Databehandleraftale
En databehandleraftale er en aftale mellem en dataansvarlig og en databehandler, der altid skal foreligge, når der behandles persondata jf. Databeskyttelsesloven.
Aabenraa Kommune er dataansvarlig for alle vores registreringer af borgeres persondata. Eksempelvis ligger mange af de data i KMD systemer, hvorfor KMD så bliver vores databehandler. Derfor skal vi have en databehandleraftale med KMD – ligesom KMD skal lave databehandleraftaler med deres underleverandører og så fremdeles.
Vores standard databehandleraftale er blevet godkendt af Den Digitale Styregruppe og er udarbejdet af Datatilsynet. Det er vores pligt som dataansvarlig at indgå en databehandleraftale. Samtidig er det også vores pligt at vi ved, hvad der står i sådan en aftale og det gør vi nemmest ved at benytte Datatilsynets standard. Leverandører har en tendens til at ville ændre og tilføje i databehandleraftalen - nogle gange uden at gøre opmærksom på det - og så forsøge at sælge den, som magen til vores, hvorfor vi lige så godt kan skrive under på deres. Hvis du er i tvivl og har brug for vejledning, så kan du kontakte din systemkoordinator.
Vi har forskellige oplysninger i forskellige systemer og derfor er der også forskellig risici ved forskellige systemer. Det er derfor vigtigt at du vælger den skabelon, der matcher det risikobillede, der er ved det pågældende system. For at hjælpe dig til at vælge den rigtige skabelon, er her nederst en vurderingsskabelon, hvor du på en simpel måde kan komme frem til, hvilken farve dit system eller behandling har, og derefter kan vælge den tilsvarende skabelon, som du kan fremsende til databehandleren.
Værd at vide om databehandlereaftaler
- Grundlag for indgåelse af databehandleraftaler.
- Modparten skal behandle personoplysninger på vegne af kommunen.
- Kommunen skal afgøre formålet med behandlingen.
- Kommunen kan bestemme hvilke hjælpemidler, der må bruges til behandlingen.
- Kommunen skal have råderetten over oplysningerne.
Du kan se mere om databehandleraftaler og hvornår de skal indgås i denne PowerPoint præsentation.
Aabenraa Kommune er underlagt forskellige regler og love ift. at løse vores opgaver. Når det drejer sig om personoplysninger er det databeskyttelsesloven, der bestemmer, hvad vi skal/må og ikke skal/må. Databehandleraftalen sikrer at vores leverandører også overholder de samme regler som vi er underlagt. På den måde sikres borgernes data ens uanset hvem, der behandler deres data. Ligesom Aabenraa Kommune også er sikret ift. Datatilsynet, når de kommer på besøg.
- CPR-nummer
- Køn
- Fødselsdato
- Religion
- MAC-adresse
- Nummerplade
- Race
- Navn
- Telefonnummer
- Sociale problemer
- E-mailadresse
- Seksualitet
- Personlighedstest
- Videoovervågning
- Medarbejdernummer
- Højde
- Kreditoplysninger
- Hårfarve
- IP-adresse
- Etnicitet
- Adresse
- Fagforening
- Helbredsoplysninger
- Straffeattest
- Filosofisk overbevisning
- Økonomiske forhold
- Politisk overbevisning
- Lønoplysninger
- Nær familie
- GPS-oplysninger (position)
- Foto
- Stilling
- Eksamenskarakter
- Genetik
- Tøjstørrelse
- Interesser
Det gør du ved at hente skabelonen her på siden. Der er nogle steder, der er markeret med gult. Her indsætte du de oplysninger, der bliver bedt om. Der kan være gule markeringer, hvor det giver mening at få leverandøren til at melde ind med oplysninger. Det med grønt markeret, skal leverandøren udfylde.
Husk principperne for indgåelse af databehandleraftaler
- Aabenraa Kommune benytter Datatilsynets standard. Den gældende ligger altid på medarbejderportalen.
- Aabenraa Kommune accepterer ikke betalingskrav for indgåelse af databehandleraftaler, hverken engangs- eller gentagende betalinger.
- Aabenraa Kommune indgår ikke leverandørers databehandleraftaler, med mindre der ligger en hel særlig begrundelse herfor.
- Aabenraa Kommune accepterer ikke betalingskrav for overholdelse af loven – f.eks. ifm. tilsynsførelse eller opklaringsarbejde ifm. sikkerhedsbrud.
Det er velkendt problem, at nogle leverandører ikke ønsker at skrive under på vores skabelon - uden at tilføje og/eller fjerne noget.
Oftest er det tilføjelser omkring betaling for deres tid ifm. bistand, kontrolbesøg og erklæringer. Det vil vi som udgangspunkt ikke acceptere jf. ovenstående principper, men vi ved også, at der kan være nogle få særlige situationer, hvor det er nødvendigt at afvige fra principperne. Dette kan kun ske efter efter aftale med Informationssikkerhedsudvalget og efter vejledning fra Databeskyttelsesrådgiveren. Derudover skal det efterfølgende dokumenteres og til det bruges nedenstående blanketløsning, hvor den godkendte pdf journaliseres i Acadre jf. reglerne for journalisering i koncernsagen.
Der findes flere eksempler på systemer og leverandører, der behandler personoplysninger, hvor en databehandleraftale ikke er nødvendig. I disse tilfælde skal der ikke indgås en databehandleraftale. Argumentationen for dette skal dog dokumenteres - dette gøres ved blanketten herunder, Afvigelser fra principperne om databehandleraftaler.
Når man indgår en databehandleraftale påtager man sig også ansvaret for at føre tilsyn med databehandleren. Dette kan foregå på flere måder. I vores røde og orange skabelon er der angivet en revisorerklæring som tilsynsmetode. Nogle leverandører vil tage sig betalt for en sådan erklæring, men bliver vores skabelon benyttet vil den være gratis.
I den grønne og gule skabelon er der angivet et årligt spørgeskema som tilsynsmetode. Her fremsendes et spørgeskema, udarbejdet på baggrund af de beskrevne sikkerhedsforanstaltninger til databehandleren. Herefter vurderer man svarene fra databehandleren og håndterer eventuelle uhensigtsmæssigheder.
Der findes også andre typer af tilsyn, men de er som udgangspunkt ikke med i vores skabeloner. Det kan blandt andet være en ledelseserklæring, som er den mest simpel form for tilsyn. Det er blot ledelsen, der årligt fremsender en erklærings om at de stadig efterlever GDPR og opretholder en passende sikkerhed for behandlingen.
Der findes også fysiske tilsyn. Her møder man simpelthen op hos databehandleren og påser den sikkerhed, der er blevet beskrevet i databehandleraftalen (bilag C) samtidig med, man gennemgår dokumentationen for procedure og sikkerhed hos databehandleren. Sådan et tilsyn vil typisk koste penge for databehandlerens tid.
Det er altid systemejeren - eller ejeren af databehandleraftalen (altid en afdelingschef) - der beslutter, hvilken form for tilsyn der skal foretages.
Alle udgifter forbundet med databehandleraftaler bliver afholdt af systemejer/den ansvarlige afdelingschef.