Det skal etableres databehandleravtale mellom dataansvarlig og databehandler (ekstern driftsenhet). I tillegg må databehandler påse at kravene i databehandleravtalen gjenspeiles i avtale med sine underleverandører. En databehandler er en ekstern person eller virksomhet utenfor den dataansvarliges virksomhet. Databehandleren behandler helse- og personopplysninger på vegne av den dataansvarlige. Dette betyr at hvis virksomhetens IKT-systemer (alle eller noen) blir driftet av en ekstern driftsenhet, er denne eksterne driftsenheten en databehandler.
Med behandling av helse- og personopplysninger menes enhver formålsbestemt bruk av helse- og personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Annen bruk som krever databehandleravtale er konvertering, bearbeiding, kobling mot andre registre, analyse, rapportering, test, avhending og sletting. Det er altså tilstrekkelig at databehandler lagrer opplysningene for at det må inngås en databehandleravtale. Et annet eksempel er når databehandler kun registrerer opplysningene på vegne av virksomheten, så skal det inngås en databehandleravtale. Videre for eksempel ved å oppbevare opplysningene når det er nødvendig for å utføre service på datasystemer.
Et spørsmål som ofte reises er om det er nødvendig å opprette databehandleravtale når den eksterne virksomheten lagrer helse- og personopplysninger kryptert. Svaret er ja, og begrunnelsen er at kryptering kun er en sikkerhetsmekanisme og at den eksterne virksomheten fortsatt lagrer opplysningene.
