Kort svar
Mange avtaler bruker ordet databehandler automatisk, men rollevalget må bygge på hvem som faktisk bestemmer formål og midler for behandlingen.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvem som bestemmer formålet med behandlingen, hvem som bestemmer de viktigste midlene i behandlingen og hvordan rollevalget skal speiles i avtaler og praksis.
Når dette blir aktuelt
- når virksomheten kjøper eller leverer tjenester som behandler personopplysninger
- når standardavtalen ikke passer den faktiske rollen
- når ansvarsdeling mellom partene er uklar
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvem som bestemmer formålet med behandlingen | avgjør om virksomheten er behandlingsansvarlig eller databehandler |
| Hvem som bestemmer de viktigste midlene i behandlingen | er viktig for å forstå hvor ansvaret ligger |
| Hvordan rollevalget skal speiles i avtaler og praksis | reduserer risikoen for at kontrakten sier én ting og virkeligheten en annen |
Slik bør dere gå fram
- Beskriv hva behandlingen går ut på og hvem som faktisk bestemmer hvorfor den skjer.
- Test om leverandøren bare utfører instruks, eller om den bruker opplysningene til egne formål.
- Tilpass avtalen og interne rutiner til den rollen dere faktisk har.
- Revider vurderingen hvis tjenesten eller databruken endrer seg over tid.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- beskrivelse av behandlingen og tjenesteflyten
- avtaler og vedlegg som regulerer instrukser og ansvar
- intern vurdering av rollefordelingen
- oversikt over underleverandører eller andre involverte parter
Typiske feil
- ordet databehandler brukes fordi det høres trygt ut, ikke fordi det er riktig
- rollen i kontrakten stemmer ikke med hvordan tjenesten faktisk leveres
- ingen oppdaterer vurderingen når tjenesten utvikler seg
Når bør dere få konkret hjelp?
Når tjenesten er kompleks eller flere parter bruker opplysningene på ulike måter, bør rollefordelingen kvalitetssikres før kontrakter og rutiner låses.
Relaterte guider
- Tilgangsstyring ved fratreden: hvordan sikre data når noen slutter?
- Databrudd hos databehandler: hvem gjør hva?
- Backup, logg og arkiv: hvordan passer det med sletterutiner?