Overføring av...

Databehandleravtale

NTNUs mal for databehandleravtale og veiledning til arbeidet med databehandleravtale. 

NTNUs mal for databehandleravtale #

NTNUs mal er utarbeidet gjennom samarbeid i UH-sektoren og skal som hovedregel brukes når vi inngår databehandleravtaler. Dersom en leverandør insisterer på å bruke egne maler/policyer, krever dette en grundigere sammenligning og juridisk gjennomgang av avtaleverket. 

Dersom NTNU kjøper flere tjenester fra samme leverandør, kan det enten inngås en databehandleravtale per tjeneste (se lenken over) eller en overordnet avtale. For de tilfeller hvor overordnet avtale er mest hensiktsmessig, har NTNU utarbeidet en egen mal. Dette er en todelt databehandleravtale, hvor vedlegg skal inneha de konkrete tjenestene:

Noen ganger er NTNU databehandler og har behov for å benytte seg av en underleverandør i forbindelse med databehandlingen. I slike tilfeller inngår vi en underdatabehandleravtale. Dette er altså en avtale mellom databehandler og underleverandør/underdatabehandler. Det er viktig at bestemmelsene i underdatabehandleravtalen utgjør en direkte speiling av tilsvarende bestemmelser i hoveddatabehandleravtalen mellom behandlingsansvarlig og databehandler. Malen nedenfor speiler NTNUs mal for databehandleravtale. 

Hva er en databehandleravtale? #

En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle opplysninger. 

Den er en kontrakt mellom Behandlingsansvarlig (f.eks NTNU) og Databehandler (f.eks noen vi kjøper en IT tjeneste av)

Les mer om databehandleravtale hos Datatilsynet

Når trenger du en databehandleravtale? #

Der NTNU som behandlingsansvarlig (ansvarlig for å bruke personopplysninger), virksomhet setter ut hele eller deler av behandlingen av personopplysninger til en annen virksomhet, er den eller de som behandler opplysningene på den behandlingsansvarliges vegne definert som databehandlere. En databehandler er mao. en ekstern leverandør som behandler personopplysninger på oppdrag fra NTNU. Dette kan være en leverandør av IT-tjenester, et firma som transkriberer forskningsdata, en leverandør som oppbevarer/ lagrer data for NTNU, mv.

For NTNU som behandlingsansvarlig, og hvor vi lar andre leverandører få tilgang til persondata, er det viktig at vi sikrer at personopplysningene kun brukes til det angitte formålet og på NTNUs instrukser. Annen bruk tillates ikke. Bruken må alltid sikres gjennom en skriftlig avtale. Dette kalles en databehandleravtale.

Kravet om og til slik avtale reguleres av norsk personopplysningslovgivning og personopplysningsforordningen, artikkel 28 og 29.

NTNU skal forsikre seg om at databehandleren har tilstrekkelig sikkerhetsnivå. Dette gjøres ved å gjennomføre en risiko- og sårbarhetsanalyse, og databehandler må også kunne dokumentere hvordan de arbeider med informasjonssikkerhet.

Slik går du frem #

  1. Kontakt IT avdelingen (se nederst). De vil vurdere saken og koble på NTNUs jurister for en vurdering ved behov. Masterstudenter og ph.d. -kandidater som har behov for databehandleravtale i forbindelse med sin masteroppgave / ph.d. -prosjekt, tar kontakt med sitt fakultet. Det er linjeleder som skal signere avtalen.
  2. Det er Systemeier (linjeleder) som må signere, Systemforvalter kan ikke signere databehandleravtale på vegne av NTNU. 
  3. Når avtalen er signert skal den lagres i ePhorte på samme sak som tjenesteavtalen. Saken lenkes i tillegg opp til en felles saksmappe for totaloversikt - sak 17/13795
  4. Husk å oppdatere oversikten/protokollen over personopplysningsbehandlinger - (adgangsbegrenset)

Sjekkliste for Databehandleravtaler og GDPR (personvern) #

Spørsmål og svar #

  • Send inn dine spørsmål til juridisk virksomhet, så vil vi etterhvert legge ut de oftest stilte spørsmålene og svarene her. 

Q: Hva gjør jeg hvis leverandøren/underleverandøren er utenfor EØS? #

Det kreves særskilt grunnlag og risikovurdering i tillegg til databehandleravtale. Sørg for å si fra om dette når du kontakter IT for hjelp med databehandleravtale. 

Kontakt #

Orakeltjenesten

8 Vedlegg
10744 Visninger
Gjennomsnitt (3 Stemmer)