Opdateret 24. marts 2021

FAQ om databehandleraftaler

Q: Hvorfor anvender MedCom ikke databehandlerskabelon fra Datatilsynet?

A: MedCom er gennem statens, regionernes og kommunernes samarbejde om fællesoffentlig systemforvaltning forpligtet til at anvende sundhedsområdets fællesoffentlige databehandlerskabelon. Der er i regi af FSI igangsat et arbejde med henblik på ibrugtagning af Datatilsynets databehandlerskabelon. Der vil dog først udestå en længere proces både i regi af FSI og efterfølgende lokalt, hvorfor de nuværende skabeloner baseret på den fællesoffentlige databehandlerskabelon skal bruges i mellemtiden.


Q: Hvorfor er der indholdsmæssige forskelle på databehandleraftale for Sundhedsdatanettet (SDN) og for VDX?

A: Databehandleraftalen for SDN følger sundhedsområdets fællesoffentlige databehandlerskabelon, men afspejler SDN-kontrakten fra 2016, der fx ikke indeholder samme krav om mislighold og bod som den kommende VDX-kontrakt.


Q: Hvorfor tages der i MedComs databehandleraftaler forbehold for punkt 9.1 om samtykke ved skift af underdatabehandler?   

A: Det gør der, fordi det i en fællesoffentlig sammenhæng er vanskeligt at håndtere krav om samtykke fra den enkelte dataansvarlig, da beslutning om skift af underdatabehandler som oftest ligger i forlængelse af et fælles udbud. Både udbudsprocessen for SDN og VDX samt tildeling vil altid ske med involvering af repræsentanter fra de dataansvarlige – og beslutningen om tildeling sker i MedComs styregruppe, som udgøres af regioner, kommuner og stat. De tilsluttede parter vil derudover altid blive orienteret, herunder i forbindelse med en migrering fra gammel til ny kontrakt.


Q: Hvorfor tages der i MedComs databehandleraftaler forbehold for punkt 9.9 om indsigelse ved skift af underdatabehandler?   

A: Samme begrundelse som i ovenstående, da den enkelte dataansvarliges krav om indsigelser vanskeligt vil kunne imødekommes efter en fælles udbudsproces - andet end at opsige aftalen med den enkelte dataansvarlige, eller at opsige kontrakten gennem en behandling af indsigelse og beslutning i den aftalte fællesoffentlige governance for SDN og VDX.


Q: Hvorfor tages der i MedComs databehandleraftaler for Sundhedsdatanettet forbehold for punkter under punkt 14 om misligholdelse?  

A: SDN og VDX er fællesoffentlige infrastrukturer inden for rammerne af offentlig-offentligt samarbejde. Det vil sige, at ejerne kollektivt dækker omkostninger, i det omfang krav om erstatning ikke kan videreføres til leverandørerne jf. de indgåede kontrakter. Derfor tages der forbehold, eftersom det i de nuværende kontrakter om SDN ikke er muligt at videreføre erstatningskrav. 


Q: Hvordan håndteres databehandleraftale for KIH (KIH XDS Repository)

A: MedCom indtager ikke rollen som databehandler for KIH. Derfor indgås databehandleraftalen for KIH direkte med MedComs driftsleverandør (Region Nordjylland), inden for rammerne sundhedsområdets fællesoffentlige databehandlerskabelon.