Databehandleravtaler skal inngås når personopplysninger skal behandles av andre enn den behandlingsansvarlige.
Denne sjekklisten brukes for å kvalitetssikre databehandleravtaler med leverandører som behandler personopplysninger på vegne av UiS. Sjekklisten kan også anvendes ved tradisjonell utsetting av systemdrift til eksterne aktører som omfatter behandling av personopplysninger.
Følgende momenter skal reguleres og gjøres rede for i databehandleravtaler:
1. Ansvarsfordeling og avtalens hensikt
Det skal tydelig framgå hvem som er behandlingsansvarlig (institusjonen) og hvem som er databehandler (leverandøren).
Det skal tydelig framgå hvilken tjeneste, prosjekt eller system avtalen gjelder.
Leverandøren skal bekrefte at personopplysninger som behandles skjer på vegne av institusjonen.
Det skal være tydelig at databehandleravtalen går foran leverandørens personvernerklæringer eller annen form for kontrakt/avtale.
2. Formålsbegrensning
Leverandøren skal tydelig definere hvordan institusjonens personopplysninger brukes.
Det skal klart gå fram at de ikke vil bli brukt til markedsføring, men bare til administrasjon og levering av tjenesten.
Dersom leverandøren ønsker å anvende opplysningene til andre formål enn det som opprinnelig er avtalt, må leverandøren få tillatelse til dette fra institusjonen.
Tillatelse fra institusjonen vil vanligvis også være påkrevd dersom leverandøren skal utlevere personopplysninger til tredjeparter, for eksempel andre virksomheter eller myndighetsorganer.
3. Skriftlige instrukser fra institusjonen:
Leverandøren forplikter seg til å følge institusjonens skriftlige instrukser mht. hvordan opplysningene skal behandles og sikres.
Det skal fremgå at leverandøren ikke kan behandle personopplysningene på andre måter enn det som følger av institusjonens skriftlige instrukser.
4. Oversikt over opplysningstyper
Leverandøren skal spesifisere hvem opplysningene gjelder (for eksempel studenter, ansatte etc). Dette skal oppgis punktvis og tydelig.
Leverandøren skal spesifisere hvilke typer personopplysninger som behandles på vegne av institusjonen. Dette skal oppgis punktvis og tydelig
5. Tidsavgrenset behandling
Leverandøren spesifiserer hvor lenge de aktuelle personopplysningene blir behandlet på vegne av institusjonen (for eksempel til den dato avtalen om levering av tjenesten opphører eller til avtalen sies opp).
6. Institusjonens plikter
Institusjonen forplikter seg til å ivareta sine lovpålagte oppgaver/plikter når behandling av personopplysninger settes ut til en ekstern tjenesteleverandør.
7. Forvaltning av rettigheter
Leverandøren skal tydelig forplikte seg til å hjelpe institusjonen med å ivareta rettighetene til de registrerte i henhold til gjeldende norsk personopplysningslovgivning.
Dette omfatter blant annet
- retten til informasjon om hvordan leverandøren forvalter personopplysninger, retten til innsyn i egne personopplysninger
- retten til å kreve retting eller sletting av egne opplysninger.
Det bør spesifiseres at leverandøren kan bli erstatningsansvarlig overfor de registrerte dersom leverandøren eller leverandørens underleverandører til tjenesten behandler personopplysninger på ulovlige måter.
8. Informasjonssikkerhet hos leverandøren
Leverandøren skal forplikte seg til å iverksette alle nødvendige organisatoriske, tekniske og fysiske tiltak for å beskytte personopplysninger som omfattes av avtalen mot uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet. Dokumentasjonen skal være tilgjengelig for institusjonen
Leverandøren skal dokumentere egen sikkerhetsorganisering, retningslinjer og rutiner for sikkerhetsarbeidet, risikovurderinger og etablerte tekniske, fysiske eller organisatoriske sikringstiltak. Dokumentasjonen skal være tilgjengelig for institusjonen
Leverandøren skal dokumentere at egne ansatte har opplæring i informasjonssikkerhet og i hvordan institusjonens personopplysninger skal håndteres. Dokumentasjonen skal være tilgjengelig for institusjonen.
9. Taushetsplikt hos leverandøren
Leverandøren tydeliggjør at alle ansatte som har tilgang til institusjonens personopplysninger har taushetsplikt for disse opplysningene.
Taushetsplikten skal gjelde også etter at avtalen er opphørt.
10. Varslingsplikt ved sikkerhetsbrudd
Leverandøren forplikter seg til å varsle institusjonen uten ubegrunnet opphold dersom personopplysninger som institusjonen er ansvarlig for utsettes for sikkerhetsbrudd (uautorisert tilgang, spredning, endring, skade, ødeleggelse eller utilgjengelighet).
