Databehandleravtale

Hvem kan være databehandler?

Den behandlingsansvarlige har plikt til å undersøke om databehandleren er kompetent til å behandle de aktuelle personopplysningene i tråd med pliktene som følger av personvernlovgivningen.

Den behandlingsansvarlige skal ta hensyn til databehandleroppdragets karakter og omfang, samt hvilken risiko behandlingen kan få for de registrerte det gjelder.

Den behandlingsansvarlige kan bare benytte databehandlere og underleverandører som kan dokumentere tilstrekkelige garantier for:

  • at kravene i personopplysningloven blir ivaretatt
  • at personopplysningene som behandles er tilstrekkelig sikret (personvernforordningen artikkel 28 nr. 1).

Dette betyr blant annet at databehandleren må kunne vise at man har gode nok tekniske og organisatoriske tiltak som sikrer at loven følges i praksis.

I vurderingen av om databehandleren kan vise frem tilstrekkelige garantier, skal man særlig se på databehandlerens dybdekunnskap, pålitelighet og ressurser. Dersom databehandleren er underlagt godkjente bransje-/atferdsnormer eller en godkjent sertifiseringsmekanisme, er dette et moment i vurderingen av om det foreligger tilstrekkelige garantier.

Til syvende og sist er det opp til den behandlingsansvarlige å vurdere om databehandleren gir tilfredsstillende garantier sett i sammenheng med personopplysningene som skal behandles.