Hopp til hovedinnhold

Tips noen om denne nettsiden


Laster
* Du må skrive inn 2 gyldige e-postadresser * Ugyldige felter er fylt ut, mail sendes ikke.
Ditt tips er sendt
Det oppstod en uventet feil. Vennligst forsøk på nytt senere
Lukk

Databehandleravtale om behandling av personopplysninger

Denne veilederen med tilhørende maler skisserer hovedmomentene i databehandleravtaler etter personopplysningsloven.

Innhold

Forutsetninger og avklaringer

Minimumskrav for databehandleravtaler


1. Angi formålet med behandlingen
2. Beskriv hvordan personopplysningene skal behandles
3. Bruk av underlevererandører skal reguleres i avtalen
4. Ivareta den registrertes rettigheter
5. Avtalen må pålegge databehandleren å ha tilfredsstillende informasjonssikkerhet
6. Avtalens varighet må avtales

Vedlegg – Avtaleskisser til databehandleravtaler:


Forutsetninger og avklaringer

Hvis en virksomhet setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, benyttes det såkalte databehandlere. Forholdet mellom en behandlingsansvarlig virksomhet og databehandleren skal være regulert i en avtale – databehandleravtale. Dette reguleres av personopplysningsloven § 13, jf. § 15.

En databehandleravtale kan være en frittstående avtale mellom partene, eller en integrert del av annet avtaleverk. En databehandler kan ikke behandle personopplysninger på en annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Den behandlingsansvarlige skal forsikre seg om at databehandleren har tilstrekkelig sikkerhetsnivå, jf. personopplysningsloven § 15. For mer informasjon, se temasidene om internkontroll og informasjonssikkerhet.

Behandling av sensitive personopplysninger vil antagelig kreve en mer detaljert avtale enn en avtale om et enkeltstående faktureringsoppdrag. Videre vil detaljeringsgraden variere fra helt grunnleggende krav til klart spesifiserte tiltak for eksempel når det gjelder informasjonssikkerhet.

Begreper

Behandlingsansvarlig:

  • er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, jf. personopplysningslovens § 2 nr. 4.
  • har ansvaret for at opplysninger behandles i henhold til de krav som personopplysningsloven oppstiller

En behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.

Databehandler:

  • er den som behandler personopplysninger på vegne av den behandlingsansvarlige, jf. personopplysningslovens § 2 nr. 5
  • har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av behandlingsansvarlige jf. personopplysningslovens § 13
  • skal bare behandle personopplysninger i henhold til avtale med den behandlingsansvarlige

Den som fungerer som databehandler vil ha selvstendig ansvar for personopplysninger som behandles på egne vegne, eksempelvis opplysninger om egne ansatte.

Eksempler på parter: Behandlingsansvarlig eller databehandler?

  • Når en kommune eller bedrift kjøper datalagringstjenester hos noen som tilbyr dette, og det skal lagres blant annet personopplysninger, må en databehandleravtale være på plass. Kommunen eller bedriften er dermed den behandlingsansvarlige part, mens tjenesteleverandøren er databehandler på vegne av kommunen/bedriften. Det kan være en leverandør av lønn- og personalsystemer hvor dataserveren er plassert hos leverandøren, som i tillegg drifter løsningen for kommunen eller bedriften.
  • Folkehelseinstituttet er databehandler for en rekke virksomheter i forbindelse med rustesting: Politi og domstoler, Kriminalomsorgen og landets kommuner (barnevern, LAR), og en rekke ulike arbeidsgivere. Folkehelseinstituttet har med andre ord databehandleravtaler med hver enkelt behandlingsansvarlige virksomhet de behandler data på vegne av.
  • Et helseforetak som for eksempel Oslo Universitetssykehus har en rekke forskjellige databehandleravtaler med ulike tjenesteleverandører. Utformingen av avtalene vil variere. Den vil være avhengig av formålet med behandlingen av personopplysninger (for eksempel forskning), om dataene er sensitive eller ikke-sensitive, og av om data skal behandles innenfor eller utenfor landegrensene.

Minimumskrav til databehandleravtaler

Punktene nedenfor, sammen med malen, er minimumskrav for hva som bør være med i en databehandleravtale. Behandlingsansvarlige kan sette strengere krav enn hva som følger av personopplysningsloven, men ikke avtale vilkår som er i strid med kravene personopplysningsloven stadfester. Databehandleravtalen må:

1. Angi formålet med behandlingen

Det skal klart framgå av avtalen hva som er formålet med behandlingen av personopplysningene. Databehandler skal kun behandle opplysningene i henhold til formålet den behandlingsansvarlige har definert.

Typiske eksempler på databehandlerrelasjoner er makulering av papirdokumenter, IT-drift, fakturering, kameraovervåkning, håndtering av personalopplysninger som utbetaling av lønn og lignende.

2. Beskriv hvordan personopplysningene skal behandles

Det skal tydelig fremgå av avtalen hva databehandler skal gjøre med personopplysningene.

Skal de kun oppbevares/lagres for framtidig bruk (arkivinstans), eller skal de bearbeides? Avtalen skal også klart regulere/avklare om det skal skje andre behandlinger, som for eksempel kobling med andre personopplysninger/registre eller lignende.

Konkrete rutiner for bruk av personopplysningene
Databehandler har ikke råderett over personopplysningene, og kan dermed heller ikke behandle disse til egne formål.

Regler for utlevering av personopplysningene
Databehandler skal kun forholde seg til avtalen. Hvis han skal utlevere personopplysninger til andre eksterne parter må dette framgå klart av databehandleravtalen. Avtalen må inneholde bestemmelser om hvem som skal kunne få personopplysninger utlevert, og vilkår i tilknytning til dette.

3. Bruk av underleverandør skal reguleres i avtalen

Hvis databehandler gjør bruk av underleverandører av tjenester, skal dette klart framgå av avtalen mellom databehandler og behandlingsansvarlig. Personopplysningsforskriften stiller i § 2-15 krav til sikkerheten hos andre virksomheter – kontraktsparten.

4. Ivareta den registreres rettigheter

Avtalen kan inneholde en arbeidsfordeling mellom behandlingsansvarlige og databehandler, for eksempel hvem som skal håndtere og behandle henvendelser fra de registrerte. Typeeksemplet er at den behandlingsansvarlige mottar en henvendelse, videreformidler denne til databehandler som oppfyller den registrertes forespørsel. Dette kan for eksempel gjelde spørsmål om

  • innsyn, se personopplysningslovens § 18
  • retting og sletting, se personopplysningslovens § 27 og § 28

5. Avtalen må pålegge databehandleren å ha tilfredsstillende informasjonssikkerhet

Det fremkommer av personopplysningslovens § 13  at det stilles krav om tilfredsstillende informasjonssikkerhet. Avtalen må klargjøre hva databehandler skal ha på plass av sikringstiltak for å ivareta konfidensialitet, integritet og tilgjengelighet for behandling av personopplysninger, jf. personopplysningsforskriftens kapittel 2.

Hva skal gjøres for å ivareta:
Konfidensialitet  Å sikre at informasjon bare er tilgjengelig for de som skal ha tilgang
Integritet Å sikre at personopplysninger ikke endres uautorisert eller utilsiktet
 Tilgjengelighet   Sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig.

Avtalen bør inneholde bestemmelser om:

  • avvikshåndtering, jf. forskriftens § 2-6 (avviksmelding).
  • avklaring av hvem som har ansvaret for å melde avviket til Datatilsynet dersom avviket har ført til uautorisert utlevering av personopplysninger
  • tilgangskontroll og tilstrekkelige kontrollmekanismer f. eks. loggføring
  • andre krav som fremkommer av forskriftens kapittel 2:
    • taushetsplikt
    • sikkerhetsrevisjoner fysiske sikringstiltak
    • hvordan rutiner og lignende skal dokumenteres
    • personell hos partene som skal ha tilgang til personopplysningene

Begge parter har et selvstendig ansvar etter personopplysningslovens § 13, jf. personopplysningsforskriftens kapittel 2, og avtalen kan regulere arbeidsdelingen mellom partene.

6. Avtalens varighet må avtales

Avtalen må inneholde:

  • opplysninger om avtalens varighet
  • hva som skal skje med opplysningene etter at avtalen er opphørt – om opplysningene skal tilbakeføres eller slettes, og om lagrede sikkerhetskopier skal tilbakeføres eller slettes
  • hvor ofte det skal foretas sikkerhetsrevisjon

Last ned:

Engelsk versjon:

Til toppen