KOMBIT indkøber fælleskommunale it-systemer, og varetager den efterfølgende leverandørstyring. KOMBIT er i den forbindelse databehandler for kommunerne, hvilket forudsætter en databehandleraftale mellem kommunerne og KOMBIT.
I denne nyhed kan du læse mere om vores nuværende initiativer i forbindelse med databehandleraftaler særligt for monopolbrudsprojekterne.
Der skal altid indgås en skriftlig databehandleraftale mellem KOMBIT og hver kommune, inden der sker behandling af personoplysninger i den givne it-løsning, dvs. inden it-løsningen idriftsættes. Der vil også ofte være behov for at indgå databehandleraftaler med de kommuner, som leverer testdata i forbindelse med test af løsningen, såfremt der i den forbindelse skal behandles personoplysninger.
Flere kommuner har i forbindelse med test af KY, KSD og SAPA indgået databehandleraftaler med KOMBIT, som regulerer behandlingen af personoplysninger, der sker i forbindelse med test af løsningerne.
Ny standard for databehandleraftaler mellem kommunerne og KOMBIT
Det er vigtigt, at der anvendes én standard for databehandleraftaler mellem kommunerne og KOMBIT, så der kun skal stilles et sæt sikkerhedskrav overfor leverandøren af løsningen. Derfor arbejder KOMBIT i øjeblikket med at udvikle en standarddatabehandleraftale mellem kommunerne og KOMBIT. Standarden vil indeholde de nye krav, der bliver stillet til databehandleraftaler og til databehandlere generelt, når Databeskyttelsesforordningen træder i kraft d. 25. maj 2018.
KOMBIT benytter ved udarbejdelsen af den nye standard for databehandleraftaler de mange gode og konstruktive input, som KOMBIT har modtaget fra en lang række kommuner i forbindelse med tidligere udsendelser af databehandleraftaler til kommunerne.
KOMBIT har taget afsæt i udkastet til en skabelon for databehandleraftaler, som er ved at blive udarbejdet til kommunerne (læs mere her). Udkastet til skabelonen for databehandleraftaler mellem kommunerne og leverandører er udarbejdet med input fra den juridiske referencegruppe, der er etableret i regi af KOMBITs Videncenter som juridisk sparringspartner for KOMBIT. Se mere her.
Fremadrettet forløb
KOMBIT har i sit arbejde med standard-databehandleraftalen en konstruktiv dialog med den juridiske referencegruppe. Det videre arbejde i referencegruppen med det konkrete indhold i KOMBITs databehandleraftaler med kommunerne fortsætter primo 2017. Vi venter med det videre arbejde til starten af 2017, fordi den nationale forståelse og udfyldning af reglerne efter den nye Databeskyttelsesforordning her vil være tættere på en afslutning. Dermed vil KOMBITs bud på en ny standard i højere grad være fremtidssikret.
Når databehandleraftalen mellem kommunerne og KOMBIT er færdiggjort, vil det fremover være den nye standard, som kommunerne modtager, når der skal indgås databehandleraftaler mellem kommunerne og KOMBIT. KOMBIT vil endvidere vurdere, om der er behov for at udsende nye databehandleraftaler på allerede kørende løsninger som et led i implementeringen af den nye Databeskyttelsesforordning.
Databehandleraftaler for Støttesystemerne er allerede ved at blive udsendt, og er således en foreløbig version af den nye standard for databehandleraftaler.
Revisionserklæringer på persondataområdet
På KOMBITs hjemmeside kan i øvrigt læses et eksempel på KOMBITs krav til den revision på persondataområdet, som eksterne revisorer gennemfører hos KOMBITs leverandører for de løsninger, som KOMBIT indkøber til kommunerne. Se eksemplet her. Bemærk at det afhænger af databehandlerens konkrete rolle, hvorvidt alle kontrolmål er relevante for den konkrete databehandling som foretages.
Se udkast til skabelon for databehandleraftaler mellem kommuner og leverandører