Hva er en databehandleravtale?

Når UiO bruker eksterne leverandører til å behandle personopplysninger, må det inngås en avtale, databehandleravtale, mellom UiO og den andre virksomheten.

Vilkårene som følger av en databehandleravtale kan også fremgå i en tjeneste- eller driftsavtale.

Forholdet mellom UiO som behandlingsansvarlig og den eksterne leverandøren, databehandleren, skal i alle tilfeller være regulert i en databehandleravtale, eller fremgå av tjeneste- eller driftsavtale. Dette reguleres av norsk personopplysningslovgivning og personvernforordningen, artikkel 28 og 29.

En ekstern leverandør, databehandler, kan ikke behandle personopplysningene til ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter ved UiO på en annen måte enn det som er skriftlig avtalt med UiO i databehandleravtalen. UiO, som behandlingsansvarlig, skal forsikre seg om at databehandleren har tilstrekkelig sikkerhetsnivå. Dette gjøres ved å gjennomføre en risiko- og sårbarhetsanalyse.

MERK! Hvis UiO er behandlingsansvarlig risiko- og sårbarhetsanalyse være gjennomført før avtalen er gyldig. Kontakt behandlingsansvarlig på behandlingsansvarlig@uio.no om du har spørsmål.

UiO har egne maler for databehandleravtale som kan brukes:

Dersom motparten ønsker å bruke sin egen mal, pass på at avtalen inneholder vilkår som UiO kan akseptere.

Husk at databehandleravtalen må signeres av en person med signeringsmyndighet.

Du kan også lese mer om databehandleravtaler i Datatilsynet sin veileder. NB! Selv om du bruker veilederen til Datatilsynet, skal malene til UiO benyttes.

Publisert 1. apr. 2016 13:05 - Sist endret 23. okt. 2018 09:42