Kort svar

Kundekontrakter bør være tydelige på hvem som gjør hva når personopplysninger inngår i leveransen. Ellers blir ansvar og forventninger lett uklare når noe skjer.

Før dere signerer eller begynner å levere, bør dere ha kontroll på hvilke behandlingsaktiviteter kontrakten faktisk omfatter, hvordan ansvaret er fordelt mellom partene i praksis og hvordan sikkerhet, avvik og avslutning håndteres i avtalen.

Når dette blir aktuelt

  • når leveransen innebærer kundedata, brukerdata eller ansattdata
  • når databehandleravtale og hovedavtale er skrevet i ulike spor
  • når kunde og leverandør trenger tydelig operativ rollefordeling

Det bedriften bør avklare først

SpørsmålHvorfor det betyr noe
Hvilke behandlingsaktiviteter kontrakten faktisk omfatteravgjør hvilke personvernspørsmål som må reguleres
Hvordan ansvaret er fordelt mellom partene i praksiser viktig for å unngå hull mellom kontrakt og drift
Hvordan sikkerhet, avvik og avslutning håndteres i avtalenreduserer risikoen for at kritiske hendelser mangler avtalespor

Slik bør dere gå fram

  1. Beskriv hvilke personopplysninger leveransen faktisk berører og hvorfor.
  2. Avklar hvordan rollefordelingen skal se ut i hovedavtale og eventuelle bilag.
  3. Reguler tydelig hvordan endringer, sikkerhetshendelser og underleverandører håndteres.
  4. Sjekk at kontrakten støtter den faktiske leveransemodellen og ikke bare standardtekster.

Dokumenter og spor som bør være på plass

De fleste kontraktstvister starter fordi leveranse, ansvar eller endringer ikke ble gjort tydelige nok i forkant.

  • hovedavtale og eventuelt personvernbilag eller databehandleravtale
  • beskrivelse av behandlingsaktiviteter og systemflyt
  • sikkerhetskrav, varslingsrutiner og underleverandøroversikt
  • plan for datahåndtering ved opphør eller leverandørbytte

Typiske feil

  • personverndelene blir et vedlegg ingen leser sammen med hovedavtalen
  • rollefordelingen er for generell til å fungere operativt
  • avslutning og datatilbakelevering blir ikke regulert tydelig nok

Når bør dere få konkret hjelp?

Når leveransen er datatung eller sikkerhetskritisk, bør ansvarsdelingen kvalitetssikres før signering og oppstart.

Relaterte guider

Offentlige kilder og videre lesning