- Databehandler er alltid en virksomhet eller en person utenfor den behandlingsansvarliges organisasjon. Det innebærer at den behandlingsansvarlige ikke kan instruere databehandler. Derfor må det inngås skriftlig avtale som sikrer den behandlingsansvarliges rett til å bestemme over opplysningene.
- I avtalen bør det gå frem hva databehandler skal/kan gjøre med opplysningene. Det kan for eksempel avtales at behandlingsansvarlige skal stå for daglig drift av skolens informasjonssystem, eller at databehandler skal analysere en disk for å redde personopplysninger som er utilgjengelige pga teknisk feil.
- Både behandlingsansvarlig og databehandler har selvstendig ansvar for informasjonssikkerhet, men den behandlingsansvarlige er hovedansvarlig. Derfor er det dennes krav til informasjonssikkerhet som skal legges til grunn i avtaleforholdet. Databehandler må imidlertid gjøre selvstendige vurderinger av behovene for sikringstiltak og eventuelt bestemme at opplysningene skal sikres på bedre måter enn det som er angitt i avtalen.
