Til toppen
image

Om Databehandleravtaler med Jacobsen Dental ved Serviceoppdrag

Den nye personopplysningsloven som er vedtatt i Norge skaper en del usikkerhet rundt hva som faller inn under:

  1. Personopplysninger
  2. Behandling og oppbevaring av kundedata
  3. Databehandling 

Vi har mottatt flere henvendelser vedrørende den nye personopplysningsloven. Disse henvendelsene dreier seg i hovedsak om behovet for databehandleravtaler mellom Jacobsen Dental og klinikker. Grunnen er at vi ved service og vedlikehold på utstyr kan få tilgang til personopplysninger som ligger lagret på serveren til de ulike klinikkene. 

Denne tidsbegrensede adgangen får vi kun i de tilfeller der vi har et enkeltoppdrag via enten lokalt oppmøte eller ekstern tilkobling. Ved ferdigstilt arbeid lukker vi tilkoblingen, uten å lagre noe i våre interne systemer. Det som eventuelt blir oppdatert er Sidexis, som på sin side administreres av en ekstern part. Det er derfor i ordinære service og reparasjonstilfeller unødvendig å signere en databehandleravtale. 

Vårt utgangspunkt i vurderinger er med henblikk på offentlig tilgjengelig informasjon fra datatilsynet, og tolkninger fra våre samarbeidspartnere, med konsulenters bistand.  

Databehandleravtale skal signeres mellom parter der følgende gjør seg gjeldende:

{En behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.} - ref Datatilsynet
 

1) Personopplysninger: 
Disse deles inn i sensitive og ikke sensitive opplysninger, og denne oppdelingen finner dere under vår personvernpolicy 

2) Behandling og oppbevaring av kundedata: 
Her har vi klar policy for hvordan vi oppbevarer og benytter oss av data, og disse er beskrevet i vår personvernpolicy 

3) Databehandleravtale: 
Dette er en avtale mellom to parter som har datautveksling seg imellom. 


Dersom du mener at en databehandleravtale må på plass i ditt tilfelle, ber vi deg om å ta kontakt med vårt ordrekontor som kan videreføre henvendelsen til korrekt instans.

Datatilsynet sin formulering av en databehandleravtale er som følger: 

Hvis en virksomhet som er behandlingsansvarlig, setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, er den eller de som behandler opplysningene på den behandlingsansvarliges vegne definert som databehandlere

En databehandler kan ikke behandle personopplysninger på en annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. I slike tilfeller er det derfor et krav om å inngå en databehandleravtale etter norsk lov (personvernforordningen artikkel 28 nr. 3).

En databehandleravtale kan være en frittstående avtale mellom partene eller en integrert del av annet avtaleverk

Dersom en databehandler bruker en annen databehandler (en underleverandør) til å gjøre hele eller deler av behandlingen, må det også foreligge en databehandleravtale mellom databehandleren og underleverandøren.

Definisjoner fra Datatilsynet:

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Behandlingsansvarlig har ansvaret for at opplysninger behandles i tråd med personopplysningslovens krav.

En behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.

En databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige. Databehandleren har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av behandlingsansvarlige. Databehandleren skal bare behandle personopplysninger i tråd med det som er avtalt med den behandlingsansvarlige. En databehandler vil ha selvstendig ansvar for personopplysninger som behandles på egne vegne, eksempelvis opplysninger om egne ansatte.