Databehandleraftaler og aftaler med leverandører – hvem gør hvad?
Der er mange aftaler mellem flere parter, der skal være styr på, når du benytter den fælleskommunale infrastruktur. Her kan du få et overblik over, hvilke aftaler KOMBIT tager sig af, og hvilke aftaler du, som anvender af infrastrukturen, selv skal sørge for.
Hvem og hvad er en databehandler og en dataansvarlig?
Når der arbejdes med data - og i særdeleshed personhenførbare data - er det væsentligt at have et overblik over, hvem der er den ansvarlige, og hvem der er den behandlende part.
Med Datatilsynets egne ord, kan man kort sige, "at den dataansvarlige afgør, hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler) personoplysningerne behandles. En databehandler er derimod den, der behandler personoplysninger på vegne af den dataansvarlige."
Da data fra infrastrukturen som udgangspunkt behandles på vegne af den kommunale forretning, vil kommunen stort set altid indtage rollen som dataansvarlig, mens diverse fagsystemleverandører og KOMBIT indtager rollen som databehandler.
Hvilke aftaler håndterer KOMBIT?
Databehandleraftaler
KOMBIT er databehandler for alle kommuner og UDK (Udbetaling Danmark), når de benytter den fælleskommunale infrastruktur. I disse samarbejder sørger KOMBIT for, at de fornødne databehandleraftaler kommer på plads.
I forbindelse med brugen af nogle bestemte services/integrationer kan der imidlertid være behov for, at anvenderen indgår yderligere databehandleraftaler med datakilden - om anvendelsen af de konkrete data. Det kan fx være tilfældet ved brug af data fra SKAT.
I disse tilfælde, hvor der er brug for yderligere aftaler, vil det være nævnt under vilkårene for den aktuelle integration.
Instrukser
Den konkrete databehandling fremgår af de instrukser, som KOMBIT har modtaget fra datakilderne. Disse instrukser er lig med de serviceaftaler, som indgås via det fælleskommunale administrationsmodul, når man skal have adgang til disse data via den fælleskommunale infrastruktur.
Aftaler om dataleverancer
Aftaler om dataleverancer med de enkelte datakilder håndteres ligeledes af KOMBIT. Der kan både være tale om kommercielle og samarbejdsmæssige aftaler, som skal sikre, at data leveres korrekt fra datakilden til den fælleskommunale infrastruktur.
Aftaler med leverandørerne af den fælleskommunale infrastruktur
Den fælleskommunale infrastrukturs videreformidling af data skal selvsagt også underbygges af klare aftaler. Disse aftaler har KOMBIT sikret er på plads.
Hvilke aftaler skal du selv håndtere?
Aftaler mellem myndigheder
Som myndighed er det dit ansvar at undersøge, om der umiddelbart er behov for yderligere aftale imellem dig som myndighed og en anden myndighed, som leverer data til dig via infrastrukturen. En sådan aftale kan tage flere former, og vil typisk betegnes som en dataudvekslingsaftale.
Det er ikke nødvendigvis tilfældet, hvis overdragelsen af data fx kan være baseret på en lovhjemmel, som giver ret til at bestemte data overføres fra én myndighed til en anden.
Leveranceaftaler mellem kommune og leverandør
Når en leverandør skal slutte sig til den fælleskommunale infrastruktur for at levere en konkret service til en kommune, skal der være indgået en leveranceaftale imellem de to parter.
Indgår der persondata i den aktuelle aftale imellem myndigheden og leverandøren, skal der selvfølgelig også være opmærksomhed på behovet for en databehandleraftale imellem disse parter.
Overholdelse af generelle vilkår for brug af den fælleskommunale infrastruktur
Når en leverandør opretter sit it-system på den fælleskommunale infrastruktur, gives der tilsagn om, at man indfrier de generelle vilkår og forudsætninger for at benytte infrastrukturen.
Det er kommunens ansvar - i samarbejdet med den konkrete leverandør - at sikre, at leverandøren reelt set også efterlever sit ansvar som anvender af den fælleskommunale infrastruktur.
Læs de generelle vilkår og forudsætninger her