Rettighetsadvokater
Spesialiserte Advokater

Databehandleravtale – krav, innhold og ansvar etter GDPR

En dame leder et møte. Foto

En databehandleravtale er en skriftlig avtale mellom en behandlingsansvarlig og en databehandler som regulerer hvordan personopplysninger skal behandles. GDPR (personvernforordningen) krever slike avtaler når virksomheter setter ut oppgaver til underleverandører, f.eks. ved bruk av skytjenester eller regnskapsbyrå. Avtalen må beskrive rettigheter, plikter og sikkerhetstiltak. Brudd kan føre til tilsyn, bøter og erstatningsansvar. Mange bruker maler, men feil kan bli dyre – juridisk tilpasning er ofte nødvendig.

 

Artikkelen er skrevet og kvalitetssikret av Codex Advokat sitt team for IPR.

Få hjelp med databehandleravtale 22 93 38 50
av Codex Advokat
08/09/2025

Kort oppsummert

  • En databehandleravtale er påkrevd etter GDPR når personopplysninger behandles av en underleverandør.
  • Behandlingsansvarlig har hovedansvaret – men databehandler har egne plikter.
  • Avtalen må være skriftlig og oppfylle minstekravene i GDPR artikkel 28.
  • Mange bruker en databehandleravtale mal, men standardtekster bør tilpasses.
  • Brudd kan føre til tilsyn, bøter og erstatning – advokatbistand gir trygghet.

Hva er en databehandleravtale?

En databehandleravtale er en avtale mellom en virksomhet (behandlingsansvarlig) og dens underleverandør (databehandler) om hvordan personopplysninger skal behandles.

Avtalen setter rammer for:

  • Hva slags opplysninger som behandles.
  • Formålet med behandlingen.
  • Varighet og omfang.
  • Tekniske og organisatoriske sikkerhetstiltak.
  • Databehandlers plikter og rettigheter.

Kort forklart: Behandlingsansvarlig bestemmer formålet, databehandler utfører oppgaven.

Behandlingsansvarlig vs. databehandler

Behandlingsansvarlig er den som bestemmer formålet med behandlingen – ofte arbeidsgiver, en forening eller et offentlig organ. Den behandlingsansvarlige kan aldri fraskrive seg ansvaret.

Databehandler er den som behandler opplysninger på vegne av den behandlingsansvarlige. Typiske eksempler er:

  • Skytjenester (Microsoft, Google, AWS).
  • Regnskapsbyråer.
  • Markedsføringsbyråer.
  • IT-support eller konsulenter.

💡 Visste du at?
Selv om databehandleren “bare lagrer” opplysningene, kreves det fortsatt en databehandleravtale.

Når trenger du en databehandleravtale?

En databehandleravtale må inngås når:

  • Opplysninger behandles av eksterne leverandører (f.eks. regnskap eller HR-systemer).
  • Skytjenester brukes til lagring eller drift.
  • Konsulenter eller eksterne får innsyn i personopplysninger.
  • En databehandler bruker underdatabehandlere.

Det er alltid den behandlingsansvarlige som må sørge for at avtalen er på plass.

Hva må en databehandleravtale inneholde?

GDPR artikkel 28 setter minstekrav til innholdet. En avtale skal blant annet angi:

  • Beskrivelse av behandlingen: Hva databehandleren skal gjøre, hvilke opplysninger som behandles, hvilke kategorier personer det gjelder, og hvor lenge avtalen varer.
  • Behandlingsansvarliges plikter og rettigheter: Overordnet ansvar for lovlighet, sikkerhet og kontroll.
  • Databehandlers forpliktelser:
    • Følge skriftlige instrukser.
    • Taushetsplikt for autoriserte personer.
    • Tilfredsstillende sikkerhetstiltak.
    • Avtaler med eventuelle underleverandører.
    • Bistand til behandlingsansvarlig ved innsyn, sletting og andre rettigheter.
    • Tilbakestilling eller sletting av data ved oppdragets slutt.
    • Dokumentasjon ved tilsyn.

