En databehandler er en virksomhet som behandler helse- og personopplysninger på vegne av dataansvarlig. Databehandler har på lik linje med dataansvarlig et selvstendig ansvar for informasjonssikkerhet og for ivaretakelse av den registrertes personvern.
Databehandler skal
- bare behandle helse- og personopplysninger etter instruks fra dataansvarlig
- ikke bruke underdatabehandler uten at det er godkjent av dataansvarlig
- være ansvarlig for at underleverandører oppfyller sine forpliktelser
- bistå dataansvarlig med å sikre overholdelse av forpliktelser til informasjonssikkerhet
Databehandler skal bistå dataansvarlig med personvern og informasjonssikkerhet ved å sørge for en risikobasert tilnærming. Dette innebærer at databehandler skal bidra til at et egnet sikkerhetsnivå blir ivaretatt og nødvendige tiltak blir implementert.
Se nærmere om databehandler i kap. 5.7.3.
