.
De almindelige personoplysninger opbevares således på centraliseret og beskyttet vis og der er taget højde for dataminimering og begrænsning af adgang til både almindelige personoplysninger og følsomme personoplysninger.
Databehandlerens medarbejdere er underlagt krav om fortrolighed og tavshedspligt.
Databehandleren har indgået databehandleraftaler med underdatabehandlere herunder også i forhold til software og systemer.
I tilfælde af en fysisk eller teknisk hændelse, har databehandleren mulighed for at genoprette tilgængeligheden af og adgangen til personoplysninger via back up.
Effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden testes og afprøves regelmæssigt, og mindst en gang årligt, i samarbejde med databehandlerens underdatabehandlere.
Transmission af personoplysninger fra databehandleren sker via krypteret mail.
Overførsel af personoplysninger til usikre tredjelande finder ikke sted.
C.3 Bistand til den dataansvarlige
Databehandleren skal så vidt muligt – inden for det nedenstående omfang og udstrækning – bistå den dataansvarlige i overensstemmelse med aftalens afsnit om bistand til den dataansvarlige gennemføre følgende tekniske og organisatoriske foranstaltninger:
Oplysning om antal elever under forløb, antal gennemførte samtaler, sletning af specifikke persondata.
C.4 Opbevaringsperiode/sletterutine
Personoplysningerne opbevares hos databehandleren, indtil den dataansvarlige anmoder om at få oplysningerne slettet eller tilbageleveret.
Oplysninger slettes senest 1 år efter afslutning af rådgivningsforløbet.
C.5 Lokalitet for behandling
Databehandlerens ydelser er online-tjenester og derfor ikke knyttet til en specifik lokalitet.
C.6 Procedure for den dataansvarliges tilsyn med behandlingen af personoplysninger, som foretages af databehandleren
Den dataansvarlige eller en repræsentant for den dataansvarlige har adgang til at føre tilsyn, herunder fysisk tilsyn, hos databehandleren, når der efter den dataansvarliges vurdering opstår et behov herfor.
Den dataansvarliges eventuelle udgifter i forbindelse med et fysisk tilsyn afholdes af den dataansvarlige selv. Databehandleren er dog forpligtet til at afsætte de ressourcer (hovedsageligt den tid), der er nødvendig for, at den dataansvarlige kan gennemføre sit tilsyn.
C.7 Procedure for tilsyn, herunder inspektioner, med behandling af personoplysninger, som foretages hos underdatabehandlere
Databehandleren eller en repræsentant for databehandleren har adgang til at føre tilsyn, herunder fysisk tilsyn, hos underdatabehandleren, når der efter databehandlerens (eller den dataansvarliges) vurdering opstår et behov herfor.
Dokumentation for de afholdte tilsyn sendes snarest muligt til orientering hos den dataansvarlige.