Benyttes det en tjeneste som leveres av en ekstern driftsleverandør skal det opprettes databehandleravtale mellom virksomheten og databehandler. Dette gjelder alle tjenester hvor det behandles helse- og personopplysninger.
Se avtaleeksempel i Bruk av databehandler (faktaark 10).
Se også Vedlegg til Normen "Oversikt over Normens krav" med bl.a. følgende krav databehandler skal ivareta:
- at løsningen oppfyller lovbestemte krav og kravene i Normen
- taushetsplikt for egne medarbeidere
- internkontroll, sikkerhetsrevisjoner og avviksbehandling
- ved terminering skal det foreligge en signert erklæring fra leverandøren om at alle data tilhørende virksomheten er tilbakelevert eller slettet til avtalt tid