💡 Visste du at?
Databehandleravtalen skal være skriftlig – muntlige avtaler er ugyldige.

Trenger du hjelp med utforming av en databehandleravtale?

Send oss en henvendelse under, så tar vi kontakt:

Databehandleravtale - mal eller eksempel

Mange leter etter en databehandleravtale mal eller eksempel på databehandleravtale . På nettet finnes flere standardtekster, blant annet hos Datatilsynet.

Utfordringen er at en mal ofte:

  • Ikke dekker virksomhetens spesifikke behov.
  • Har uklare grenser for ansvar.
  • Gir databehandleren for vide rettigheter.

Vår anbefaling: Bruk mal som utgangspunkt, men tilpass avtalen med juridisk bistand.

Krav til databehandleravtale og tilsyn

Datatilsynet kan føre kontroll med både behandlingsansvarlige og databehandlere. Vanlige feil som avdekkes er:

  • At avtalen mangler helt.
  • At avtalen er ufullstendig eller foreldet.
  • At behandlingsansvarlig ikke har kontroll med underleverandører.

Brudd kan føre til bøter og pålegg.

Internasjonale perspektiver: Standard Contractual Clauses

Når personopplysninger overføres til land utenfor EØS, gjelder egne regler. Her kommer Standard Contractual Clauses (SCCs) inn – standardkontrakter godkjent av EU for å sikre overføringer.

Dette gjelder ofte ved bruk av amerikanske tjenester. Etter Schrems II-dommen er det ikke nok å ha SCCs – virksomheten må også gjøre en konkret risikovurdering.

Engelske begreper – viktig i internasjonale avtaler

  • Data processor = Databehandler
  • Data controller = Behandlingsansvarlig
  • Data processing = Behandling av personopplysninger

Mange norske virksomheter opplever at kontraktsvilkår kun finnes på engelsk. Det er derfor avgjørende å forstå hvordan begrepene henger sammen med GDPR.

Vanlige feil i databehandleravtaler

  • Bruk av utdatert eller mangelfull mal.
  • Manglende regulering av underdatabehandlere.
  • Ansvarsfraskrivelse fra databehandlerens side.
  • Ingen avtale om hva som skjer med data etter oppdragets slutt.
  • Uklarhet om tilsynsrettigheter.

Slik går du frem

Alle virksomheter håndterer personopplysninger, enten om ansatte, kunder eller medlemmer. Uten riktige avtaler står man i fare for både tilsyn, bøter og erstatningskrav.

Jo tidligere du får på plass gode avtaler, desto tryggere står virksomheten.

Advokat ved databehandleravtaler

En erfaren advokat som kan databehandleravtaler kan:

  • Tilpasse en databehandleravtalemal til din virksomhet.
  • Avklare roller (behandlingsansvarlig vs. databehandler).
  • Vurdere risiko ved internasjonale overføringer (SCCs).
  • Sikre at avtalen tåler tilsyn og tvist.

Ta kontakt – vi hjelper deg med å sikre at dine avtaler oppfyller GDPR-kravene.

Få hjelp med databehandleravtale 22 93 38 50

Ofte stilte spørsmål (FAQ)

Hva er en databehandleravtale?

En avtale mellom behandlingsansvarlig og databehandler som regulerer hvordan personopplysninger behandles etter GDPR.

Når må man ha en databehandleravtale?

Når en virksomhet setter ut oppgaver som innebærer behandling av personopplysninger til en underleverandør.

Hva bør en databehandleravtale inneholde?

Beskrivelse av behandlingen, varighet, typer opplysninger, plikter og sikkerhetstiltak, samt regler for underleverandører.

Kan jeg bruke en databehandleravtale mal?

Ja, men maler må tilpasses. Standardtekster gir ofte mangelfull beskyttelse – juridisk gjennomgang anbefales.

Hva er forskjellen på behandlingsansvarlig og databehandler?

Behandlingsansvarlig bestemmer formålet med behandlingen, mens databehandler utfører oppgaven på vegne av den ansvarlige.