Når eksterne leverandører behandler helse- og personopplysninger på vegne av dataansvarlig, f.eks. ved ekstern lagring eller sletting, er disse å anse som databehandlere. Databehandler kan ikke behandle helse- og personopplysninger på annen måte enn det dataansvarlig har bestemt.
For å regulere ansvar, rettigheter og plikter mellom dataansvarlig og databehandler, skal det inngås en databehandleravtale. Denne avtalen skal også regulere hvilke opplysninger databehandler skal behandle og for hvilket formål. I tilfeller hvor leverandøren skal bruke underleverandør(er) skal disse inngå en databehandleravtale som gjenspeiler avtalen mellom dataansvarlig og leverandøren, slik at de samme kravene som stilles til leverandøren også stilles til underleverandøren.
Databehandleravtalen skal inneholde krav om at ansatte hos leverandører skal undertegne en taushetserklæring på lik linje som ansatte i den dataansvarliges virksomhet. Dataansvarlig skal kunne se slike taushetserklæringer ved behov.
Normens faktaark for bruk av databehandler (faktaark 10) gir ytterligere informasjon om bruk av databehandler, samt mal for databehandleravtale
Ved anskaffelse av MU er det anbefalt å anskaffe utstyr hvor leverandøren ikke behandler helse- og personopplysninger eller i hvert fall begrense slik behandling til det som er absolutt nødvendig for tiltenkt bruk av utstyret.
I tilfeller hvor ekstern leverandør eller servicepersonell ikke skal behandle helse- og personopplysninger på vegne av dataansvarlig kreves det ikke en databehandleravtale. Innsyn i helse- og personopplysninger utløser i seg selv ikke behov for databehandleravtale. Det kreves ikke en databehandleravtale i tilfeller hvor ekstern leverandør eller servicepersonell bare skal utføre tjenesteoppdrag som omfatter installasjon, konfigurasjon, vedlikehold og andre tekniske tjenester som utføres av leverandøren på MU som eies, leies eller på annen måte disponeres av oppdragsgiveren. Dette er forutsatt at det ikke medfører databehandling ved at helse- og personopplysninger endres, kopieres eller hentes ut og tilgangen ikke benyttes til medisinsk behandling eller diagnostikk. I slike tilfeller bør servicepersonell likevel undertegne taushetserklæring i tilfelle de kommer i kontakt med helse- og personopplysninger ved sitt arbeid, f.eks. utskrifter som ligger lagret i utstyret eller opplysninger på skjerm.
Det kan oppstå en gråsone der leverandøren har kontinuerlig fjerntilgang til systemer hvor personopplysninger behandles, og det må gjøres en konkret vurdering av hvorvidt det foreligger et databehandlerforhold.
