Hva er en databehandleravtale?

Når UiO bruker eksterne leverandører til å behandle personopplysninger, må det inngås en avtale, databehandleravtale, mellom UiO og den andre virksomheten.

Forholdet mellom UiO som behandlingsansvarlig og den eksterne leverandøren, databehandleren, skal i alle tilfeller være regulert i en databehandleravtale. Dette reguleres av personopplysningsloven § 13, jf. § 15.

En ekstern leverandør, databehandler, kan ikke behandle personopplysningene til ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter sine personopplysninger ved UiO på en annen måte enn det som er skriftlig avtalt med UiO i databehandleravtalen. UiO, som behandlingsansvarlig, skal forsikre seg om at databehandleren har tilstrekkelig sikkerhetsnivå, jf. personopplysningsloven § 15. Dette gjøres ved å gjennomføre en risiko- og sårbarhetsanalyse.

MERK! Hvis UiO er behandlingsansvarlig risiko- og sårbarhetsanalyse være gjennomført før avtalen er gyldig. Kontakt behandlingsansvarlig på behandlingsansvarlig@uio.no om du har spørsmål.

UiO har egne maler for databehandleravtale:

Husk at databehandleravtalen må signeres av en person med signeringsmyndighet.

Publisert 1. apr. 2016 13:05 - Sist endret 14. des. 2016 16:05