Ved fjernaksess til helse- og personopplysninger mellom virksomhet og leverandør, er leverandøren databehandler. Når dataansvarlig benytter databehandlere, så må partene inngå databehandleravtale.
Personvernforordningen artikkel 28 nr. 3 stiller krav til avtalens innhold, som blant annet skal bestå av instrukser for databehandler og krav til sikkerheten ved databehandlers behandling av personopplysninger.
Dersom det eksempelvis foreligger et faglig behov for at leverandøren flytter helse- og personopplysninger til leverandørens sikre nettverksområder, eller at leverandøren av annen grunn behandler opplysningene i eget driftsmiljø, skal dette utføres i henhold til en databehandleravtale.
Databehandleravtalen skal være skriftlig, slik det fremgår av Normen 6.1 kapittel 5.7.4.2, og kan enten være en frittstående avtale mellom partene eller en integrert del av annet avtaleverk, som omtalt i veilederens kapittel 2.4.
Ytterligere krav til databehandler og databehandleravtalen beskrives i Normen, og presiseres i Bruk av databehandler (faktaark 10)
Dersom databehandler behandler helse- og personopplysninger fra flere virksomheter, skal databehandler ved hjelp av tekniske tiltak ivareta at det er etablert skiller mellom virksomhetene i henhold til gjennomført risikovurdering.
Overføring av opplysninger til tredjeland
Tjenesteutsettelse som innebærer overføring av opplysninger til land som er tredjeland etter personvernforordningen (land utenfor EU og EØS-området) skal reguleres i avtale om fjernaksess.
Dataansvarlig må være oppmerksom på at både å oppbevare personopplysninger i tredjeland og å gi en aktør etablert i et tredjeland tilgang til opplysningene, vil regnes som overføringer til tredjeland. Et eksempel som kan utgjøre en slik overføring, er bruk av underleverandører som har kontorer i tredjeland som sikrer døgnåpne IT-støttetjenester.
