Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Databehandleravtale

Kravene til avtalen

Punktene nedenfor, sammen med malen, er minimumskrav for hva som bør være med i en databehandleravtale.

Behandlingsansvarlige kan sette strengere krav enn hva som følger av personopplysningsloven, men ikke avtale vilkår som er i strid med kravene personopplysningsloven stadfester.

Databehandleravtalen må

1. Angi formålet med behandlingen

Det skal gå klart frem av avtalen hva som er formålet med behandlingen av personopplysningene. Databehandler skal kun behandle opplysningene i henhold til formålet den behandlingsansvarlige har definert.

Typiske eksempler på databehandlerrelasjoner er makulering av papirdokumenter, IT-drift, fakturering, kameraovervåkning, håndtering av personalopplysninger som utbetaling av lønn og lignende.

2. Beskrive hvordan personopplysningene skal behandles

Det skal tydelig fremgå av avtalen hva databehandler skal gjøre med personopplysningene.

Skal de kun oppbevares/lagres for framtidig bruk (arkivinstans), eller skal de bearbeides? Avtalen skal også klart regulere/avklare om det skal skje andre behandlinger, som for eksempel kobling med andre personopplysninger/registre eller lignende.

Konkrete rutiner for bruk av personopplysningene Databehandler har ikke råderett over personopplysningene, og kan dermed heller ikke behandle disse til egne formål.

Regler for utlevering av personopplysningene Databehandler skal kun forholde seg til avtalen. Hvis han skal utlevere personopplysninger til andre eksterne parter må dette framgå klart av databehandleravtalen. Avtalen må inneholde bestemmelser om hvem som skal kunne få personopplysninger utlevert, og vilkår i tilknytning til dette.

3. Bruk av underleverandør skal reguleres i avtalen

Hvis databehandler gjør bruk av underleverandører av tjenester, skal dette klart framgå av avtalen mellom databehandler og behandlingsansvarlig. Personopplysningsforskriften stiller i § 2-15 krav til sikkerheten hos andre virksomheter – kontraktsparten.

4. Ivareta den registrertes rettigheter

Avtalen kan inneholde en arbeidsfordeling mellom behandlingsansvarlige og databehandler, for eksempel hvem som skal håndtere og behandle henvendelser fra de registrerte. Typeeksemplet er at den behandlingsansvarlige mottar en henvendelse, videreformidler denne til databehandler som oppfyller den registrertes forespørsel. Dette kan for eksempel gjelde spørsmål om

  • innsyn, se personopplysningslovens § 18
  • retting og sletting, se personopplysningslovens § 27 og § 28

5. Pålegge databehandleren tilfredsstillende informasjonssikkerhet

Det fremkommer av personopplysningslovens § 13  at det stilles krav om tilfredsstillende informasjonssikkerhet. Avtalen må klargjøre hva databehandler skal ha på plass av sikringstiltak for å ivareta konfidensialitet, integritet og tilgjengelighet for behandling av personopplysninger, jf. personopplysningsforskriftens kapittel 2.

Hva skal gjøres for å ivareta

  1. konfidensialitet – hindre uvedkommende i å få tilgang på opplysningene
  2. integritet – hindre uautorisert eller utilsiktet endring av opplysninger
  3. tilgjengelighet – at opplysningene er tilgjengelige når tilgang er nødvendig

Avtalen bør inneholde bestemmelser om kravene i personopplysningsforskriften kapittel 2.

  • avvikshåndtering
  • avklaring av hvem som har ansvaret for å melde avviket til Datatilsynet dersom avviket har ført til uautorisert utlevering av personopplysninger
  • tilgangskontroll og tilstrekkelige kontrollmekanismer f. eks. loggføring
  • taushetsplikt
  • sikkerhetsrevisjoner
  • fysiske sikringstiltak
  • hvordan rutiner og lignende skal dokumenteres
  • personell hos partene som skal ha tilgang til personopplysningene

Begge parter har et selvstendig ansvar etter personopplysningslovens § 13 og personopplysningsforskriftens kapittel 2, og avtalen kan regulere arbeidsdelingen mellom partene.

6. Avtalens varighet må avtales

Avtalen må inneholde:

  • opplysninger om avtalens varighet
  • hva som skal skje med opplysningene etter at avtalen er opphørt – om opplysningene skal tilbakeføres eller slettes, og om lagrede sikkerhetskopier skal tilbakeføres eller slettes
  • hvor ofte det skal foretas sikkerhetsrevisjon