Logo for print

​GDPR-prosjektet i Direktoratet for e-helse har utviklet en oppdatert versjon av mal for databehandleravtale som kan brukes i helse- og omsorgssektoren.

Relevante krav i GDPR knyttet til innhold i databehandleravtale er tatt inn i malen. Virksomheter som velger å bruke malen, må selv tilpasse denne i henhold til egen virksomhet.

Innhold i en databehandleravtale

En databehandleravtale inneholder generelle vilkår for behandling av personopplysninger som databehandler utfører. Både hva slags type opplysninger og omfanget av personopplysninger vil være bestemmende for avtalens detaljeringsgrad.

En databehandleravtale skal inneholde:

  • Gjenstand for og varighet av behandlingen
  • Behandlingens art og formål
  • Korrekte personopplysninger
  • Kategorier av registrerte
  • Behandlingsansvarliges plikter og rettigheter
  • Databehandlers plikter og rettigheter
  • Sikkerhetstiltak
  • Krav ved bruk av andre databehandlere (underleverandører)

Sensitive personopplysninger

Behandling av sensitive personopplysninger vil kreve en mer detaljert avtale enn behandling av "vanlige" personopplysninger som navn og fødselsdato. Behandling av personopplysninger i større skala vil kreve bedre detaljering av både grunnleggende krav og spesifiserte tiltak for å sikre at personvernet ivaretas.

Behandlingsansvarlig skal bare bruke databehandler som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at kravene oppfylles samtidig som den registrertes rettigheter vernes.

Dette kan oppnås blant annet ved å sørge for at alle krav den nye personvernforordningen stiller er oppfylt, og at databehandler forplikter seg til å gjennomføre samtlige planlagte tiltak av både teknisk og organisatorisk grad.

Sist oppdatert: 13. juni 2018

​Fant du det du lette etter?​