Må skolen (skoleeier) inngå databehandleravtale med alle leverandører?
Skoleeiere må vite hvem som behandler opplysninger på deres vegne og etablere databehandleravtaler. De skal være kjent med sikkerhetsarbeidet hos leverandørene gjennom kunnskap om sikkerhetsstrategien til slike virksomheter. De skal også forsikre seg om at informasjonssikkerheten hos leverandøren er tilfredsstillende. Dette kan oppnås ved at skoleeier innhenter resultater fra ledelsesgjennomganger, sikkerhetsrevisjoner og avviksbehandlinger hos leverandøren.
Hensikten med en databehandleravtale er å synliggjøre hvilke personopplysninger som lagres hvor og til hvilket formål. I tillegg er det viktig å synliggjøre ansvarsforhold og hvem som har tilgang til opplysningene.