Dataansvarlig har ansvar for å inngå en databehandleravtale med leverandøren dersom leverandøren skal drifte IT-tjenester eller får tilgang til helse- og personopplysninger. Databehandleravtalen skal inneholde vilkår for hvordan databehandleren kan behandle helse- og personopplysninger og skal regulere hva databehandler kan og skal gjøre.
Avtalen sikrer at helse- og personopplysninger ikke brukes til andre formål enn det dataansvarlig/behandlingsansvarlig ønsker og at nødvendige tekniske og organisatoriske sikkerhetstiltak følges av databehandleren.
Hvis leverandøren bruker en databehandler (underleverandør) må de samme vilkårene i databehandleravtalen med kunden gjenspeiles i avtalen med den underleverandøren til leverandøren, for eksempel restriksjoner på bruk av underleverandører og overføring av personopplysninger utenfor EU. Leverandøren er ansvarlig for at underleverandører som benyttes, er forpliktet til å følge de samme vilkårene som er fastsatt i databehandleravtalen med kunden. Slik kan leverandørens kunder stole på at vilkårene som leverandøren har forpliktet seg til i kontrakten, også gjelder for andre selskaper som leverandøren samarbeider med for å levere tjenesten/produktet (underleverandørene).
Leverandøren må sørge for at de ansatte er kjent med pliktene i databehandleravtalen.
Ofte vil databehandleren ha mer kunnskap enn dataansvarlig om tjenesten som leveres. Det er derfor ofte lurt å ha god dialog mellom partene også før databehandleravtalen inngås.
