Hva er en databehandleravtale?

Når UiO bruker eksterne leverandører til å behandle personopplysninger, må det inngås en avtale, databehandleravtale, mellom UiO og den andre virksomheten.

Vilkårene som følger av en databehandleravtale kan også fremgå i en tjeneste- eller driftsavtale.

Forholdet mellom UiO som behandlingsansvarlig og den eksterne leverandøren, databehandleren, skal i alle tilfeller være regulert i en databehandleravtale, eller fremgå av tjeneste- eller driftsavtale. Dette reguleres av norsk personopplysningslovgivning og personopplysningsforordningen, artikkel 28 og 29.

En ekstern leverandør, databehandler, kan ikke behandle personopplysningene til ansatte, studenter, gjesteforskere, gjester eller respondenter/informanter sine personopplysninger ved UiO på en annen måte enn det som er skriftlig avtalt med UiO i databehandleravtalen. UiO, som behandlingsansvarlig, skal forsikre seg om at databehandleren har tilstrekkelig sikkerhetsnivå. Dette gjøres ved å gjennomføre en risiko- og sårbarhetsanalyse.

MERK! Hvis UiO er behandlingsansvarlig risiko- og sårbarhetsanalyse være gjennomført før avtalen er gyldig. Kontakt behandlingsansvarlig på behandlingsansvarlig@uio.no om du har spørsmål.

UiO har egne maler for databehandleravtale:

Husk at databehandleravtalen må signeres av en person med signeringsmyndighet.

Du kan også lese mer om databehandleravtaler i Datatilsynet sin veileder. NB! Selv om du bruker veilederen til Datatilsynet, skal malene til UiO benyttes.

Publisert 1. apr. 2016 13:05 - Sist endret 7. aug. 2018 13:33