Databehandleravtaler – sjekkliste
Databehandleravtaler – sjekkliste
Nedenfor følger en sjekkliste som universiteter og høgskoler kan anvende når de har behov for å kvalitetssikre databehandleravtaler som leverandører av skytjenester eller andre typer nettbaserte tjenester tilbyr.
Sjekklisten kan også anvendes ved tradisjonell utsetting av systemdrift til eksterne aktører som omfatter behandling av personopplysninger.
Sjekklisten er oppdatert med hensyn til nye krav til databehandleravtaler som vil gjelde i Norge og EU fra mai 2018 (GDPR).
Følgende momenter skal eller bør reguleres i databehandleravtaler med eksterne tjenesterandører som behandler personopplysninger på vegne av institusjonen:
• Ansvarsfordeling mellom leverandøren og institusjonen: Leverandøren bekrefter at personopplysninger som behandles i tjenesten skjer på vegne av institusjonen.
• Skriftlige instrukser fra institusjonen: Leverandøren forplikter seg til å følge institusjonens skriftlige instrukser mht. hvordan opplysningene skal behandles og sikres. Det skal fremgå at leverandøren ikke kan behandle personopplysningene på andre måter enn det som følger av institusjonens skriftlige instrukser.
• Oversikt over opplysningstyper: Leverandøren skal spesifisere hvilke typer personopplysninger som behandles på vegne av institusjonen og hvem opplysningene gjelder, for eksempel studenter og ansatte.
• Leverandørens bruk av personopplysningene: Leverandøren skal tydelig definere hva institusjonens personopplysninger kan brukes til, for eksempel at de ikke vil bli brukt til markedsføring, men bare til administrasjon og levering av tjenesten. Dersom leverandøren ønsker å anvende opplysningene til andre formål enn det som opprinnelig er avtalt, må leverandøren få tillatelse til dette fra institusjonen. Tillatelse fra institusjonen vil vanligvis også være påkrevd dersom leverandøren skal utlevere personopplysninger til tredjeparter, for eksempel andre virksomheter eller myndighetsorganer.
• Tidsavgrenset behandling: Leverandøren spesifiserer hvor lenge de aktuelle personopplysningene blir behandlet på vegne av institusjonen, for eksempel til den dato avtalen om levering av tjenesten opphører eller til avtalen sies opp.
• Institusjonens plikter: Institusjonen forplikter seg til å ivareta sine lovpålagte oppgaver/plikter når behandling av personopplysninger settes ut til en ekstern tjenesteleverandør.
• Forvaltning av rettigheter: Leverandøren forplikter seg til å hjelpe institusjonen med å ivareta rettighetene til de som opplysningene gjelder, for eksempel studenter og ansatte. Dette omfatter blant annet retten til informasjon om hvordan leverandøren forvalter personopplysninger, retten til innsyn i egne personopplysninger og retten til å kreve retting eller sletting av egne opplysninger. Det bør spesifiseres at leverandøren kan bli erstatningsansvarlig overfor sluttbrukerne dersom leverandøren eller leverandørens underleverandører til tjenesten behandler personopplysninger på ulovlige måter.
• Dataportabilitet: I enkelte tilfeller bør avtalen spesifisere at sluttbrukerne (studenter, ansatte, osv.) har rett til å få utlevert sine opplysninger fra leverandøren i et format som gjør det enkelt for dem å overføre opplysningene til en annen leverandør. For universiteter og høgskoler er det trolig at dette primært vil være aktuelt dersom institusjonen benytter eksterne tjenester med bakgrunn i samtykke fra den enkelte sluttbruker.
• Informasjonssikkerhet hos leverandøren: Leverandøren forplikter seg til å iverksette alle nødvendige organisatoriske og tekniske tiltak for å unngå at personopplysninger som institusjonen er ansvarlig for utsettes for uautorisert tilgang, spredning, endring, skade, ødeleggelse eller utilgjengelighet (informasjonssikkerhet). Kravet er at informasjonssikkerheten hos leverandøren skal være tilfredsstillende. Tiltak for å oppnå tilfredsstillende informasjonssikkerhet kan blant annet omfatte pseudonymisering eller kryptering av personopplysninger.
• Taushetsplikt hos leverandøren: Leverandøren tydeliggjør at alle ansatte som har tilgang til institusjonens personopplysninger har taushetsplikt for disse opplysningene. Det bør i tillegg tydeliggjøres at ansatte hos leverandøren får nødvendig opplæring i hvordan institusjonens personopplysninger skal håndteres.
