Information om forordningen

Databehandleraftaler

Forordningen stiller krav om, at der skal indgås en databehandleraftale med alle, der behandler data på vegne af kommunen.

Flere kommuner har spurgt KL om, Datatilsynets standardkontraktsbestemmelser skal anvendes i stedet for KL-KOMBIT-databehandleraftaleskabelonen. KL har derfor gennemgået standardkontraktsbestemmelserne og sammenholdt dem med KL-KOMBIT-skabelonen.

KL´s anbefalinger

KL´s anbefalinger er følgende:

  • KL anbefaler, at kommunerne anvender Datatilsynets standardkontraktsbestemmelser, når kommunerne indgår nye databehandleraftaler eller reviderer eksisterende aftaler.
  • KL anbefaler, at kommunerne opretholder eksisterende databehandleraftaler og ikke bruger tid på at overføre indholdet til Datatilsynets standardkontraktsbestemmelser. Databehandleraftaler, som er indgået via KL-KOMBIT´s databehandleraftaleskabelon, er fortsat fuldt lovlige.

Fordele ved standardkontraktsbestemmelserne

Det er KL´s vurdering, at kommunernes indgåelse af databehandleraftaler med deres leverandører og samarbejdsparter vil kunne ske mere smidigt, når der anvendes en "blåstemplet" databehandleraftaleskabelon fra en uafhængig myndighed.

Ligeledes er der i standardkontraktsbestemmelserne flere præciseringer og uddybninger, som KL vurderer er en fordel for kommunerne. Det drejer sig bl.a. om:

- Særskilt uddybning af, hvordan databehandleren skal "bistå" kommunen med at opfylde kommunens forpligtelser ift. besvarelsen af anmodninger om udøvelsen af registreredes rettigheder samt ved sikkerhedsbrud, underretning af den registrerede, udarbejdelse af konsekvensanalyser og høring af Datatilsynet. Desuden en præcisering af databehandlernes forpligtelser, fx til særskilt at udarbejde risikovurderinger og føre lister over, hvem der har adgang til at behandle den dataansvarliges data samt kunne dokumentere disses tavshedspligt.

- Præcisering af den dataansvarliges ret til over for databehandleren at afgive yderligere instrukser samt ret til at stille krav om yderligere sikkerhedsforanstaltninger, hvis de aftalte foranstaltninger ikke viser sig at være tilstrækkelige. Ligeledes en præcisering af kommunens ret til at anfægte rammerne og/eller metoden i de revisionserklæringer, som databehandleren får udarbejdet. Desuden en særskilt bestemmelse om, at den dataansvarlige i tilfælde af databehandlerens konkurs skal kunne indtræde i aftaleforholdet med underdatabehandleren og kunne instruere underdatabehandleren.

Dialog med Datatilsynet

Ved gennemlæsningen af standardkontraktsbestemmelserne er KL blevet opmærksom på, at standardkontraktsbestemmelsernes bilag C, C.7 og C.8, om tilsyn med databehandleren og underdatabehandleren indeholder krav om, at der skal føres tilsyn med "overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser."

Det er KL´s opfattelse, at den dataansvarliges tilsynsforpligtelse ikke rækker ud over tilsynet med overholdelsen af aftalerne i databehandleraftalen. Det bør ikke være kommunernes opgave at gennemføre generelle complianceanalyser hos deres databehandlere. KL har tilbage i maj 2019 spurgt Datatilsynet om dette i forbindelse med, at KL har fremsendt ønsker til uddybning af Datatilsynets "Vejledende tekst om tilsyn med databehandlere og underdatabehandlere". KL vil kontakte Datatilsynet om spørgsmålet igen med henblik på en afklaring herunder, at teksten i standardkontraktsbestemmelsernes bilag C, C.7 og C.8, eventuelt justeres.

SKI´s rammeaftaler

KL og KOMBIT er opmærksomme på, at det fremgår af SKI´s vejledende tekster om indgåelse af kontrakt på nogle af SKI´s rammeraftaler, at ”Såfremt kunden er en kommune, er Parterne forpligtet til at indgå en databehandleraftale, der overholder minimumsreguleringen i KL og KOMBITs skabelon for databehandleraftaler mellem kommuner og it-leverandører – version 2.0 af 30. maj 2018.” KL og KOMBIT vil kontakte SKI med henblik på at få en afklaring af, hvordan kommunerne skal forholde sig til denne tekst ved ibrugtagningen af Datatilsynets standardkontraktsbestemmelser.

Vejledning om dataansvarlige og databehandlere

Justitsministeriet og Datatilsynet har med bidrag fra KL udarbejdet en vejledning om, hvornår der skal indgås databehandleraftaler.

Hent vejledning om dataansvarlige og databehandler (pdf)

Datatilsynets standardkontraktsbestemmelser

Datatilsynet offentliggjorde i december 2019 standardkontraktsbestemmelser til udarbejdelse af databehandleraftaler. 

Hent Datatilsynets skabelon på dansk (word)

Hent Datatilsynets skabelon på engelsk (word)

Der eksisterer ingen særskilt vejledning til udfyldelse af Datatilsynets standardkontraktsbestemmelser. KL har derfor udarbejdet et notat, der giver hjælp til at udfylde standardkontraktsbestemmelsernes instruks (bilag C).

Efter kommunernes ønske blev der i KL-KOMBIT-skabelonen indarbejdet "praktiske og processuelle bestemmelser", som kan have særlig relevans for aftaleforholdet mellem en kommune og dennes it-leverandør. Disse blev i skabelonen markeret med "gult", og kommunerne kunne selv vælge, om de ville medtage disse bestemmelser i deres databehandleraftale. De supplerende bestemmelser var og er fortsat ikke et krav efter lovgivningen.

KL har udarbejdet en særskilt bilagstekst til standardkontraktsbestemmelsernes bilag D (parternes regulering af andre forhold), som indeholder teksten fra "de gule bestemmelser" i KL-KOMBIT-skabelonen. Således vil det fortsat være muligt for kommunerne at indgå aftale om disse forhold i standardkontraktsbestemmelserne, hvis kommunerne ønsker det.

Hjælp til udfyldelse af Bilag C og D i Datatilsynets standardkontraktsbestemmelser er samlet i et notat, der kan hentes her. (PDF)

KL og KOMBIT’s skabelon

KL og KOMBIT's skabelon for databehandleraftaler med tilhørende kommentarnotat kan fortsat hentes her i pdf-udgaver sådan, at kommunerne har mulighed for at kunne orientere sig i materialet, hvis der skulle opstå spørgsmål til skabelonen, så længe den fortsat anvendes.

Hent KL og KOMBIT's skabelon på dansk (PDF), og tilhørende kommentarnotat

Hent KL og KOMBIT's skabelon på engelsk (PDF)