Databehandlaravtale – kva inneber eigentleg det? Her er svaret

26. oktober 2017 – Endre Erdal

Ein databehandlaravtale er utforma på bakgrunn av den risikovurderinga som den behandlingsansvarlege har gjort, og regulerer kva tilgang databehandlaren har til personvernopplysningar for ei verksemd. Komplisert? Vi skal prøve å forklare det så enkelt som mogleg.

Partane og avtalen

Behandlingsansvarleg er den som har ansvar for alle personopplysningane i si verksemd. I mindre bedrifter er dette gjerne dagleg leiar eller IT-sjefen. Når verksemda brukar ei IT-løysing frå ekstern leverandør, så er det behandlingsansvarleg si plikt å sjå til at bruken av løysinga er innanfor krava til personvern. I praksis betyr dette at behandlingsansvarleg må vurdere om tenester og program som vert kjøpt inn er innanfor eit akseptabelt risikonivå. Dette er ei lovpålagt plikt, jf. Personopplysningslova § 15. For å sikre at bruken av IT-løysingar og liknande som blir kjøpt inn vert gjort rett, må det opprettast ein avtale med den eksterne leverandøren som behandlar personopplysningane.

Databehandlar er den som har levert IT-løysinga til verksemda, og med det behandlar personopplysningar på vegne av den behandlingsansvarlege. Ei naturleg følgje av at IT-leverandørar, som Mediebruket, utviklar og driftar ulike løysingar, er at vi kan få innsyn i personopplysningar. For å sikre at dette ikkje blir misbrukt, til dømes ved innsyn som står i strid med personvernet, må behandlingansvarleg definere føremål, opplysningar og kven opplysningane skal delast med i ein databehandlaravtale. Databehandlar pliktar då å følgje dei rutinane og instruksane for behandlinga som behandlingsansvarleg til ei kvar tid har bestemt skal gjelde.

«Hvis en virksomhet setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, er den eller de som behandler opplysningene definert som databehandlere.»

– Datatilsynet

Databehandlaravtalen definerer ei ramme for kva innsyn databehandlar får i personopplysningane til verksemda. For å ivareta sikkerheita må det opprettast konkrete rutinar for bruk av personopplysningar, og for utlevering av desse. Det er opp til behandlingsansvarleg å bestemme korleis rammene for informasjonssikkerheita skal vere, og å spesifisere tiltak for dette. Kor detaljert denne avtalen er speglar ofte kor sensitive opplysningane er. Felles for sikkerheitstiltaka er at dei skal hindre uvedkomande i å få tilgang på opplysningane, hindre uautorisert eller utilsikta endring av opplysningar og at opplysningane er tilgjengelege når tilgang er naudsynt. Dersom leverandøren av datatenester brukar underleverandørar, skal dette også kome fram i avtalen.

Kvifor ha ein slik avtale og korleis fungerer den i praksis?

Målet med ein databehandlaravtale er først og fremst å ivareta rettane og personvernet til dei som bedrifta har registrert data på. Det er ikkje nødvendigvis slik at den behandlingsansvarlege har nok innsyn i IT-løysinga til å hente ut data på førespurnad frå den som dataene gjeld. Avtalen kan då innehalde ei arbeidsfordeling mellom behandlingsansvarleg og databehandlar. Den behandlingsansvarlege mottek typisk ein førespurnad, og vidareformidlar denne til databehandlar, som iverkset førespurnaden. Slike oppgåver kan til dømes vere innsyn etter Personopplysningslova § 18, eller retting og sletting etter Personopplysningslova § 27 og § 28.