Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Databehandleravtale

Hva er en databehandleravtale?

En databehandleravtale kan være en frittstående avtale mellom partene, eller en integrert del av annet avtaleverk.

Hvis en virksomhet setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, er den eller de som behandler opplysningene definert som databehandlere. En databehandler kan ikke behandle personopplysninger på en annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Den behandlingsansvarlige skal forsikre seg om at databehandleren har tilstrekkelig sikkerhetsnivå, jf. personopplysningsloven § 15.

Behandling av sensitive personopplysninger vil antagelig kreve en mer detaljert avtale enn en avtale om et enkeltstående faktureringsoppdrag. Videre vil detaljeringsgraden variere fra helt grunnleggende krav til klart spesifiserte tiltak for eksempel når det gjelder informasjonssikkerhet.

Definisjoner

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Behandlingsansvarlig har ansvaret for at opplysninger behandles i tråd med personopplysningslovens krav.

En behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.

En databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige. Databehandleren har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av behandlingsansvarlige. Databehandleren skal bare behandle personopplysninger i tråd med det som er avtalt med den behandlingsansvarlige.

En databehandler vil ha selvstendig ansvar for personopplysninger som behandles på egne vegne, eksempelvis opplysninger om egne ansatte.

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll