databehandleraftaler

Der er brug for en databehandleraftale, når andre end AAU-ansatte skal behandle data, som AAU er dataansvarlig for. Databehandlingen skal ske på vegne af og efter instruks fra AAU. Det kan fx dreje sig om indsamling eller opbevaring af data gennem en ekstern databehandler. Den eksterne databehandler må ikke behandle data til egne formål.

Det er AAUs ansvar at indgå databehandleraftaler med enhver databehandler. En databehandler kan være en fysisk eller juridisk person, en offentlig myndighed, institution eller virksomhed, der behandler personoplysninger på vegne af AAU.

Formålet med en databehandleraftale er at kunne dokumentere, at reglerne om databeskyttelse overholdes i samarbejdet mellem AAU og den eksterne databehandler. AAU har pligt til at føre løbende kontrol med alle databehandlere.

Databehandleraftaler skal indgås med udgangspunkt i AAUs databehandleraftaleskabeloner. Der er forskellige skabeloner afhængig af, om det drejer sig om administrative eller forskningsrelaterede formål.

Databehandleraftaler for forskere

Hvis der i forbindelse med et forskningsprojekt er behov for, at der overlades en behandling, herunder opbevaring, indsamling mv. af persondata, til en ekstern part, er den eksterne part databehandler, såfremt vedkommende ikke behandler persondata til egne formål.

Eksempler på databehandlere:

  • Et hospital, der foretager scanninger af ti personer til brug for et forskningsprojekt
  • Danmarks Statistik, der samkører eller opbevarer persondata
  • Gallup, der indsamler data efter aftale med en forsker
  • Rambøll, der via tjenesten SurveyXact indsamler spørgeskema-data
  • Diverse eksterne cloud-løsninger (ofte ulovligt, da det ikke er muligt at indgå en databehandleraftale med disse)
  • En studerende, der ikke er ansat, som transskriberer et interview
  • En gæsteforsker, der hjælper med at analysere data. 

Efter databeskyttelsesforordningen er der pligt til at indgå en databehandleraftale med enhver databehandler, der overlades databehandlingsopgaver til, og der er ligeledes pligt til at føre løbende kontrol med en databehandler.

På forskningsområdet er der to standardskabeloner til databehandleraftaler:

  • Generel databehandleraftale til forskningsområdet. Denne standard skal bruges, når en projektleder overlader en behandling (herunder indsamling, opbevaring, undersøgelse mv.) af personoplysninger til en samarbejdspart eller underleverandør.
  • Studenter-databehandleraftale i forbindelse med forskning. Denne standard kan bruges til studerende, som skal udføre enkeltstående mindre databehandlingsopgaver (f.eks. transskribering af interview) på vegne af en projektleder. Aftaleskabelonen skal ikke anvendes, såfremt den studerende ansættes på AAU.

 

Retningslinjer til håndtering af databehandleraftaler på forskningsområdet

Generel databehandleraftale på forskningsområdet

Bilag 1 Kontrolskema

Studenter-databehandleraftale i forbindelse med forskning