Avtalen mellom den behandlingsansvarlige og databehandleren skal fastsette at databehandleren:

• behandler personopplysningene bare etter instruks fra den behandlingsansvarlige, herunder med hensyn til overføring av personopplysninger til en tredjestat utenfor EØS;
• sikrer at personene som er autorisert til å behandle opplysningene, har forpliktet seg til konfidensialitet eller er underlagt taushetsplikt;
• sørger for sikkerheten til behandlingen;
• ikke skal engasjere en annen databehandler uten forutgående spesifikk eller generell skriftlig tillatelse fra den behandlingsansvarlige;
• bistår den behandlingsansvarlige med å oppfylle den behandlingsansvarliges forpliktelser til å svare på den registrertes forespørsler om å utøve sine rettigheter;
• bistår den behandlingsansvarlige med å sikre behandlingen, varsle brudd på personopplysningssikkerheten og utføre DPIA-er;
• etter  den behandlingsansvarliges valg, sletter eller tilbakeleverer alle personopplysninger til den behandlingsansvarlige etter at tjenestene knyttet til behandlingen er levert;
• gjør tilgjengelig for den behandlingsansvarlige all nødvendig informasjon for å påvise at forpliktelsene i henhold til GDPR er oppfylt;
• muliggjør og bidrar til revisjon, herunder inspeksjoner utført av den behandlingsansvarlige eller en annen revisor som er pålagt av den behandlingsansvarlige.

I tillegg skal databehandleren umiddelbart informere den behandlingsansvarlige dersom vedkommende mener at en instrukt er i strid med GDPR eller andre EU- eller nasjonale personvernbestemmelser.

Mer informasjon:

• Behandlingsansvarlig eller databehandler