Databehandleravtale
En databehandleravtale er en skriftlig avtale mellom en behandlingsansvarlig og en databehandler som regulerer hvordan personopplysninger skal behandles. Etter GDPR er en slik avtale obligatorisk når en virksomhet overlater behandling av personopplysninger til en ekstern leverandør – for eksempel ved bruk av skytjenester, IT-drift, lønnssystem eller regnskapsbyrå.
En korrekt utformet databehandleravtale reduserer risikoen for tilsyn, overtredelsesgebyr og erstatningsansvar. En feil eller mangelfull avtale kan derimot bli kostbar.
Dette får du vite:
Kort oppsummert
- En databehandleravtale er en obligatorisk, skriftlig avtale som kreves av GDPR når en virksomhet bruker en ekstern leverandør til å behandle personopplysninger.
- Avtalen er nødvendig ved bruk av tjenester som skytjenester, regnskapsbyrå, IT-drift og lønnssystemer.
- Virksomheten (behandlingsansvarlig) har alltid ansvaret for at en gyldig avtale er på plass.
- En mangelfull eller manglende avtale øker risikoen for overtredelsesgebyr fra Datatilsynet og erstatningsansvar.
Hva er en databehandleravtale?
En databehandleravtale er en skriftlig avtale mellom:
- Behandlingsansvarlig (den som bestemmer formålet med behandlingen), og
- Databehandler (den som behandler personopplysninger på vegne av den behandlingsansvarlige).
Avtalen regulerer hvordan personopplysninger skal behandles, hvilke sikkerhetstiltak som gjelder, og hvem som har ansvar for hva.
Kort sagt: Den behandlingsansvarlige bestemmer – databehandleren utfører.
💡 Visste du at?
Selv om leverandøren «kun lagrer data i skyen», regnes det som behandling av personopplysninger. Da er databehandleravtale obligatorisk.
Når trenger du en databehandleravtale?
Du trenger databehandleravtale når eksterne aktører får tilgang til eller behandler personopplysninger på dine vegne. Dette gjelder blant annet:
- Bruk av skytjenester (Microsoft 365, Google Workspace, AWS)
- Regnskaps- og lønnsbyrå
- HR- og rekrutteringssystemer
- IT-drift og support
- Markedsføringsbyråer med tilgang til kundedata
Det er alltid den behandlingsansvarlige som har plikt til å sørge for at avtalen er på plass.
Hva må en databehandleravtale inneholde?
GDPR artikkel 28 stiller konkrete krav til innholdet. Avtalen må blant annet regulere:
- Formål og varighet for behandlingen
- Type personopplysninger og kategorier registrerte
- At databehandler kun handler etter dokumenterte instrukser
- Taushetsplikt for personer som får tilgang til data
- Tekniske og organisatoriske sikkerhetstiltak
- Regler for bruk av underdatabehandlere
- Bistand ved innsyn, sletting og andre rettigheter
- Hva som skjer med data ved avtalens opphør
- Dokumentasjon og kontroll ved tilsyn
Mange konflikter oppstår fordi disse punktene er for generelt formulert.
💡 Visste du at?
En databehandleravtale som bare «vedlegges» uten konkret beskrivelse av behandlingen, kan være i strid med GDPR – selv om den bygger på en standardmal.
Trenger du hjelp med en databehandleravtale?
Send oss en henvendelse, så tar vi kontakt.
Vanlige feil i databehandleravtaler
- Bruk av utdatert mal
- Manglende regulering av underdatabehandlere
- For vide ansvarsbegrensninger til fordel for leverandøren
- Ingen tydelig regulering av sletting eller tilbakelevering av data
- Manglende vurdering av overføring til tredjeland
Særlig ved bruk av amerikanske leverandører må man vurdere overføringsgrunnlag, som Standard Contractual Clauses (SCC), og gjennomføre en konkret risikovurdering.
Sentrale avklaringer før signering
Er leverandøren faktisk databehandler – eller behandlingsansvarlig? Feil klassifisering kan gi alvorlige konsekvenser.
Har leverandøren rett til å bruke underdatabehandlere? Må disse forhåndsgodkjennes?
Er sikkerhetstiltakene konkrete og dokumenterbare – eller kun generelle formuleringer?
Overføres data utenfor EØS? Hvilket rettslig grunnlag brukes?
Slik sikrer du en robust databehandleravtale
- Kartlegg hvilke leverandører som behandler personopplysninger.
- Avklar roller og ansvar.
- Gjennomgå eller tilpass avtalen etter faktisk behandling.
- Vurder risiko ved tredjelandsoverføring.
- Dokumenter kontroll og oppfølging.
Jo tidligere avtalen kvalitetssikres, desto mindre risiko for tilsyn og sanksjoner.
Trenger du advokatbistand?
En erfaren advokat kan:
- Tilpasse en databehandleravtale til din virksomhet
- Avklare rollefordeling og ansvar
- Vurdere risiko ved internasjonale leveranser
- Sikre at avtalen tåler tilsyn og tvist
Ofte stilte spørsmål
En databehandleravtale er en obligatorisk, skriftlig avtale mellom en virksomhet (behandlingsansvarlig) og en ekstern leverandør (databehandler) som regulerer hvordan personopplysninger skal behandles.
Du trenger en databehandleravtale når du overlater behandling av personopplysninger til en ekstern part, for eksempel ved bruk av skytjenester, regnskapsbyrå eller IT-driftstjenester.
Det er alltid den behandlingsansvarlige, altså virksomheten som bestemmer formålet med behandlingen, som har plikt til å sørge for at en gyldig avtale inngås.
En feil eller mangelfull avtale øker risikoen for tilsyn, overtredelsesgebyr fra Datatilsynet og erstatningsansvar, og kan dermed bli svært kostbar.
