DIGITALISERINGSSEKRETARIATET Dato: 6. august 2018 Tlf. dir.: 2069 1292 E-mail: anh6@balk.dk Kontakt: Anne Ruth Hansen Sagsnr.: 85.10.01-A26-1-10 Retningslinjer for indgåelse af databehandleraftaler 1. Alle databehandleraftaler skal sendes til S-DIG Der er mange leverandører, der sender udkast til databehandleraftaler selv om der ikke er behov for at indgå en databehandleraftale. De gør det i en god mening, men det er vigtigt, at der ikke indgås aftaler, hvis det ikke er nødvendigt. For hvis der indgås en databehandleraftale, er Ballerup Kommune forpligtet til at føre tilsyn med datasikkerheden i den pågældende virksomhed. Dette giver god mening, hvis det fx er en IT-virksomhed der behandler personoplysninger for kommunen, men det giver ikke mening, hvis det er en virksomhed, der sælger arbejdstøj. Derfor skal alle databehandleraftaler sendes til S-DIG på sim6@balk.dk 2. S-DIG skal vurdere, om der er behov for en databehandleraftale Der skal kun indgås databehandleraftaler i de tilfælde, hvor Ballerup Kommune er dataansvarlig og virksomheden behandler data for Ballerup Kommune. Det lyder umiddelbart meget simpelt, men i praksis kan det være svært at vurdere. Datatilsynet har lavet en vejledning, som S-DIG har taget udgangspunkt i ved vurderingen af, om der skal indgås en databehandleraftale, men som Datatilsynet selv skriver i vejledningen, så indeholder den ingen facitliste og der er derfor en gråzone, hvor det kan være svært at vurdere, om der skal indgås en databehandleraftale eller ej. Ved screeningen af databehandleraftalerne i Ballerup Kommune, har S-DIG derfor valgt at inddele leverandørerne/de digitale løsninger i tre kategorier: - Kræver databehandleraftale - Kræver ikke databehandleraftale - Her er vi i tvivl I skemaet i Bilag 1 er der en oversigt over de screeningskriterier, der brugt ved vurderingen af de forskellige leverandører/digitale løsninger 3. Databehandleraftalen skal som udgangspunkt altid laves i KL og KOMBIT databehandleraftale-skabelonen
Ved at benytte den fælles skabelon til alle databehandleraftaler spares der en masse ressourcer på at skulle gennemlæse og kvalitetssikre en masse forskellige kontrakter fra forskellige leverandører. Samtidig sikres det at aftalegrundlaget er i overensstemmelse med den til enhver tid gældende lovgivning. Den fælles databehandleraftaleskabelon ligger i SB-SYS under sags nummer 85.10.01-A26-1-10: KL og KOMBIT har lavet en fælles skabelon for databehandleraftaler, som Ballerup Kommune har valgt at benytte til de forskellige databehandleraftaler. url:sbsyslauncher:sag_id=111466&conservername=sbsysdb&condatabase- Name=SbsysNetDrift&ConDisplayName=Ballerup%20Drift&sso=True Side 2
BILAG 1: Screening af databehandleraftaler En grundlæggende forudsætning for indgåelse af en databehandleraftale er, at der sker en behandling (indsamling, registrering, videregivelse, sletning m.m.) af personoplysninger. Hvis der ikke behandles personoplysninger, skal der ikke indgås en databehandleraftale. Der kan dog godt være behov for en fortrolighedsaftale eller lignende afhængigt af karakteren af de pågældende data. For at afgøre, hvornår der er tale om en dataansvarlig <->databehandler relation har vi, med udgangspunkt i Datatilsynets vejledning, udarbejdet følgende trinvise screeningsmodel: Side 3
Screeningsmodel til vurdering af, om der skal indgås databehandleraftale Bestemmer vi helt eller delvist med hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger? Ja Er hele eller dele af opgaven med at behandle data lagt ud til en ekstern leverandør? Ja Behandler leverandøren data på vores vegne og efter instruks fra os? Med instruks menes at det er os, der bestemmer, hvordan leverandøren skal behandle vores data, fx hvilke data der må indsamles, hvem de må deles med, hvor længe de må opbevares, hvilke sikkerhedsforanstaltninger der skal tages osv. Ja Der er tale om en dataansvarlig<->databehandler-relation og der skal derfor indgås en databehandleraftale. Nej Nej Nej Delvist Vi er ikke dataansvarlige og der skal derfor ikke laves en databehandleraftale, da leverandøren er selvstændig dataansvarlig. Se eksempler på næste side under Leverandøren er selvstændig dataansvarlig Hvis hele databehandlingen (indsamling, registrering, opbevaring, videregivelse, sletning m.m.) foretages af os selv og data ligger internt hos os, så skal der ikke laves