Hjem
Personvernportalen

Krav om databehandleravtaler

Hovedinnhold

Bruk av databehandler er regulert i personvernforordningen artikkel 28. Personvernforordningen stiller en rekke krav, både til den behandlingsansvarlige og til databehandler, når en behandling av personopplysninger skal utføres på vegne av den behandlingsansvarlige.

Hva er en databehandler?  

En databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige. 

En databehandler har ikke et selvstendig behandlingsgrunnlag for personopplysningene, men avleder sin rett til å behandle personopplysningene fra den behandlingsansvarliges rett. En databehandler må forholde seg til instruksen fra den behandlingsansvarlige, og har ikke et selvstendig formål. 

I noen tilfeller kan en databehandler være både databehandler og behandlingsanssvarlig for de samme personopplysningene, men med ulike formål. Dette må avklares nærmere. 

Hvilke krav stilles til databehandlere?

Den behandlingsansvarlige skal bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen av personopplysningene oppfyller kravene i personvernforordningen og vern av den registrertes rettigheter.

Når er det det krav om databehandleravtale?

Det er krav til databehandleavtale når en databehandler skal behandle den behandlingsansvarliges personopplysninger på vegne av den behandlingsansvarlige. 

Når er det ikke krav om databehandleravtale?

Når flere behandlingsansvarlige har et felles formål med behandlingen av personopplysningene, er det ikke nødvendig med en databehandleravtale, selv om kun én av de behandlingsansvarlige er ansvarlig for behandlingen i løsningen.

  • et eksempel er samarbeidsprosjekter innen forskning, der data behandles på UiBs forskningsserver SAFE
  • et annet eksempel er prosjekter der en part (som har egeninteresse i prosjektet) behandler egne data på vegne av prosjektet, for eksempel et sykehjem som bistår med å holde oversikt over egne pasienter, eller en skole som adminstrerer lister over skoleelever

Utlevering/deling av data med andre behandlingsansvarlige som har et eget behandlingsgrunnlag (lovhjemmel til å behandle opplysningene), krever vanligvis ikke en databehandleravtale. Den mottakende part må likevel demonstrere tilfredsstillende informasjonssikkerhet. 

Hva med underleverandører?

Databehandleren kan kun engasjere annen databehandler hvis det på forhånd er gitt særlig eller generell skriftlig tillatelse fra den behandlingsansvarlige. Hvis det gitt en en generell skriftlig tillatelse, skal databehandleren underrette den behandlingsansvarlige om planer om å engasjere underleverandør (eller om planer til å bytte til annen underleverandør), slik at den behandlingsansvarlige får muligheten til å motsette seg slike endringer. 

Hva skal databehandleravtalen regulere?

Databehandleravtalene skal regulere:

  • gjenstanden for og varigheten av behandlingen
  • behandlingens art og formål
  • typen personopplysninger og kategorier av registrerte
  • den behandlingsansvarliges rettigheter og plikter
  • hva databehandlerne kan gjøre med personopplysninger som UiB er behandlingsansvarlig for
  • hvordan personopplysningene skal sikres mot uautorisert tilgang, endring, sletting, tap eller skade 

Etter at systemer eller tjenester som driftes av eksterne databehandlere er tatt i bruk, er UiB pliktig til å kontrollere at de overholder vilkårene i inngåtte databehandleravtaler. Dette skjer blant annet ved at UiB får tilgang til og gjennomgår databehandlernes egne revisjoner av informasjonssikkerheten i aktuelle systemer eller tjenester. 

Se maler for databehandleravtaler på anskaffelser.no

Det kan inngås rammeavtale/samleavtale for databehandling der hvor dette er aktuelt.  

I tillegg til å anvende databehandlere, er UiB selv databehandler, for eksempel for SAFE, som benyttes av andre forskningsinstitusjoner. UiB har rutiner og retningslinjer som ivaretar de personvernforpliktelser som dette innebærer. 

Databehandlere er eksterne aktører (ofte kommersielle selskaper eller andre universiteter/høyskoler) som har fått i oppdrag å drifte et elektronisk system eller tjeneste på vegne av UiB. 

Eksterne aktører blir databehandlere for UiB når driften av elektroniske systemer eller tjenester innebærer at de får tilgang til personopplysninger som UiB er behandlingsansvarlig (intern lenke til pkt om behandlingsansvarlig) for. 

Som behandlingsansvarlig er UiB pliktig til å sørge for at det bare brukes databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen når de behandler personopplysninger som UIB er behandlingsansvarlig for. 

Dette skal først skje ved at det gjennomføres risikovurderinger av informasjonssikkerheten (lenke til side Personvern ved UiB – om Informasjonssikkerhet ved UiB) i de eksterne systemene eller tjenestene som UiB vurderer å ta i bruk. Dersom risikovurderingen viser at informasjonssikkerheten er tilfredsstillende, skal det inngås skriftlige avtaler (databehandleravtaler) med databehandlerne.