´óÏó´«Ã½

En databehandler er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige. 

En databehandler har ikke et selvstendig behandlingsgrunnlag for personopplysningene, men avleder sin rett til å behandle personopplysningene fra den behandlingsansvarliges rett. En databehandler må forholde seg til instruksen fra den behandlingsansvarlige, og har ikke et selvstendig formål. 

I noen tilfeller kan en databehandler være både databehandler og behandlingsanssvarlig for de samme personopplysningene, men med ulike formål. Dette må avklares nærmere. 

Den behandlingsansvarlige skal bare bruke databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen av personopplysningene oppfyller kravene i personvernforordningen og vern av den registrertes rettigheter.

Det er krav til databehandleavtale når en databehandler skal behandle den behandlingsansvarliges personopplysninger på vegne av den behandlingsansvarlige. 

NÃ¥r er det ikke krav om databehandleravtale?

Når flere behandlingsansvarlige har et felles formål med behandlingen av personopplysningene, er det ikke nødvendig med en databehandleravtale, selv om kun én av de behandlingsansvarlige er ansvarlig for behandlingen i løsningen.

• et eksempel er samarbeidsprosjekter innen forskning, der data behandles pÃ¥ UiBs forskningsserver SAFE
• et annet eksempel er prosjekter der en part (som har egeninteresse i prosjektet) behandler egne data pÃ¥ vegne av prosjektet, for eksempel et sykehjem som bistÃ¥r med Ã¥ holde oversikt over egne pasienter, eller en skole som adminstrerer lister over skoleelever

Utlevering/deling av data med andre behandlingsansvarlige som har et eget behandlingsgrunnlag (lovhjemmel til å behandle opplysningene), krever vanligvis ikke en databehandleravtale. Den mottakende part må likevel demonstrere tilfredsstillende informasjonssikkerhet. 

Databehandleren kan kun engasjere annen databehandler hvis det på forhånd er gitt særlig eller generell skriftlig tillatelse fra den behandlingsansvarlige. Hvis det gitt en en generell skriftlig tillatelse, skal databehandleren underrette den behandlingsansvarlige om planer om å engasjere underleverandør (eller om planer til å bytte til annen underleverandør), slik at den behandlingsansvarlige får muligheten til å motsette seg slike endringer. 

Databehandleravtalene skal regulere:

• gjenstanden for og varigheten av behandlingen
• behandlingens art og formÃ¥l
• typen personopplysninger og kategorier av registrerte
• den behandlingsansvarliges rettigheter og plikter
• hva databehandlerne kan gjøre med personopplysninger som UiB er behandlingsansvarlig for
• hvordan personopplysningene skal sikres mot uautorisert tilgang, endring, sletting, tap eller skade 

Etter at systemer eller tjenester som driftes av eksterne databehandlere er tatt i bruk, er UiB pliktig til å kontrollere at de overholder vilkårene i inngåtte databehandleravtaler. Dette skjer blant annet ved at UiB får tilgang til og gjennomgår databehandlernes egne revisjoner av informasjonssikkerheten i aktuelle systemer eller tjenester. 

Se maler for databehandleravtaler på

Det kan inngås rammeavtale/samleavtale for databehandling der hvor dette er aktuelt.  

I tillegg til å anvende databehandlere, er UiB selv databehandler, for eksempel for SAFE, som benyttes av andre forskningsinstitusjoner. UiB har rutiner og retningslinjer som ivaretar de personvernforpliktelser som dette innebærer. 

Databehandlere er eksterne aktører (ofte kommersielle selskaper eller andre universiteter/høyskoler) som har fått i oppdrag å drifte et elektronisk system eller tjeneste på vegne av UiB. 

Eksterne aktører blir databehandlere for UiB når driften av elektroniske systemer eller tjenester innebærer at de får tilgang til personopplysninger som UiB er behandlingsansvarlig (intern lenke til pkt om behandlingsansvarlig) for. 

Som behandlingsansvarlig er UiB pliktig til å sørge for at det bare brukes databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen når de behandler personopplysninger som UIB er behandlingsansvarlig for. 

Dette skal først skje ved at det gjennomføres risikovurderinger av informasjonssikkerheten (lenke til side Personvern ved UiB – om Informasjonssikkerhet ved UiB) i de eksterne systemene eller tjenestene som UiB vurderer å ta i bruk. Dersom risikovurderingen viser at informasjonssikkerheten er tilfredsstillende, skal det inngås skriftlige avtaler (databehandleravtaler) med databehandlerne.