Personuppgiftsbiträdesavtal

kommunhusPersonuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.

De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas.

Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige. Biträdet får inte anlita ett annat biträde utan att i förhand få ett skriftligt tillstånd av den personuppgiftsansvarige.

En nyhet i förordningen är att några av de skyldigheter som tidigare har gällt för den personuppgiftsansvarige nu även gäller för personuppgiftsbiträdet, till exempel kraven på att föra register över behandlingar, att säkerställa en lämplig säkerhetsnivå och att i vissa fall utse ett dataskyddsombud.

Även personuppgiftsbiträdet kan bli föremål för tillsyn eller administrativa sanktionsavgifter och bli skadeståndsansvarig. Den personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så kallat biträdesavtal. Dataskyddsförordningen räknar upp vad ett sådant biträdesavtal ska innehålla.

Metod

När ett personuppgiftsbiträdesavtal skall skrivas är det viktigt att mallen med instruktionerna blir rätt. Enklast är att börja med en informationsklassning utifrån fyra aspekter: Konfidentialitet, riktighet, tillgänglighet och spårbarhet.

Denna klassning ger svar på vilka krav som kan ställas i instruktionerna.

Exempelvis om klassningen visar på att det är viktigt med hög konfidentialitet, ger det som krav att behörighet och tillgång till informationen blir mycket viktig. Detta medför då krav på behörighetsrutiner, stark autentisering (2-faktors) samt kryptering av överföringslänk. Dessa krav kan då infogas som krav i instruktionerna.

Visar klassningen höga krav på riktighet så ger det höga krav på att informationen är rätt innan den skall skrivas in i system el liknande men också höga krav på överföringslänkar, kanske också krav på kontroll av checksumma. Krav som då infogas i instruktionerna.

Dokument

Sydarkivera rekommenderar att medlemmar använder sig av SKLs mallar och underlag.

Tänk på att du måste fylla i de uppgifter som hör till din organisation. Radera även SKL-loggan.

Om önskas tillhandahåller Sydarkivera, till sina medlemmar, en mall med integrerad registerförteckning, systeminventering och PUB-avtal med tillhörande instruktioner.

Mallen kräver en kort utbildning. Kontakta Lasse Johansen om du vill veta mer.

Informationssäkerhet till PUB-avtal

Mall – SKL Instruktion PUB-avtal

Mall – SKL Underbiträden

Mall – SKL PUB-avtal