Leverandør av velferdsteknologi til kommunen har ikke et selvstendig ansvar for at teknologien ivaretar kravene i lovverket. Kommunen må derfor stille krav til leverandøren om etterlevelse av regelverk i kravspesifikasjoner, avtaler mv. og sørge for at løsningen blir dokumentert
Bruk av databehandler og databehandleravtale
En databehandler er en virksomhet som behandler helse- og personopplysninger på vegne av dataansvarlig. Når kommunen benytter en leverandør til et oppdrag, vil ikke denne leverandøren nødvendigvis være databehandler.
Det er kun når leverandør skal behandle helse- og personopplysninger på vegne av kommunen at det foreligger et databehandlerforhold. Hvis leverandøren f.eks. bare får tilgang til opplysninger, men ikke skal behandle dem, vil det være tilstrekkelig med taushetserklæring.
Når andre behandler helse- og personopplysninger på vegne av kommunen, skal dette reguleres i en databehandleravtale. Databehandleravtalen kan være en frittstående avtale eller den kan være en integrert del av en leveranse- eller tjenesteavtale.
Kommunen kan bruke egen mal, eller databehandlerens mal. Databehandleravtalen skal være skriftlig. Det skal fremgå av avtalen at databehandler forplikter seg til å oppfylle lovbestemte krav og kravene i Normen. Databehandler har på lik linje med dataansvarlig et selvstendig ansvar for informasjonssikkerhet og for ivaretakelse av den registrertes personvern.
Les mer om bruk av databehandler i bruk av databehandler, faktaark 10