en databehandleraftale. Hvis en ekstern leverandør har adgang til vores data, men data ligger hos os selv, så skal der laves en fortrolighedsaftale. Se eksempler på næste siden under Fortrolighedsaftaler. Hvis leverandøren ikke handler efter instruks fra os, skal der ikke laves en databehandleraftale, da der ikke er tale om en databehandler <->dataansvarlig relation. Hvis vi som dataansvarlig har vurderet, at der ikke er tale om en databehandlerrelation, skal vi sikre os, at vi har lov til at videregive oplysningerne og at modtageren har lov til at modtage dem (at vi har videregivelseshjemmel og de har en behandlingshjemmel). I databehandleraftalen skal vi i Bilag 3 udfylde vores instruks til databehandleren. Her skal formålet med databehandlingen beskrives, samt hvilke typer af data der behandles, kategorier af registrerede m.v. I nogle tilfælde kan der være tale om fælles dataansvar. Her skal der laves en samarbejdsaftale, som tydeligt beskriver, hvem der er ansvarlig for hvilke data. Se eksempler på næste side under Fælles dataansvar. Side 4
Kommentarer til modellen Leverandøren er selvstændig dataansvarlig Hvis vi ikke bestemmer med hvilket formål og med hvilke hjælpemidler der foretages behandling af personoplysninger, så er vi ikke dataansvarlig og skal derfor ikke indgå en databehandleraftale med Leverandøren. Eksempler på dette er: Massøren, der har kontaktoplysninger på borgerne Blomsterhandleren der sender blomster til kommunens medarbejdere i forbindelse med ny ansættelser, fødsler eller sygdom Håndværkeren der installerer alarmer hos kommunens ældre Virksomheden der leverer arbejdstøj til kommunens medarbejdere Høreapparatsleverandøren, der leverer høreapparater til kommunens borgere Leverandører som fx skoleskak.dk, hvor elever kan oprette profiler og spille mod hinanden Billedbureauer, hvor kommunens medarbejdere har en profil for at kunne købe billeder Psykologen eller coachen der hjælper jobsøgende tilbage i arbejde Virksomheder der tilbyder virksomhedspraktik m.fl. Virksomheder der ikke behandler personoplysninger på vegne af kommunen. Virksomheden bruger i stedet oplysningerne på egne vegne for at kunne udføre den praktiske opgave for kommunen eksempel: Vision fotografi. Det er således til kommunens formål, at der foreligger en service, men til virksomhedens formål at der sker behandling af personoplysninger for at kunne levere ydelsen. Fortrolighedsaftaler En ekstern leverandør kan sagtens have adgang til kommunens data, uden der er tale om et dataansvarlig <->databehandler forhold. Det kan fx være en ekstern IT-konsulent, der hjælper med udvikling eller tilpasning af kommunale IT-systemer, der hostes hos kommunen selv. I de tilfælde er det nok med en fortrolighedsaftale. Eksempler på dette er: Timelønnede konsulenter fra rådgivende virksomheder Psykologen der rådgiver i forbindelse med et coachningforløb Fælles dataansvar I særlige tilfælde kan der være samarbejdsprojekter af forskellig art, hvor der er tale om fælles dataansvar. Et godt eksempel på dette er samarbejdsprojektet mellem Familiehuset og Psykiatrifonden. Her insisterede Psykiatrifonden på at indgå en databehandleraftale med Ballerup Kommune som dataansvarlig, mens vi mener, at der er tale om et samarbejdsprojekt med delt dataansvar. Her har parterne et fælles formål: at hjælpe familier, hvor den ene forældre Side 5
er ramt af psykisk sygdom Begge parter behandler personoplysninger, men med samme formål. Ansvarsfordelingen fremgår af kontrakten. Databehandler kræver betaling for at indgå databehandleraftale I nogle tilfælde kræver databehandleren særskilt betaling for at efterleve visse forhold i databehandleraftalen især i forbindelse med leverandørens forpligtelser samt tilsynspligten. I Ballerup Kommune er proceduren, at databehandleraftalen skal holdes ren og fri for økonomiaftaler. S-DIG varetager forhandlingen med databehandleren. I tilfælde hvor databehandleren fastholder krav om betaling er det i sidste ende op til center/sekretariatschefen at vurdere, hvorvidt samarbejdet med leverandøren bør bevares eller kan ophøre. Accepteres betalingskravet bevares samarbejdet og økonomien skal således som udgangspunkt udskilles i en tillægsaftale til hovedaftalen. Ophører samarbejdet derimod kan det være nødvendigt at finde en ny leverandør se retningslinjer for indkøb af nye it-systemer her: Side 6