Databehandleraftaler og databehandlertilsyn

Behandling af borgeres data kræver en databehandleraftale på grund af GDPR-forordningen. Læs her, hvad en databehandleraftale går ud på, og hvilke krav der er til dig som leverandør.

Hvad er en databehandleraftale?

Kommunen er forpligtet til at beskytte borgers personoplysninger, blandt andet på grund af GDPR.

Hvis en leverandør skal behandle personoplysninger på vegne af kommunen i forbindelse med leveringen af en ydelse, service eller løsning, bliver leverandøren databehandler, og kommunen er dataansvarlig, og der skal foreligge en databehandleraftale imellem dem.

En databehandleraftale (DBA) er en skriftlig aftale mellem en dataansvarlig og en databehandler om, hvordan personoplysninger må behandles. Aftalen er et krav i EU’s databeskyttelsesforordning (GDPR), når en leverandør behandler personoplysninger på vegne af en offentlig myndighed.

Ifølge GDPR-forordningen (art. 28, stk. 3) skal der indgås en kontrakt, som beskriver rammerne for denne behandling – det er databehandleraftalen.

I BIF tager vi udgangspunkt i vores egen skabelon, som er baseret på Datatilsynets databehandleraftaleskabeloner. Den kan ses her: Datatilsynets skabelon til databehandleraftaler.

Dataansvarlig og databehandler

Når kommunen indgår en aftale med en leverandør, skal rollerne være tydeligt afklaret:

  • Kommunen er Dataansvarlig, dvs. den part, der bestemmer formål og hjælpemidler til behandlingen af personoplysninger.
  • Leverandøren er Databehandler, dvs. den part, der behandler personoplysninger på vegne af kommunen.

Behandling må ikke gå i gang før databehandleraftalen er på plads

Før leverandøren må behandle personoplysninger på kommunens vegne, er der krav om, at databehandleraftalen er udformet og godkendt, samt underskrevet af både dataansvarlig og databehandler.

Som leverandør skal du derfor være opmærksom på, at:

  • teknisk drift, test med rigtige data, migrering, support mv. ikke må påbegyndes, før aftalen er underskrevet,
  • ændringer i opgaven, der påvirker databehandlingen (fx nye funktioner, nye underleverandører eller nye typer data), kan kræve en opdateret databehandleraftale eller et tillæg,
  • der for hver kontrakt skal udarbejdes en databehandleraftale, selvom leverandøren evt. har flere kontrakter med kommunen, da databehandleraftalen omfatter den specifikke behandling af data for den enkelte kontrakt.

Hvis du som leverandør er i tvivl om, hvilke krav der gælder for din løsning, skal du kontakte kommunen, før du påbegynder behandlingen af personoplysninger.

Tilsyn med databehandleraftaler

Kommunen har som dataansvarlig pligt til løbende at føre tilsyn med, at databehandleren overholder databehandleraftalen. Som leverandør skal du derfor være forberedt på at kunne dokumentere, at dine processer, systemer og sikkerhedsforanstaltninger lever op til kravene.

Tilsynet kan ske på flere måder, afhængigt af opgavens karakter, risikoniveauet og datatyperne, der behandles.

Da kommunen ofte behandler meget sensitive oplysninger - også ofte om særligt udsatte borgere - vil kommunen have høje krav til omfanget af tilsynet. Det betyder i praksis, at mange leverandører vil være forpligtede til at levere en revisionserklæring. Der er forbundet væsentlige omkostninger med udarbejdelse af en revisionserklæring. Databehandleren skal derfor være opmærksom på at indregne disse omkostninger i prisen i de tilfælde, hvor der skal leveres en revisionserklæring.

Du kan læse mere om de forskellige tilsynskoncepter her: Datatilsynets vejledning om tilsyn med databehandlere (oktober 2021).

Skabelon til databehandleraftale

Skabelon til databehandleraftale

FAQ om databehandleraftaler og databehandlertilsyn

Fold alle ud

Hvad er personoplysninger?

