Visma Draftit / 2024

Hva må du ha med i en databehandleravtale?

Skrevet av Christian Holmelid Jakobsen | oktober 19, 2023

Når det kommer til personvern og håndtering av personopplysninger, er bruk av databehandlere uunngåelig. En databehandler er en som behandler personopplysninger på dine vegne. Du som behandlingsansvarlig bestemmer formålet og midlene for behandlingen (hvorfor, hvordan mv.), og databehandleren behandler personopplysningene i tråd med dette, og ikke på noen annen måte. Når man bruker en databehandler er man pålagt å inngå en databehandleravtale jf artikkel 28 i GDPR. Det er en rekke elementer som må være med i en databehandleravtale for at den skal oppfylle kravene, denne artikkelen forteller deg hva du må huske på.

Hva er en databehandleravtale?

En databehandleravtale er en juridisk kontrakt mellom behandlingsansvarlig (den som bestemmer formålet og midlene for behandlingen av personopplysninger) og databehandler (den som behandler personopplysninger på vegne av den behandlingsansvarlige).

Hvorfor er den viktig?

Databehandleravtalen er avgjørende for å sikre at personopplysninger blir behandlet i samsvar med GDPR, samt for å definere ansvarsforholdet mellom den behandlingsansvarlige og databehandleren.

Nødvendige elementer i en databehandleravtale

1. Rolleavklaring

Behandlingsansvarlig og Databehandler: Det er viktig å presisere hvilken part som er behandlingsansvarlig og hvilken part som er databehandler. Dette fjerner usikkerheten rundt hvilket ansvar som hviler på den enkelte part. 

2. Formål og Omfang

Behandlingens formål: Beskriv tydelig hva som er formålet med behandlingen av personopplysningene, altså hvorfor personopplysningene skal behandles. Databehandler kan ikke behandle personopplysningene til andre formål enn det som er spesifisert i avtalen.

Type personopplysninger: Databehandleravtalen skal angi hvilke personopplysninger som skal behandles. Det er nødvendig å avklare hvilke personopplysninger databehandleren skal behandle, blant annet for å kunne fastslå hvilke sikkerhetstiltak som er nødvendige basert på sensitiviteten til opplysningene. Det er også viktige for å etterleve prinsippet om dataminimering.

3. Behandlingsinstrukser

Det må angis klare instruksjoner fra behandlingsansvarlig til databehandler om hvordan data skal behandles. Det er den behandlingsansvarlige som bestemmer formålet og midlene ved behandlingen, og det er derfor nødvendig at man spesifiserer hvordan personopplysningene skal behandles. Behandlingsinstrukser sikrer at den behandlingsansvarlige har bedre kontroll over personopplysningene, dette vil også gjøre det enklere å etterleve de registrertes rettigheter. Avtalen skal også inneholde instruksjoner om overføring til tredjeland.

4. Sikkerhetstiltak

Databehandleravtalen skal inneholde en beskrivelse av hvilke tekniske og organisatoriske sikkerhetstiltak databehandleren må implementere for å sikre trygg behandling av personopplysningene.

5. Underdatabehandlere

Databehandleren skal detaljere hvilke underleverandører de bruker i forbindelse med behandlingen for den behandlingsansvarlige. En er underleverandør er en underdatabehandler (en databehandler som blir brukt til å bistå databehandleren). Den behandlingsansvarlige må godkjenne underdatabehandlerne for at databehandleren skal kunne bruke dem.

6. Avvik

Databehandleravtalen skal slå fast at databehandleren skal varsle og bistå den behandlingsansvarlige ved brudd på personopplysningssikkerheten.

7. Revisjoner og Inspeksjoner

Avtalen skal også inneholde et punkt om behandlingsansvarliges rett til revisjon. Man burde inkludere hvordan og når behandlingsansvarlig kan utføre revisjoner på databehandleren. Databehandleravtalen skal også si at databehandleren plikter å bistå den behandlingsansvarlige med informasjon for å demonstrere etterlevelse av GDPR.

8. Avslutning av Avtalen

Det er viktig å fastslå hva som skal skje med personopplysningene databehandleren har behandlet for den behandlingsansvarlige etter at avtaleforholdet opphører. Spesifiser hvorvidt personopplysningene skal slettes eller tilbakeleveres, og eventuelt hvordan de skal tilbakeleveres.  

Trenger du hjelp med din databehandleravtale?

Les om vårt Privacy Expert product som gir deg tilgang til mange nyttige maler og sjekklister!