NTNUs mal for databehandleravtale og veiledning til arbeidet med databehandleravtale.

English version - Data processor agreement

Har vi allerede en avtale som dekker behovet?

Før du går til anskaffelse av en programvare eller tjeneste må du undersøke om NTNU allerede har en avtale som dekker behovet.

For mer informasjon: Programvare tilgjengelig ved behov og Anskaffelser

Hva er en databehandleravtale?

En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle opplysninger. 

Det er en kontrakt mellom behandlingsansvarlig (f.eks NTNU) og databehandler (f.eks noen vi kjøper en IT-tjeneste av)

Les mer om databehandleravtale hos Datatilsynet

Når trenger du en databehandleravtale?

Når NTNU som behandlingsansvarlig (ansvarlig for behandlingen personopplysninger), setter ut hele eller deler av behandlingen av personopplysninger til en annen virksomhet, er den eller de som behandler opplysningene på NTNUs vegne en databehandler. En databehandler er m.a.o. en ekstern leverandør som behandler personopplysninger på oppdrag fra NTNU. Dette kan være en leverandør av IT-tjenester, et firma som transkriberer forskningsdata, en leverandør som oppbevarer/ lagrer data for NTNU, mv.

Der NTNU er behandlingsansvarlig, og gir andre leverandører tilgang til persondata, er det viktig at vi sikrer at personopplysningene kun brukes til det angitte formålet og på NTNUs instrukser. Annen bruk tillates ikke. Les mer om databehandleroppdrag på Datatilsynet sine sider.

Krav til databehandleravtale er regulert i  personopplysningsloven og personvernforordningen, artikkel 28 og 29.

NTNU skal forsikre seg om at databehandleren har tilstrekkelig sikkerhetsnivå. Dette gjøres ved å gjennomføre en risiko- og sårbarhetsanalyse. Databehandler må kunne dokumentere hvordan de arbeider med informasjonssikkerhet. Les mer om risiko- og sårbarhetsanalyse her. For forskningsprosjekter er det utarbeidet en egen mal som du finner her.

NTNUs mal for databehandleravtale

NTNUs mal er utarbeidet gjennom samarbeid i UH-sektoren og skal som hovedregel brukes når vi inngår databehandleravtaler. Dersom en leverandør ønsker å bruke egne maler/policyer, krever dette en juridisk gjennomgang. Dersom NTNUs mal for databehandleravtale benyttes er det ikke behov for juridisk gjennomgang

• NTNUs mal for databehandleravtale - norsk (.docx)
• NTNUs mal for databehandleravtale - engelsk (.docx)

Todelt databehandleravtale

Dersom NTNU kjøper flere tjenester fra samme leverandør, kan det enten inngås en databehandleravtale per tjeneste (se lenken over) eller en overordnet avtale. For de tilfeller hvor overordnet avtale er mest hensiktsmessig, har NTNU utarbeidet en egen mal. Dette er en todelt databehandleravtale, hvor vedlegg skal inneha de konkrete tjenestene:

• NTNUs mal for todelt databehandleravtale (.docx)

Underdatabehandleravtale

Noen ganger er NTNU databehandler og har behov for å benytte seg av en underleverandør/underdatabehandler i forbindelse med databehandlingen. I slike tilfeller inngår vi en underdatabehandleravtale. Dette er altså en avtale mellom databehandler og underleverandør/underdatabehandler. Det er viktig at bestemmelsene i underdatabehandleravtalen utgjør en direkte speiling av tilsvarende bestemmelser i hoveddatabehandleravtalen mellom behandlingsansvarlig og databehandler. Malen nedenfor speiler NTNUs mal for databehandleravtale. 

• NTNUs mal for underdatabehandleravtale(.docx)

Hva gjør jeg hvis leverandøren/underleverandøren er utenfor EU/EØS? 

Utgangspunktet er at overføring utenfor EU/EØS ikke er tillatt. Det kreves et særskilt overføringsgrunnlag for å overføre personopplysninger til land utenfor EU/EØS (tredjeland). Les mer på Datatilsynet sine sider.

Nedenfor finner du et flytskjema som viser prosessen ved overføring av personopplysninger til land utenfor EU/EØS (tredjeland). Det minste flytskjemaet på høyre side viser et utsnitt av den mest vanlige prosessen; SCC som overføringsgrunnlag.

• Flytskjema overføring av personopplysninger til tredjeland (pdf)

For alle praktiske tilfeller er det to overføringsgrunnlag som er aktuelle:

• Forhåndsgodkjente land
• EU Standard Contractual Clauses (SCC)
  
  • SCCen er modulbasert, og må derfor redigeres slik at den tilpasses rollene som behandlingsansvarlig og databehandler har.
  • SCCen oppfyller kravene i personvernforordningen artikkel 28. Det er derfor ikke nødvendig å inngå en egen databehandleravtale i tillegg.

Ting å tenke på

• Juristene kan bistå med vurdering av databehandleravtale som ikke følger NTNUs mal.
• Der IT-avdelingen anskaffer programvare skal de signere avtalen.
• Der fakultet eller institutt anskaffer programvare eller gjennomfører andre databehandleroppdrag er de ansvarlige for å inngå databehandleravtale. Det er linjeleder som skal signere avtalen.
• Når avtalen er signert skal den lagres i ePhorte på samme sak som tjenesteavtalen. Saken lenkes i tillegg opp til en felles saksmappe for totaloversikt - sak 17/13795 (mappen "2017/13795 Oversikt databehandleravtaler")

Sjekkliste for Databehandleravtaler og GDPR (personvern)

• Datatilsynet har laget en veiledning for hva en databehandleravtale må inneholde. 

Kontakt

orakel@ntnu.no

Juridisk vurdering: juridisk@virksomhet.ntnu.no