GDPR gælder for alle oplysninger, der vedrører en identificeret eller identificerbar fysisk person. Personoplysningsbegrebet er bredt og omfatter langt mere end kun navn og CPR-nummer.

Der er overordnet set fire forskellige typer af personoplysninger:

  1. Almindelige personoplysninger
    Kan eksempelvis være:
    • navn
    • adresse
    • kontaktoplysninger
    • fødselsdato 
       
  2. Særlige (følsomme) personoplysninger
    • helbredsoplysninger og handicap
    • oplysninger om etnisk oprindelse eller race
    • politisk, religiøs eller filosofisk overbevisning
    • fagforeningsforhold
    • behandling af genetiske data, biometriske data
    • seksuelle forhold eller orientering
       
  3. Oplysninger om straffedomme og lovovertrædelser
    Disse er ikke klassificeret som følsomme i GDPR, men har særregler og skal behandles med særlig forsigtighed.
     
  4. Fortrolige/beskyttelseskrævende oplysninger
    Kan eksempelvis være:
    • CPR-nummer
    • økonomiske forhold
    • sociale og familiemæssige forhold

       

Hvad indeholder en databehandleraftale?

En databehandleraftale skal som minimum beskrive:

  • Formål og karakter af behandlingen: Hvad skal leverandøren gøre med data (fx drift af IT-system, support, analyse m.v.)?
  • Typer af personoplysninger: Fx navn, adresse, CPR-nummer, helbredsoplysninger m.v.
  • Kategorier af registrerede personer: Fx borgere, medarbejdere, pårørende, børn og unge.
  • Instrukser fra den dataansvarlige: Databehandleren må kun behandle oplysninger efter kommunens dokumenterede instruks.
  • Sikkerhed og fortrolighed: Krav til tekniske og organisatoriske sikkerhedsforanstaltninger, logning, adgangsstyring, m.v.
  • Underleverandører (underdatabehandlere): Hvornår og hvordan leverandøren må bruge andre underleverandører – og på hvilke vilkår?
  • Sletning og tilbagelevering af data: Hvad der skal ske med data, når opgaven ophører?
  • Revision og tilsyn: Kommunens ret til at føre tilsyn og få dokumentation for, at kravene efterleves.

Hvad skal leverandøren være opmærksom på i forbindelse med tilsyn?

Leverandøren skal være opmærksom på, at:

  • der er flere forskellige tilsynsformer, alt efter mængden og følsomheden/fortroligheden af de personoplysninger, som I behandler på vegne af kommunen.
  • jo mere følsomme oplysninger, der indgår i behandlingen, jo større krav stiller vi til et tæt og systematisk tilsyn.
  • den valgte tilsynsform vil fremgå af databehandleraftalens Bilag C.
  • leverandøren skal samarbejde loyalt om tilsynet og stille relevant information og dokumentation til rådighed.
  • evt. omkostninger ifm. det valgte tilsyn afholdes af leverandøren.

Hvad skal en leverandør være særligt opmærksom på i forbindelse med tilsyn via revisionserklæring?

Leverandøren skal være opmærksom på, at:

  • leverandøren én gang årligt skal få udarbejdet en revisionserklæring, der omfatter jeres behandling af personoplysninger for kommunen.
  • hvis leverandøren har flere kontrakter og databehandleraftaler med kommunen, kan leverandøren vælge at få lavet én samlet revisionserklæring, der dækker alle kontrakterne.
  • hvis leverandørens revisionserklæring(er) er udarbejdet til andre samarbejdspartnere, kan leverandøren med fordel lade disse omfatte alle aftalerne, herunder aftalerne med BIF, så leverandøren kan nøjes med at købe én samlet erklæring.

Kontakt

Iwona Teresa Wozninska

Iwona Teresa Wozninska

Beskæftigelses-, Integrations- og Erhvervsforvaltningen

dk9l@kk.dk

Kontaktes ved spørgsmål til databehandleraftaler.

Hans Erik Praëm Fussing

Hans Erik Praëm Fussing

Beskæftigelses-, Integrations- og Erhvervsforvaltningen

g633@kk.dk

Kontaktes ved spørgsmål til tilsyn med databehandling.