Leverandøren skal dokumentere sikkerhetsbruddet og varslingen skal blant annet inneholde informasjon om hvem som er berørt av sikkerhetsbruddet, hvilke typer personopplysninger som er berørt og hva leverandøren har gjort for å håndtere og utbedre situasjonen.
Merk: at som behandlingsansvarlig, så har Universitetet varslingsfrist ved avvik inn til datatilsynet på 72 timer eller så raskt som mulig uten ugrunnet opphold etter vi ble kjent med avviket. Datainnsamling m.m. bør dermed startes så raskt som mulig.
11. Varsling ved ulovlig behandling
Leverandøren forplikter seg til å varsle institusjonen dersom institusjonens skriftlige instrukser (etter leverandørens oppfatning) er ulovlige (innebærer brudd på lovverkets regler om behandling av personopplysninger).
12. Leverandørens bruk av underleverandører
Institusjonen skal godkjenne at leverandøren engasjerer underleverandører som har tilgang til institusjonens personopplysninger.
Dersom underleverandører benyttes, skal det fremgå at alle underleverandører er bundet av de samme reglene som gjelder for leverandørens behandling av institusjonens personopplysninger, spesielt når det gjelder informasjonssikkerheten til opplysningene. Databehandler plikter å fremlegge avtalene med underleverandører for institusjonen ved forespørsel.
Til slutt skal det fremgå at leverandøren er ansvarlig overfor institusjonen for avtalebrudd som eventuelle underleverandører til tjenesten gjør seg skyldig i.
13. Leverandørens overføring av personopplysninger til land utenfor EU/EØS
Leverandøren må redegjøre for lovlighetsgrunnlaget som benyttes dersom personopplysninger overføres til land utenfor EØS-området, for eksempel dersom tjenesten anvender underleverandører eller datasentre i slike land. Overføringen kan for eksempel baserer seg på EUs standardkontrakt for overføring av personopplysninger til tredjeland.
Leverandøren skal oppgi hvilke land data overføres til.
14. Revisjoner hos leverandøren
Leverandøren redegjør for hvordan revisjon av leverandørens arbeid med avtaleoverholdelse skal foregå.
Dette gjelder spesielt hvordan personopplysningene sikres mot uautorisert tilgang, spredning, endring, skade, ødeleggelse eller utilgjengelighet (informasjonssikkerhet).
Det kan fremgå at slike revisjoner blir utført av uavhengige revisorer engasjert av leverandøren. Da skal institusjonen informeres om hvilken revisor som benyttes og få tilgang til oppsummeringer av revisjonen.
Institusjonen selv kan gjennomføre revisjoner hos leverandøren.
15. Dataportabilitet
I enkelte tilfeller bør avtalen spesifisere at de registrerte (studenter, ansatte, respondenter osv.) har rett til å få utlevert sine opplysninger fra leverandøren i et format som gjør det enkelt for dem å overføre opplysningene til en annen leverandør.
For universiteter og høgskoler er det trolig at dette primært vil være aktuelt dersom institusjonen benytter eksterne tjenester med bakgrunn i samtykke fra den enkelte sluttbruker.
16. Tilbakeføring og sletting av personopplysninger ved opphør
Leverandøren forplikter seg til å tilbakeføre alle personopplysninger til institusjonen når avtaleforholdet opphører. Institusjonen bestemmer på hvilket format opplysningene skal tilbakeføres.
Leverandøren skal også forplikte seg til å slette alle personopplysninger etter opphør av avtaleforholdet. Sletteplikten skal omfatte alle sikkerhetskopier av personopplysninger som leverandøren behandler på vegne av institusjonen.
Det skal angis tidsfrist for når sletting skal være gjennomført.
17. Særskilte bestemmelser
Leverandøren forpliktelser seg til å bistå institusjonen med å utrede konsekvensene ved bruk av tjenester/teknologier som representerer en særlig høy risiko for personvernet (DPIA).
Leverandøren skal videre forplikte seg til å bistå i dialogen med Datatilsynet der hvor personvernrisikoen (avdekket gjennom konsekvensutredningen) vanskelig lar seg håndtere på en hensiktsmessig måte.
18. Varighet og kontaktpersoner
Det skal klart gå fram
- dato for oppstart av avtalen
- dato for opphør av avtalen
- oppsigelsesfrist for avtalen
- kontaktperson hos leverandør
- kontaktperson hos institusjonen
19. Lovvalg og verneting
Det skal oppgis hvilket lands lovverk som gjelder for avtalen. (det anbefales så langt som mulig å ha dette under norsk lov – bruk UiS mal for databehandleravtaler)
Det skal oppgis hvilken tingrett som skal fungere som verneting. (det anbefales så langt som mulig å ha dette under Stavanger tingrett – bruk UiS mal for databehandleravtaler)