Förstudie

För att säkerställa att dataskyddsförordningen följs i det slutliga avtalet måste du ta hänsyn till kraven i förordningen redan i upphandlingsdokumentationen. Normalt kräver det att upphandlingen föregås av en förstudie i samverkan med olika funktioner inom högskolan, som dataskyddsgruppen. Beroende på vilka personuppgifter som berörs, hur känsliga dessa är och hur de ska hanteras kan det bland annat bli aktuellt med en risk- och sårbarhetsanalys, konsekvensbedömning avseende dataskydd och eventuellt förhandssamråd med Integritetsskyddsmyndigheten.

Tillräckliga garantier

Enligt dataskyddsförordningen får högskolan endast anlita leverantörer som ger tillräckliga garantier för att skyldigheterna i förordningen kommer att uppfyllas och att enskildas rättigheter skyddas. Leverantörer som inte lämnar sådana garantier får inte anlitas. Enskilda ska alltså inte riskera att få ett sämre skydd för att högskolan väljer att låta personuppgifter behandlas av en leverantör. Det innebär att det måste framgå av upphandlingsdokumentationen vilka krav som ställs på såväl produkten eller tjänsten som leverantörens kompetens, organisation, resurser med mera.

Personuppgiftsbiträdesavtal

Upphandlingsdokumentationen måste också innehålla ett utkast till personuppgiftsbiträdesavtal. I ett personuppgiftsbiträdesavtal regleras bland annat vilka personuppgifter som omfattas, hur leverantören ska behandla uppgifterna och vilken säkerhet som krävs för uppgifterna. En leverantör är med andra ord osjälvständig i förhållande till högskolan och får därför endast behandla personuppgifter i enlighet med högskolans instruktioner. Villkoren i personuppgiftsbiträdesavtalet ska, liksom andra avtalshandlingar, godkännas av leverantören.