Sjekkliste og databehandleravtale

Kilde: Difi

En databehandleravtale skal sikre at personopplysningene blir behandlet i samsvar med regelverket og skal sette klare rammer for hvordan personopplysningene kan behandles.

Publisert: 09. okt 2018, Sist endret: 09. okt 2018

Databehandleravtalen regulerer hvordan personopplysninger kan behandles i henhold til ny personopplysningslov i 2018 som tilfredsstiller kravene til The General Data Protection Retulation (GDPR).

Personopplysninger har vidt nedslagsfelt og vil typisk behandles i HR-, lønns-, regnskaps-, ERP-, CRM-, arkiv-, rekrutterings-, e-post- og saksbehandlersystemer.

Avtalen inngås mellom databehandleransvarlig (Kunden) og databehandleren (Leverandøren).

Begreper

  • Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person (den registrerte). Dette er typisk navn, adresser (herunder IP-adresser), telefonnummer eller informasjon som beskriver en aktuell person.
  • Behandlingsansvarlig: Den som bestemmer formålet og hvilke hjelpemidler som skal benyttes i forbindelse med behandlingen av personopplysninger.
  • Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige.

Når er en databehandleravtale påkrevd?

Dersom oppdraget går ut på å behandle personopplysninger på vegne av Kunden, er Leverandøren databehandler, noe som innebærer at Kunden og Leverandøren plikter å inngå en databehandleravtale i samsvar med personopplysningsloven.

Det er viktig å merke seg at Leverandøren ikke kan behandle personopplysningene på annen måte enn det som er skriftlig avtalt med Kunden, og at Kunden har ansvaret for Leverandørens behandling av personopplysningene. Databehandleravtalen er derfor en trygghet for både leverandøren og for din virksomhet.

Databehandleravtalen kan ha stor betydning for bl.a. leverandørens arbeidsmetode, oppsett av systemer og lagring.  Vi anbefaler derfor at kravene du har til databehandleravtalen blir en del av behovsvurderingen og markedsundersøkelsen og innarbeides i bilag 1 Kundens kravspesifikasjon ved bruk av Statens standardavtaler.

På hjemmesiden til datatilsynet finner du beskrivelse av hva de nye personvernreglene betyr for din virksomhet.

Sjekklisten har tatt Datatilsynets veileder til databehandleravtalen som utgangspunkt.

Har du synspunkter eller kommentarer kan du kontakte Asle Aass,
e-post: Asle.aass@difi.no