Få utskriftsvennlig versjon ved å trykke på denne

Databehandleravtale

Dersom UiT skal benytte eksterne til å behandle personopplysninger for oss (f.eks en leverandør av en tjeneste/system eller noen som skal utføre et oppdrag som eksempelvis transkribering), må det inngås en databehandleravtale mellom UiT og den eksterne virksomheten.

Vilkårene som følger av databehandleravtalen kan også fremgå direkte i en tjeneste- eller driftsavtale, men det er ofte hensiktsmessig å ha en separat databehandleravtale. 

 

Melde inn databehandleravtalen

Det følger av styringssystemet for informasjonssikkerhet (uit.no/sikkerhet) at UiT skal holde en samlet oversikt over alle databehandleravtaler som inngså på universitetet. 

Når en databehandleravtale er inngått skal den derfor meldes inn via dette skjemaet.


UiT som behandlingsansvarlig

Forholdet mellom UiT og databehandleren skal alltid være regulert i avtale; enten i en databehandleravtale eller direkte av tjeneste- eller driftsavtale. Dette reguleres av norsk personopplysningslovgivning samt den kommende personvernforordningen (EU 2016/679), artikkel 28 jf 29). 

Det er ikke tillatt for den eksterne databehandleren å behandle personopplysninger om UiTs ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter eller andre tilknyttet UiT, på en annen måte enn det som er skriftlig avtalt med UiT i databehandleravtalen. UiT må alltid forsikre seg om at databehandleren har tilstrekkelig sikkerhetsnivå. Dette gjøres gjennom en risiko- og sårbarhetsanalyse (ROS). Denne kan ikke databehandler gjennomføre på våre vegne. 

ROS-analysen må være gjennomført før behandlingen av personopplysninger (dvs at personopplysninger overføres til/tilgjengeliggjøres for databehandleren) kan starte. Denne ROS-analysen skal godkjennes på korrekt nivå, og arkiveres. Se Styringssystemet for informasjonssikkerhet (uit.no/sikkerhet). Underretning om ROS-analysen oversendes informasjonssikkerhetsrådgiver, med angivelse av journalnummer i ephorte. 

Det er en del krav til hva som må inngå i en slik avtale for at den skal være gyldig. UiT har egne maler for databehandleravtaler, som skal benyttes, og her er det grunnleggende med. Imidlertid må malen alltid tilpasses den aktuelle situasjonen, og det er markert i gult hva som må fylles ut.

Databehandleravtalen må signeres av person med signeringsmyndighet, og arkiveres i ephorte. Underretning om avtalen oversendes informasjonssikkerhetsrådgiver, med angivelse av journalnummer i ephorte. 


UiT som databehandler

Dersom UiT skal opptre som databehandler for noen andre, skal det også inngås en databehandleravtale. Her kan også malen (se ovenfor) brukes, men ofte vil behandlingsansvarlig ha sin egen avtale som de ønsker ta utgangspunkt i. Det er den behandlingsansvarlige som har ansvaret for å at databehandleravtale kommer på plass, men UiT skal ikke ta i mot noen personopplysninger før denne avtalen er inngått.

Merk: Som databehandler har vi et ansvar for å si ifra til behandlingsansvarlig dersom vi skulle motta instrukser som etter vår mening er i strid med personopplysningslovgivningen. 


Leverandørers databehandleravtale

I utgangspunktet skal UiTs mal for databehandleravtale alltid benyttes når vi er behandlingsansvarlig. Imidlertid kan dette være vanskelig å få til i alle tilfeller, særlig ved større, internasjonale leverandører. Før avtalen inngås må denne gjennomgås nøye for å sikre at alle krav er oppfylt, og det ikke er vilkår i denne som vi ikke kan akseptere.

For nærmere informasjon og veiledning om hva som kreves av en databehandleravtale, se Datatilsynets veileder til databehandleravtale




Ansvarlig for siden: Ingvild Stock-Jørgensen
Sist oppdatert: 20.08.2018 10:31

Usikker på om databehandleravtale skal inngås?

Det danske Datatilsynet har laget en veiledning som kan være nyttig å lese: https://www.datatilsynet.dk/media/6560/dataansvarlige-og-databehandlere.pdf

Definisjoner


Behandlingsansvarlig

Den som bestemmer formålet med behandlingen av personopplysninger, og hvilke hjelpemidler som skal brukes.

Databehandler

Den som behandler personopplysninger på vegne av den behandlingsansvarlige

Personopplysning

Enhver opplysning som kan knyttes til en enkeltperson, eksempelvis navn, adresse, brukernavn, e-post, bilde, video, adferdsmønster, helseopplysninger, ip-adresse, genetiske og biometriske opplysninger, politisk oppfatning etc. Langt mer enn bare personalia.

Behandling

enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring,