03. april 2017

Skabelon til databehandleraftaler med it-leverandører

KL har sammen med KOMBITs Videncenter og kommunale eksperter udarbejdet en skabelon til en databehandleraftale, som kommunerne kan bruge i forbindelse med indgåelse af aftaler med it-leverandører, som skal behandle persondata på vegne af kommunen.

Sagen

KL har sat en række initiativer i gang, som skal hjælpe kommunerne med en succesfuld implementering af databeskyttelsesforordningen, der får virkning i kommunerne fra 25. maj 2018.

En væsentlig opgave i forhold til at have styr på databeskyttelsen er at sikre, at kommunens leverandører er opmærksomme på kravene til datasikkerhed, når de behandler kommunens persondata. Dette sker bl.a. ved indgåelse af databehandleraftaler med leverandørerne.

Datatilsynet har flere gange kritiseret kommunerne for ikke at have indgået de lovpligtige databehandleraftaler.

KL har derfor sammen med KOMBITs Videncenter og kommunale eksperter udarbejdet en skabelon til en databehandleraftale, som kommunerne kan bruge i forbindelse med indgåelse af aftaler med it-leverandører, som skal behandle persondata på vegne af kommunen.

Skabelonen tager højde for såvel den gældende persondatalovs og den kommende databeskyttelsesforordnings krav til en databehandleraftale. Skabelonen kan således anvendes til indgåelse af databehandleraftaler, både i forhold til gældende regler og i forhold til perioden efter databeskyttelsesforordningen får virkning. Med udgangspunkt i skabelonen kan kommunen således lave databehandleraftaler for:

–    Perioden frem til den 25. maj 2018
Aftaler, som skal gælde nu (og opfylde persondatalovens krav) og frem til databeskyttelsesforordningen får virkning

–    Perioden frem til og efter den 25. maj 2018
Aftaler, som skal gælde nu og efter, at databeskyttelsesforordningen får virkning (og dermed opfylde både persondatalovens og databeskyttelsesforordningens krav)

–    Perioden fra den 25. maj 2018
Aftaler, som skal gælde fra databeskyttelsesforordningen får virkning (og opfylde databeskyttelsesforordningens krav)

Der er ligeledes udarbejdet en vejledning, "Kommentarer til skabelon for databehandleraftaler mellem kommuner og it-leverandører", med hjælp til udfyldelse og forståelse af skabelonen.

Efter ønske fra en række kommuner er der medtaget punkter i skabelonen, som er udtryk for ”supplerende praksis”, som kommunen kan vælge at medtage i databehandleraftalen, hvis man finder det er relevant i forhold til den konkrete it-leverandør.

Kommunen kan tilpasse skabelonen således, at den alene omfatter det, der er nødvendigt i forhold til de lovgivningsmæssige krav til en databehandleraftale, jf. vejledningen i skabelonen.

Målet har været at skabe en fleksibel og praktisk anvendelig skabelon til databehandleraftale, som kommunerne kan anvende på de fleste aftaler med it-leverandører, som behandler personoplysninger på vegne af kommunerne.

KOMBITs Videncenter og KL håber, at skabelonen til databehandleraftale kan lette det administrative arbejde i kommunerne.

Hvis du vil vide mere

Skabelonen til databehandleraftale med tilhørende vejledning kan findes på KOMBITs Videncenters hjemmeside: http://www.kombit.dk/videncenter samt KL’s hjemmeside: www.kl.dk/databeskyttelse.

Kontaktperson

KL:                Pernille Jørgensen; lpj@kl.dk

                      Inge Fløe Buhl; ifb@kl.dk

KOMBIT:       Nina Uhland; nuh@kombit.dk

YDERLIGERE MATERIALE

  • PDF

    Skabelon for databehandleraftaler mellem kommuner og it-leverandører 1.0 3. april

  • DOCX

    Skabelon for databehandleraftaler mellem kommuner og it-leverandører (1)

  • PDF

    Kommentarer til skabelon for databehandleraftaler mellem kommuner og it-leverandører