MedCom var, da SDNv4-databehandleraftalen blev godkendt, gennem staten, regionerne og kommunernes samarbejde om fællesoffentlig systemforvaltning forpligtet til at anvende sundhedsområdets fællesoffentlige databehandlerskabelon. Siden da er det i FSI blevet aftalt at anvende Datatilsynets skabelon, hvorfor den nye databehandleraftale for VDX er udarbejdet på denne. Den fællesoffentlige databehandlerskabelon bygger dog på Datatilsynets skabelon på den måde, at der er tilføjet dele til Datatilsynets skabelon i bilagene.

Både Datatilsynet og den fællesoffentlige skabelon for databehandleraftale indeholder mulighed for med et passende varsel en forudgående generel godkendelse af underdatabehandler – i stedet for en forudgående specifik godkendelse.
 
Grunden til, at MedComs databehandleraftale for SDN og VDX indeholder en forudgående generel og ikke en specifik godkendelse er, at en specifik udfordrer løsninger som SDN og VDX.
SDN og VDX har mange dataansvarlige fra alle sektorer. Derfor er det i en fællesoffentlig sammenhæng vanskeligt at håndtere krav om forudgående specifik godkendelse, da beslutning om skift af underdatabehandler som oftest ligger i forlængelse af et fælles udbud. Både udbudsprocessen for SDN og VDX samt tildeling vil altid ske med involvering af repræsentanter fra de dataansvarlige – og beslutningen om tildeling sker i MedComs styregruppe, som udgøres af regioner, kommuner og stat.
 
Derfor er der aftalt en forudgående generel godkendelse med underretning med mindst 3 måneders varsel.

SDN og VDX er fællesoffentlige infrastrukturer inden for rammerne af offentlig-offentligt samarbejde. Det vil sige, at ejerne kollektivt dækker omkostninger, i det omfang krav om erstatning ikke kan videreføres til leverandørerne jf. de indgåede kontrakter.

Baggrunden for MedComs forbehold er budgetsikkerhed og forventningsafstemning med de tilsluttede parter grundet et aktuelt stigende antal tilsyn. Disse vil være forbundet med omkostninger, hvis underdatabehandleren skal involveres.

En sikkerhedsgodkendelse vil kun være gældende for den myndighed, der rekvirerer den og kun til det specifikke formål, sikkerhedsgodkendelsen vedrører. En sikkerhedsgodkendelse er derfor ikke generel. Derfor er der taget forbehold for, at udgifter betales af den dataansvarlige, i fald den dataansvarlige måtte kræve en sikkerhedsgodkendelse. Leverandørens medarbejdere er allerede sikkerhedsgodkendte i forskellige sammenhænge.

Misligholdelse og erstatningsansvar reguleres udelukkende i tilslutningsaftalen for ikke indbyrdes at skulle regulere mislighold og erstatningsmaksimum på tværs af de 2 aftaler.

MedCom indtager ikke rollen som databehandler for KIH. Derfor indgås databehandleraftalen for KIH direkte med MedComs driftsleverandør (Region Nordjylland), inden for rammerne af sundhedsområdets fællesoffentlige databehandlerskabelon.