Personvern og informasjonssikkerhet for tjenesteleverandører

Tjenesteleverandører som tilbyr tjenester til høgskoler/universiteter, skoleeiere (vertsorganisasjoner) eller til sluttbrukere direkte (privat bruk), er pålagt å overholde visse plikter. Tjenesteleverandører omtales i personvernlovgivningen (GDPR) som databehandlere.

Når tjenesteleverandøren tilbyr tjenester til vertsorganisasjoner via Dataporten, gjelder pliktene når

  • vertsorganisasjoner er tjenesteleverandørenes kunder
  • tjenestene behandler opplysninger om studenter/elever, lærere, forskere og ansatte

De viktigste pliktene er

  • vurdere om informasjonssikkerheten i tjenesten er tilfredsstillende
  • rette seg etter vertsorganisasjonens instrukser for behandling av opplysninger om sluttbrukerne
  • kontrollere at vertsorganisasjonens instrukser følges opp i egen virksomhet

Når det ikke er vertsorganisasjoner som er tjenesteleverandørenes kunder, men individuelle sluttbrukere (privat bruk), er leverandørene pålagt å overholde følgende plikter

  • ivareta grunnkravene som gjelder ved elektronisk behandling av opplysninger om sluttbrukere
  • innhente samtykke dersom opplysninger om sluttbrukerne skal overføres til tredjeparter
  • sørge for at informasjonssikkerheten i tjenesten er tilfredsstillende
  • melde alvorlige brudd på informasjonssikkerheten til vertsorganisasjonen
  • inngå avtaler med eventuelle underleverandører som behandler sluttbrukeropplysninger som en del av tjenesten
  • kontrollere at eventuelle underleverandører overholder inngåtte avtaler
  • forvalte sluttbrukernes personvernrettigheter

Mer informasjon om tjenesteleverandørens roller og plikter