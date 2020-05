Svært ofte innebærer en IT-kontrakt mellom en kunde og en leverandør at leverandøren behandler personopplysninger som en del av tjenestene som skal utføres for kunden. Behandlingen må da skje i samsvar med gjeldende regelverk og det er påkrevd at det skal inngås en avtale med det innhold som fremkommer av personvernforordningens artikkel 28.

Kravene som fremkommer av artikkel 28 kan avtales som en del av IT-kontrakten. Likevel er det slik at man i de aller fleste tilfeller regulerer dette i en separat databehandleravtale som signeres som et eget dokument i tillegg til IT-kontrakten. Databehandleravtalen har da en eller annen form for tilknytning til IT-kontrakten og de kommersielle sidene av denne og det vil kunne oppstå motstrid og diskusjoner om og hvordan man skal kunne ta betalt for utførelsen av pliktene.

IT-kontraktene har forskjellige prismodeller, alt fra løpende timer, målpris og fastpris. Det finnes avtaler med estimeringsmodeller hvor ikke nødvendigvis arbeid som må gjøres på grunn av pliktene i databehandleravtalen fremkommer. Det er en stor misforståelse å tenke at alle plikter som følger av en databehandleravtale utføres uten at det koster kunden noe fordi pliktene fremkommer av lov. Som i enhver kommersiell avtale, bør man derfor fordele ansvar og risiko og avtale konkret hvilken kommersiell konsekvens pliktene har.

For det første bør man se på hvilket priselement i IT-kontrakten som skal inngås som kan dekke basispliktene i databehandleravtalen. Dersom prisstrukturen er løpende timer, bør man vurdere hvordan man skal følge opp timebruk. Ved fastpris eller målpris må man vurdere om de typiske situasjonen nevnt under skal være grunnlag for å øke fastprisen eller målprisen.

For det andre bør man se på de typiske situasjonene hvor det vil kunne oppstå diskusjoner om hvem som skal dekke kostnadene. Slike situasjoner er for eksempel; det skjer endring i personvernregelverket, kunden (behandlingsansvarlig) endrer instruksene for behandlingen, det er krav om at leverandøren (databehandler) skal bistå med for eksempel oppfyllelse av registrertes rettigheter eller personvernkonsekvensvurderinger, det skal gjennomføres sikkerhetstesting, gjennomføring av revisjoner og etterfølgende krav om utbedring av avvik. Alle disse eksemplene (og flere til) vil kreve bestemmelser om hvem som skal betale og hvilke timepriser eller andre prismekanismer som skal benyttes for å unngå unødige diskusjoner og konflikt.

En annen kommersiell konsekvens av databehandleravtalen er at mislighold av den vil kunne være mislighold av IT-kontrakten. Det bør derfor reguleres i hvilke tilfeller mislighold av databehandleravtalen medfører mislighold av IT-kontrakten og hvilke sanksjoner som kan benyttes. Det bør også reguleres hvordan tvister skal løses. Det vi ofte ser er at databehandleravtalen har egne reguleringer av mislighold og sanksjoner. Ett klart råd er å unngå dobbeltregulering. Man bør sørge for at IT-kontraktens bestemmelser gjelder for alt som ikke konkret gjelder pliktene som følger av personvernregelverket.

Digitaliseringsdirektoratet publiserte en databehandleravtale i februar i år trolig mye på grunn av at Datatilsynet har valgt å ikke lage en mal, men heller vise eksempler på innhold som en del av veilederen de har utarbeidet. For å gjøre statens standardavtaler komplette som malverk, var det dessuten behov for å enten inkorporere kravene i artikkel 28 i hver standardavtale eller å utarbeide en databehandleravtale som kan benyttes sammen med de øvrige standardkontraktene. Som de øvrige statens standardavtaler består den av en avtale med bilag som skal fylles ut. Databehandleravtalen fungerer godt sammen med de øvrige standardavtalene og den hensyntar flere av aspektene nevnt over.

