Databehandleravtale

Avtaleskisse – databehandleravtale etter personopplysningsloven

NB: Les veilederen på xxx.xxxxxxxxxxxx.xx/xxxxxxxxxxxxx





Databehandleravtale


I henhold til personopplysningslovens § 13, jf. § 15 og personopplysningsforskriftens kapittel 2.


mellom



………………………….

behandlingsansvarlig



og



………………………….

databehandler


1. Avtalens hensikt

Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse.


2. Formål

Her skal det redegjøres for formålet med databehandleravtalen. Herunder:

  • hvilke personopplysninger som skal behandles

  • hvilke behandlinger som omfattes av avtalen

  • hva som er rammene for databehandlers håndtering av personopplysninger


3. Databehandlers plikter

Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde.

Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.

Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.

Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør.


4. Bruk av underleverandør

Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlige før behandlingen av personopplysninger starter.

Avtale med underleverandører

En slik avtale bør gjøres som et tillegg til denne avtalen.

Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse.


5. Sikkerhet

Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.

Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet.


6. Sikkerhetsrevisjoner

Behandlingsansvarlig skal avtale med databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes av denne avtalen.

Revisjon

Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak.


7. Avtalens varighet

Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig.

eller

avtalen gjelder til ______________

Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning

Avtalen kan sies opp av begge parter med en gjensidig frist på ______, jf. punkt 8 i denne avtalen.


8. Ved opphør

Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen.

Tilbakelevering

Videre kan det avtales at det skal gis en utskrift og kopi av alt innhold i databaser og lignende med data som er omfattet. Kostnader ved dette, eller om opplysningene skal leveres i et særskilt format, kan også inngå i en slik avtale.

Det skal avtales at databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier.

Avtalen bør spesifisere på hvilken måte sletting og/eller destruksjon skal skje etter avtalens opphør.

Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.


9. Meddelelser


Meddelelser etter denne avtalen skal sendes skriftlig til: ___________


10. Lovvalg og verneting


Avtalen er underlagt norsk rett og partene vedtar XXXXXX tingrett som verneting. Dette gjelder også etter opphør av avtalen.


Valg av verneting kan avtales


***


Denne avtale er i 2 – to eksemplarer, hvorav partene har hvert sitt.



Sted og dato





Behandlingsansvarlig Databehandler



……………………….. ………………………

(underskrift) (underskrift)


Document Metadata

Filed: July 26th, 2013