www.fretex.no

Databehandleravtale

En databehandleravtale bør foreligge når en kommune eller virksomhet kjøper datalagringstjenester av noen som tilbyr dette. Avtalen sikrer at personopplysninger behandles i samsvar med regelverket.

Databehandleravtalen inngås mellom en behandlingsansvarlig og databehandler, og er viktig for å sette klare rammer for hvordan personopplysninger behandles. Det er personvernforordningen som krever at en slik skriftlig avtale mellom partene må på plass.

I avtalen skal det stå tydelig forklart hva som er behandlingsansvarliges ansvar, og hva som er databehandlers ansvar. Behandlingsansvarlig er kommunen eller virksomhetens part, mens databehandleren er tjenesteleverandøren og den som behandler personopplysningene på vegne av den behandlingsansvarlige.

Det skal ikke være noen tvil over ansvarsområder

Databehandlere kan typisk være eksterne aktører, som regnskapsførere, revisorer, it-operatører og lignende. Databehandleren kan ikke behandle personopplysninger på andre måter enn det som er avtalt mellom partene, men det er likevel viktig å huske på at det fremdeles er virksomhetens ansvar å sørge for at reglene i avtalen blir fulgt.

Databehandleravtalen sikrer at at begge parter er klar over hvilke rettigheter de har, samt forpliktelser og ansvar – både overfor hverandre og når det gjelder lovkravene. Personvernforordningen har minstekrav til hva en slik avtale skal inneholde, og de viktigste punktene omhandler sikkerhetskopiering, sletting, tilgangsstyring og segmentering av informasjon.

Krav til innholdet i en databehandleravtale:

  1. Behandlingens formål og hva selve behandlingen går ut på
  2. Formålet med, og varighet, av behandlingen
  3. Riktige personopplysninger, samt kategorier av registrerte
  4. Hva som er behandlingsansvarliges rettigheter og plikter
  5. Hva som er databehandlers rettigheter og plikter
  6. Sikkerhetstiltak
  7. Spesifikke krav ved bruk av underleverandører


Det skal også avtales og spesifiseres hva som skal skje med personopplysningene etter at avtalen avsluttes. Dette kan enten skje ved at databehandleren sletter alle personopplysningene eller levere de tilbake, for så å slette egne kopier. Sletting av all data gjelder alltid med mindre en annen lov krever at de skal tas vare på.

Et enkelt søk på nettet gir deg flere treff på ulike maler som kan brukes for å sette opp en databehandleravtale. Husk at hver enkelt avtale bør bli individuelt tilpasset din virksomhet og hva slags personopplysninger som skal behandles. Datatilsynet tilbyr en praktisk veileder med god informasjon som gjør det enklere for deg å få en oversikt.

*
*
*
*

Fant du det du lette etter?

Hva lette du etter?