Upphandlade IT-leverantörer hanterar allt oftare personuppgifter på uppdrag av det offentliga. När en organisation behandlar personuppgifter för annans räkning måste enligt GDPR ett så kallat personuppgiftsbiträdesavtal slutas mellan personuppgiftsansvarig myndighet och biträde (leverantören).
Det skriftliga avtalet ska innehålla instruktioner kring behandlingen av uppgifterna inklusive rutiner för säkerhet och sekretess. Hantering av tredjelandsöverföringar och underbiträden ska framgå liksom ersättning och skadeståndsansvar.
I december presenterade Sveriges Kommuner och Landsting, SKL, tillsammans med SKL Kommentus och Inera en ny mall till personuppgiftsbiträdesavtal. Tanken är att använda avtalet som skall-krav vid upphandling och att det därmed blir standard inom kommuner och regioner.
Mot det protesterar IT & Telekomföretagen. Trots att arbetsgruppen bakom dokumentet haft en omfattande dialog med representanter från en rad organisationer oroas företagare i denna bransch för att vissa avtalsformuleringar kommer att hindra dem från att delta i offentliga upphandlingar.
Det som främst lyfts fram som problematiskt är ansvarsbegränsningsfrågan. Krav på obegränsat skadestånd bedöms leda till att färre företag väljer att delta i upphandlingar.
Kommentatorerna ansvarar för sina egna kommentarer