Wikier

Overføring av...

Databehandleravtale

NTNUs mal for databehandleravtale og veiledning til arbeidet med databehandleravtale.

Har NTNU programvare som dekker behovet?

Før du går til anskaffelse av programvare må du undersøke om NTNU har programvare som dekker behovet.

Sjekk her: Programvare tilgjengelig ved behov.

Hva er en databehandleravtale?

En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle opplysninger. 

Det er en kontrakt mellom Behandlingsansvarlig (f.eks NTNU) og Databehandler (f.eks noen vi kjøper en IT tjeneste av)

Les mer om databehandleravtale hos Datatilsynet

Når trenger du en databehandleravtale?

Der NTNU som behandlingsansvarlig (ansvarlig for å bruke personopplysninger), virksomhet setter ut hele eller deler av behandlingen av personopplysninger til en annen virksomhet, er den eller de som behandler opplysningene på den behandlingsansvarliges vegne definert som databehandlere. En databehandler er mao. en ekstern leverandør som behandler personopplysninger på oppdrag fra NTNU. Dette kan være en leverandør av IT-tjenester, et firma som transkriberer forskningsdata, en leverandør som oppbevarer/ lagrer data for NTNU, mv.

Der NTNU som behandlingsansvarlig, og hvor NTNU lar andre leverandører få tilgang til persondata, er det viktig at vi sikrer at personopplysningene kun brukes til det angitte formålet og på NTNUs instrukser. Annen bruk tillates ikke.

Kravet om og til slik avtale reguleres av  personopplysningsloven og personvernforordningen, artikkel 28 og 29.

NTNU skal forsikre seg om at databehandleren har tilstrekkelig sikkerhetsnivå. Dette gjøres ved å gjennomføre en risiko- og sårbarhetsanalyse. Databehandler må kunne dokumentere hvordan de arbeider med informasjonssikkerhet.

Hva gjør jeg hvis leverandøren/underleverandøren er utenfor EU/EØS? *#*

Det kreves et særskilt overføringsgrunnlag for å overføre personopplysninger til land utenfor EU/EØS (tredjeland). Det må i tillegg vurderes supplerende tiltak for å sikre tilstrekkelig beskyttelsesnivå for personopplysningene. En må derfor være særlig oppmerksom på hvilke land personopplysningene skal overøres til. EU Standard Contractual Clauses er det vanligste overføringsgrunnlaget for overføring av personopplysninger til land utenfor EU/EØS (tredjeland).

NTNUs mal for databehandleravtale

NTNUs mal er utarbeidet gjennom samarbeid i UH-sektoren og skal som hovedregel brukes når vi inngår databehandleravtaler. Dersom en leverandør insisterer på å bruke egne maler/policyer, krever dette en grundigere sammenligning og juridisk gjennomgang av avtaleverket. 

Dersom NTNU kjøper flere tjenester fra samme leverandør, kan det enten inngås en databehandleravtale per tjeneste (se lenken over) eller en overordnet avtale. For de tilfeller hvor overordnet avtale er mest hensiktsmessig, har NTNU utarbeidet en egen mal. Dette er en todelt databehandleravtale, hvor vedlegg skal inneha de konkrete tjenestene:

Noen ganger er NTNU databehandler og har behov for å benytte seg av en underleverandør i forbindelse med databehandlingen. I slike tilfeller inngår vi en underdatabehandleravtale. Dette er altså en avtale mellom databehandler og underleverandør/underdatabehandler. Det er viktig at bestemmelsene i underdatabehandleravtalen utgjør en direkte speiling av tilsvarende bestemmelser i hoveddatabehandleravtalen mellom behandlingsansvarlig og databehandler. Malen nedenfor speiler NTNUs mal for databehandleravtale. 

Slik går du frem

  1. Der IT-avdelingen anskaffer programvare skal de signere avtalen.
  2. Der fakultet eller institutt anskaffer programvare er de ansvarlige for å etablere databehandleravtale. Det er linjeleder som skal signere avtalen.
  3. Juristene kan bistå med vurdering av databehandleravtale som ikke følger NTNUs mal.
  4. Når avtalen er signert skal den lagres i ePhorte på samme sak som tjenesteavtalen. Saken lenkes i tillegg opp til en felles saksmappe for totaloversikt - sak 17/13795 (mappen "2017/13795 Oversikt databehandleravtaler")
  5. Husk å oppdatere oversikten/protokollen over personopplysningsbehandlinger - (adgangsbegrenset)

Sjekkliste for Databehandleravtaler og GDPR (personvern)

Kontakt

orakel@ntnu.no

Juridisk vurdering: juridisk@virksomhet.ntnu.no