Skabelon for databehandleraftaler mellem kommuner og it-leverandører

KOMBIT Videncenter og KL har udarbejdet en skabelon for databehandleraftaler til brug for kommunerne.

KL og KOMBIT offentliggjorde i april 2017 første version af en skabelon for databehandleraftaler, som kommunerne kan bruge, når de indgår databehandleraftaler med leverandører. Datatilsynet har vurderet, at skabelonen opfylder kravene i persondataloven og databeskyttelsesforordningen.

KL og KOMBIT har pr. 30. maj 2018 fjernet de dele af teksten i skabelonen, som omhandlede kravene fra persondataloven, da persondataloven er ophævet pr. 25. maj 2018.

Efter ønske fra kommuner og leverandører er ordlyden i version 2.0 af skabelonen desuden enkelte steder justeret sådan, at ordlyden fra forordningen er genbrugt. Dette alene for at skabe større genkendelighed i teksten. Kommunerne skal således ikke ændre i de databehandleraftaler, som de har indgået med udgangspunkt i KL og KOMBITs skabelon af 3. april 2017 (version 1.0).

Justitsministeriet og Datatilsynet har med bidrag fra KL udarbejdet en vejledning om, hvornår der skal indgås databehandleraftaler. Du finder vejledningen på Datatilsynets hjemmeside.

Datatilsynet har også en skabelon for databehandleraftaler

Datatilsynet offentliggjorde i februar 2018 en skabelon til databehandleraftaler. Skabelonen er Datatilsynets bud på, hvordan en databehandleraftale kan se ud. Kommunerne kan frit vælge om de vil anvende Datatilsynets skabelon eller KL og KOMBITs skabelon. Begge skabeloner lever op til databeskyttelsesforordningens krav til indholdet af en databehandleraftale.

Mere information om Datatilsynets skabelon kan findes her på Datatilsynets hjemmeside.

”Det med gult” – supplerende praksis

Efter ønske fra en række kommuner er der medtaget punkter i KL og KOMBITs skabelon, der ikke følger af lovgivning, men er udtryk for ”supplerende praksis”. Kommunen kan vælge at medtage nogle af disse punkter i databehandleraftalen, hvis det er relevant i forhold til den konkrete leverandør. Det er vigtigt at understrege, at den supplerende praksis ikke er krav til indholdet i en databehandleraftale i medfør af lovgivningen. Kommunen kan derfor undlade at medtage de supplerende praksis-bestemmelser og stadig overholde lovgivningen. De supplerende praksis-bestemmelser regulerer bl.a. forhold, som kommunerne også kan vælge at aftale andetsteds end i en databehandleraftale – f.eks. i Hovedaftalen.

Skabelonen skal tilpasses ved brug

Skabelonen ledsages af et dokument med kommentarer til de enkelte punkter og hjælp til forståelse af skabelonens opbygning, som kan være en hjælp, når skabelonen skal tilpasses til den konkrete databehandleraftale, som en kommune og en it-leverandør ønsker at indgå.

I kommentarnotatet er også beskrevet scenarier for brug og tilpasning af skabelonen i forhold til, om kommunen ønsker at medtage en eller flere af ”de gule bestemmelser” i en konkret aftale.

Skabelonen findes både i word-format og som pdf-udgave. Du kan få et overblik over hvad, der er ændret fra version 1.0 til 2.0 i dette dokument.

Nedenfor findes også et bud på en engelsk oversættelse af version 2.0 af skabelonen (i word og pdf-format), som kommuner kan vælge at bruge i dialogen med udenlandske leverandører.

Version 1.0 af skabelonen (dansk og bud på engelsk oversættelse) er tilgængelig i pdf-format nedenfor.

Har du spørgsmål?

Har du spørgsmål eller kommentarer til skabelonen, er du velkommen til at kontakte Videncentret på videncenter@kombit.dk.

 

Kontakt

Chefkonsulent / Jurist
3334 9495