Må skolen (skoleeier) inngå databehandleravtale med alle leverandører?
Skoleeiere må vite hvem som behandler opplysninger på deres vegne og det er en plikt å etablere databehandleravtaler. De skal være kjent med sikkerhetsarbeidet hos leverandørene gjennom kunnskap om sikkerhetsstrategien til slike virksomheter. De skal også forsikre seg om at informasjonssikkerheten hos leverandøren er tilfredsstillende. Dette kan oppnås ved at skoleeier innhenter resultater fra ledelsesgjennomganger, sikkerhetsrevisjoner og avviksbehandlinger hos leverandøren.
Hensikten med en databehandleravtale er å sikre at personvernregelverket etterleves selv om man benytter databehandlere til å behandle personopplysninger på vegne av den ansvarlige. Gjennom avtalen pålegger den behandlingsansvarlige plikter setter rammene for hva en databehandler har lov til å gjøre.