Databehandleravtale steg for steg: Slik gjør du det riktig

Har du full kontroll på personopplysningene som behandles når eksterne leverandører er involvert? Hvis de behandler personopplysninger for deg, trenger du trolig en databehandleravtale – men hva betyr det egentlig i praksis? 

I denne guiden får du en rask og konkret oversikt over hva du må vite – og når avtalen er et must.

Hva er en databehandler, og hva regnes som personopplysninger?

En databehandler er en ekstern aktør som håndterer personopplysninger på vegne av virksomheten din, for eksempel en IT-leverandør, et rekrutteringsbyrå eller en skytjeneste.

Hva er personopplysninger?

Personopplysninger er all informasjon som kan knyttes til en identifiserbar person, som navn, e-post, telefonnummer og IP-adresse. Hvis en annen virksomhet behandler personopplysninger på vegne av din virksomhet, må du ha en databehandleravtale.

Når trenger du en databehandleravtale, og hva bør den inneholde?

Bruker du eksterne leverandører som håndterer personopplysninger for deg? Da krever GDPR at du har en databehandleravtale – uten den kan du stå ansvarlig hvis noe går galt. 

Tenk deg at en IT-leverandør mister tilgang til en database med ansattinformasjon, og du ikke har en tydelig avtale. Hva skjer ved et tilsyn? Hvem har ansvaret? 

En solid avtale sikrer at roller, ansvar og sikkerhetstiltak er krystallklare.

GDPR stiller tydelige krav til innholdet i en databehandleravtale. Den skal blant annet beskrive:

1. Hvilke data som behandles (type, varighet, formål)
2. At behandlingen kun skjer etter instruks fra den behandlingsansvarlige
3. Hvilke sikkerhetstiltak som er på plass (kryptering, tilgangskontroll osv.)
4. Hvordan personopplysninger slettes eller returneres etter endt samarbeid
5. Hvem som er ansvarlig for underleverandører og hvordan de godkjennes

Som behandlingsansvarlig har du hovedansvaret for at personopplysningene behandles i samsvar med GDPR, selv om en databehandler utfører behandlingen på dine vegne.

Hvilket ansvar har databehandleren?

Selv om hovedansvaret for personopplysninger ligger hos den behandlingsansvarlige virksomheten, har også databehandlere et juridisk ansvar. Det betyr blant annet at:

1. Datatilsynet kan sjekke om leverandøren din følger GDPR og be om dokumentasjon
2. Databehandleren kan holdes erstatningsansvarlig ved brudd på personvernsikkerheten.
3. Sikkerhetsnivået må være tilstrekkelig, inkludert tekniske og organisatoriske tiltak.

Dersom det oppstår et sikkerhetsbrudd, må den behandlingsansvarlige rapportere dette til Datatilsynet innen 72 timer. Det betyr at databehandlere må ha gode rutiner for å oppdage og varsle om avvik raskt.

Hva er databehandleren ikke ansvarlig for?

Databehandleren har ikke ansvar for alt i GDPR. For eksempel:

• Behandlingens lovlighet – det er den behandlingsansvarlige som må sikre at behandlingen har et juridisk grunnlag (f.eks. samtykke eller berettiget interesse).
• Håndtering av den registrertes rettigheter – som innsyn, retting eller sletting av data, som primært håndteres av behandlingsansvarlig.

5 vanlige feil bedrifter gjør med databehandleravtaler

Selv om mange virksomheter er klar over at de trenger en databehandleravtale, er det fortsatt en del fallgruver som kan føre til manglende etterlevelse av GDPR. Her er fem vanlige feil:

1. Ingen avtale på plass: Mange glemmer å inngå en skriftlig avtale med eksterne leverandører som behandler personopplysninger, noe som kan føre til alvorlige konsekvenser ved tilsyn.
2. Uklare ansvarsforhold: Hvis avtalen ikke tydelig definerer hvem som er ansvarlig for hva, kan det bli vanskelig å håndtere brudd på personvernet og sikkerhetshendelser.
3. For generelle eller utdaterte avtaler: En standardmal som ikke er tilpasset virksomhetens behov eller dagens regelverk, kan gi falsk trygghet. Avtalen må være oppdatert og spesifikk for databehandlingen som faktisk skjer.
4. Manglende krav til sikkerhetstiltak: Hvis avtalen ikke spesifiserer hvordan data skal beskyttes (f.eks. kryptering, tilgangskontroll, logging), kan det øke risikoen for brudd på personopplysninger.
5. Ingen oppfølging eller revisjon: En databehandleravtale er ikke en «sett og glem»-avtale. Bedrifter må regelmessig følge opp leverandørene sine, sikre etterlevelse og oppdatere avtalen ved behov.

Unngår du disse feilene, står du langt sterkere i arbeidet med personvern og GDPR-etterlevelse.

Enkle steg for å sikre en god databehandleravtale

• Kartlegg behovet

Identifiser hvilke eksterne leverandører som behandler personopplysninger på dine vegne, og hva slags data de håndterer.

• Sett tydelige krav

Avtalen må klargjøre ansvarsfordelingen, sikre at GDPR overholdes og inkludere krav til sikkerhet, dokumentasjon og revisjon.

• Bruk smarte og trygge verktøy

En god prosess krever mer enn et standard dokument. Med riktig verktøy og ekspertise kan du sikre effektive avtaler som etterlever regelverket – uten unødvendig tidsbruk.

Gjør personvernarbeidet enklere og tryggere

Med tjenesten Privacy as a Service får du den optimale kombinasjonen av verktøy, ekspertise og metode for å sikre etterlevelse av GDPR. Våre spesialiserte jurister og personvernombud veileder deg gjennom hele prosessen – fra kartlegging til implementering.

Fordelene?

• Effektivitet: Spar tid med automatiserte prosesser og maler for avtaler og risikovurderinger.
• Trygghet: Få eksperthjelp fra jurister og personvernombud som sikrer at alt er i tråd med gjeldende regelverk.
• Dokumentasjon i orden: Alle avtaler og tiltak blir systematisk lagret og lett tilgjengelige ved tilsyn eller interne revisjoner.
• Tilpasset din virksomhet: Få skreddersydde løsninger som passer dine behov, uansett bransje og kompleksitet.

Vil du se hvordan det fungerer i praksis? Book en uforpliktende demo, så viser vi deg hvordan vi kan hjelpe din virksomhet.