Dersom en annen virksomhet behandler personopplysninger på "vegne av dataansvarlig" skal det skal inngås en databehandleravtale. En skyleverandør vil være databehandler dersom det behandles helse- og personopplysninger i løsningen deres.
Databehandleravtalen etablerer den dataansvarliges instruksjonsmyndighet overfor databehandler. Instruksjoner som dataansvarlig setter rammene for hvordan databehandler skal behandle personopplysninger på vegne av behandlingsansvarlig. Virksomhetens ledelse har ansvaret for å inngå en databehandleravtale med databehandler.
Personvernforordningen artikkel 28 nr. 3 stiller krav til databehandleravtalens innhold. Dataansvarlig skal påse at skyleverandørens eventuelle standardavtaler ikke er i motstrid med lovbestemte krav og Normens krav.
Det er viktig å presisere i kontrakten med skyleverandøren at databehandleravtalen skal gå foran leverandørens standardbetingelser. Dersom det benyttes en standardavtale, for eksempel SSA-L, bør man ta inn en klausul som regulerer rangeringen.
En databehandleravtale kan gjerne inngå som et vedlegg i andre avtaler. Hva som reguleres i databehandleravtalen utover kravene til innhold som følger av personvernforordningen, vil avhenge av tjenestemodellen for skytjenesten.
Minimumskravene til en databehandleravtale finnes i Bruk av databehandler. (LENKE?)
Direktoratet for e-helse har utarbeidet en mal for databehandleravtale med veileder som kan benyttes. Malen finnes både på norsk og engelsk. LENKE?
Virksomheten bør vurdere om punktene nedenfor skal innarbeides i databehandleravtalen:
- Prinsippene for tilgangsstyring (Både internt hos leverandør og i virksomheten som skal bruke løsningen).
- Segmentering av informasjon slik at det er logisk eller fysisk separasjon mellom ulike virksomheters data.
- Hvordan sikkerhetskopiering gjennomføres og hvordan tilbakekopiering (restore) skal skje.
- Hvor og i hvilket land den faktiske lagringen av helse- og personopplysninger skjer med korrekt adresse(r).
- Hvordan tilbakelevering av data / applikasjon skal skje ved avslutning av avtalen / avvikling av samarbeidet.
- Hvordan virksomheten kan få innsyn i den tekniske løsningen.
- Hvordan virksomheten skal få innsyn i logger.
- Administrasjon av taushetserklæringer. Det anbefales at leverandøren administrerer disse for sine ansatte og eventuelle underleverandører.
- Hvordan pasientens rettigheter til innsyn i personopplysningene, retting og sletting ivaretas, samt innsyn i logger.
- Gjennomføring av sikkerhetsrevisjoner og innsyn i resultat fra eksterne revisjoner.
- Tilrettelegge for dokumentasjon slik at virksomheten kan ivareta sin kontrollplikt.
- Plikt til å iverksette avviksbehandling og rapportering til dataansvarlig.
- Krav om at leverandør gjennomfører risikovurderinger og at disse revideres ved endringer, samt at virksomheten har rett til innsyn eller tilgang til vurderingene.