• Varslingsplikt ved sikkerhetsbrudd: Leverandøren forplikter seg til å varsle institusjonen dersom personopplysninger som institusjonen er ansvarlig for utsettes for sikkerhetsbrudd (uautorisert tilgang, spredning, endring, skade, ødeleggelse eller utilgjengelighet). Det bør fremgå at leverandøren skal dokumentere sikkerhetsbruddet og at varslingen skal skje så raskt som praktisk mulig. Varslingen skal blant annet inneholde informasjon om hvem som er berørt av sikkerhetsbruddet, hvilke typer
personopplysninger som er berørt og hva leverandøren har gjort for å håndtere eller utbedre situasjonen.
• Varsling ved ulovlig behandling: Leverandøren forplikter seg til å varsle institusjonen dersom institusjonens skriftlige instrukser (etter leverandørens oppfatning) er ulovlige (innebærer brudd på lovverkets regler om behandling av personopplysninger).
• Leverandørens bruk av underleverandører: Leverandøren forplikter seg til ikke å engasjere nye underleverandører som har tilgang til institusjonens personopplysninger uten at institusjonen har gitt sin godkjenning til dette. Dersom underleverandører benyttes, skal det fremgå at alle underleverandører er bundet av de samme reglene som gjelder for leverandørens behandling av institusjonens personopplysninger, spesielt når det gjelder informasjonssikkerheten til opplysningene. Til slutt skal det fremgå at leverandøren er ansvarlig overfor institusjonen for avtalebrudd som eventuelle underleverandører til tjenesten gjør seg skyldig i.
• Leverandørens overføring av personopplysninger til land utenfor EØS: Leverandøren redegjør for lovlighetsgrunnlaget som benyttes dersom personopplysninger overføres til land utenfor EØS-området, for eksempel dersom tjenesten anvender underleverandører eller datasentre i slike land. Overføringen kan for eksempel baserer seg på EUs standardkontrakt for overføring av personopplysninger til tredjeland.
• Revisjoner hos leverandøren: Leverandøren redegjør for hvordan revisjon av leverandørens arbeid med avtaleoverholdelse skal foregå. Dette gjelder spesielt hvordan personopplysningene sikres mot uautorisert tilgang, spredning, endring, skade, ødeleggelse eller utilgjengelighet (informasjonssikkerhet). Det kan fremgå at slike revisjoner blir utført av uavhengige revisorer engasjert av leverandøren eller at institusjonen selv kan gjennomføre revisjoner hos leverandøren (eventuelt begge deler).
• Institusjonens tilgang til nødvendig dokumentasjon: Leverandøren gir institusjonen tilgang til dokumentasjon som setter institusjonen i stand til å kontrollere at leverandøren ivaretar sine avtaleforpliktelser. Slik dokumentasjon vil blant annet omfatte rapporter fra revisjoner av informasjonssikkerheten til personopplysninger som leverandøren behandler på vegne av institusjonen.
• Tilbakeføring og sletting av personopplysninger ved opphør: Leverandøren forplikter seg til å tilbakeføre alle personopplysninger til institusjonen som institusjonen ønsker å ta vare på etter at avtaleforholdet opphører (eller etter at tjenesten opphører å eksistere). Leverandøren skal også forplikte seg til å slette alle personopplysninger etter
opphør av avtaleforholdet. Sletteplikten skal omfatte alle sikkerhetskopier av personopplysninger som leverandøren behandler på vegne av institusjonen.
• Særskilte bestemmelser: Leverandøren forpliktelser seg til å bistå institusjonen med å utrede konsekvensene ved bruk av tjenester/teknologier som representerer en særlig høy risiko for personvernet. Leverandøren skal videre forplikte seg til å bistå i dialogen med Datatilsynet der hvor personvernrisikoen (avdekket gjennom konsekvensutredningen) vanskelig lar seg håndtere på en hensiktsmessig måte. NB: Datatilsynet vil offentliggjøre en liste over tjenester/teknologier hvor det er nødvendig å utrede personvernkonsekvensene før de tas i bruk. Avtalebestemmelser om konsekvensutredning vil være aktuelle når tjenester/teknologier på Datatilsynets liste driftes av eksterne leverandører.