Alle virksomheter som benytter seg av en databehandler har plikt til å ha en databehandleravtale (jf. personvernforordningen artikkel 28 og 29). Databehandleravtalen skal sikre at personopplysninger blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle opplysninger.
Flere kvalitetsregistre er nå i ferd med å inngå nye eller oppdatere sine databehandleravtaler i tråd med forordningens krav, og vi får mange spørsmål om vi kan bistå med maler og eksempler. Servicemiljøet har tidligere hatt en mal for databehandleravtale spesielt utformet etter innspill fra registermiljøet. Erfaringen er at disse avtalene har vært vanskelig å holde oppdatert etter intensjonen, og Servicemiljøet i SKDE har derfor valgt å ikke oppdatere denne malen etter ny lovgivning.
Det er dataansvarlig for registeret som legger premissene for avtalens innhold. En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med dataansvarlig. Databehandleravtaler skal sørge for at både den dataansvarlige og databehandleren forstår sine forpliktelser og sitt ansvar.
Dersom din virksomhet ikke allerede har egen avtalemal som det er bestemt at skal brukes, kan du finne nyttige tips her:
- Datatilsynet har laget veileder om «Hvordan lage en databehandleravtale» som du kan finne her. Tidligere hadde de de maler til databehandleravtale som et tillegg, men dette har de gått bort fra, og presenterer i stedet konkrete eksempler i veiledningen.
- Direktoratet for e-helse har utviklet en oppdatert versjon av mal for databehandleravtale som kan brukes i helse- og omsorgssektoren.
- Servicemiljøet i Helse Midt- Norge v/leder Elin Tollefsen har ferdigstilt databehandleravtaler med Norsk Helsenett for alle kvalitetsregistrene hvor St. Olav Hospital er dataansvarlig, hvor de har brukt e-helsedirektoratet sin avtalemal. Eksempel på to ferdig utfylt avtale finner du her. Den ene er for ØNH-Tonsilleregisteret hvor St. Olavs Hospital er dataansvarlig og Norsk Helsenett er databehandler. Den andre er en underavtale for Hjerte- og karregistrene mellom St.Olavs Hospital og Norsk Helsenett, da St. Olavs hospital her er databehandler for Folkehelseinstituttet som dataansvarlig for registrene.