Databehandleraftale 

En databehandleraftale er betegnelsen for et dokument, der regulerer vilkårene for databehandlerens behandling af data for den dataansvarlige. I almen praksis er det klinikken, der er dataansvarlig, og systemhuset, der er databehandler. 

PLO har i samarbejde med advokatfirmaet Bruun & Hjejle udarbejdet og forhandlet indholdet af en standarddatabehandleraftale, som, det er ambitionen, skal dække hele branchen.

PLO's bestyrelse har fundet, at det vil være hensigtsmæssigt, hvis alle systemhuse var undergivet den samme databehandleraftale, hvorfor lægen ved valg af systemhus i mindre grad behøver at bekymre sig om it-sikkerhedsniveauet og beskyttelsen af personoplysninger, men snarere kan skele til pris, brugervenlighed, service m.v.

Hent standarddatabehandleraftalen (bag login)

Persondataforordningens artikel 28, stk. 3 fastlægger kravene til en databehandleraftale, herunder at den skal udpege genstanden for og varigheden af databehandlingen, at formålet med behandlingen skal fastlægges, typen af personoplysninger, ligesom de organisatoriske og tekniske foranstaltninger, som databehandleren skal træffe for at leve op til behandlingssikkerheden, er indskrevet i aftalen.

Aftalen skal endvidere være skriftlig og underskrevet, og det skal sikres, at databehandlerens ansatte kan håndtere den nødvendige fortrolighed. 

Med en databehandlerkonstruktion forbliver dataansvaret hos lægen, og der sker såkaldt overladelse af data til databehandleren (se illustration). Der er også andre databehandleraftaler i almen praksis (fx med webreq), ligesom der er underdatabehandleraftaler. Det sidste betyder, at systemhuset som databehandler har fået lov til at entrere med en anden databehandler. Det er for eksempel tilfældet, når flere systemhuse køber back-up hos en ekstern leverandør.

I artikel 30-fortegnelsen kan du se standardklinikkens gængse databehandlere. Vær opmærksom på, at du skal indgå databehandleraftale, hvis du har valgt at lade dele af it-opgaverne løse af andre end systemhuset. Bruun & Hjejle har for FAPS bistået med tjekliste til databehandleraftaler.

PLO skal understrege, at organisationen ikke har mulighed for at gennemgå individuelle databehandleraftaler.