Kort svar
Kundekontrakter bør være tydelige på hvem som gjør hva når personopplysninger inngår i leveransen. Ellers blir ansvar og forventninger lett uklare når noe skjer.
Før dere signerer eller begynner å levere, bør dere ha kontroll på hvilke behandlingsaktiviteter kontrakten faktisk omfatter, hvordan ansvaret er fordelt mellom partene i praksis og hvordan sikkerhet, avvik og avslutning håndteres i avtalen.
Når dette blir aktuelt
- når leveransen innebærer kundedata, brukerdata eller ansattdata
- når databehandleravtale og hovedavtale er skrevet i ulike spor
- når kunde og leverandør trenger tydelig operativ rollefordeling
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke behandlingsaktiviteter kontrakten faktisk omfatter | avgjør hvilke personvernspørsmål som må reguleres |
| Hvordan ansvaret er fordelt mellom partene i praksis | er viktig for å unngå hull mellom kontrakt og drift |
| Hvordan sikkerhet, avvik og avslutning håndteres i avtalen | reduserer risikoen for at kritiske hendelser mangler avtalespor |
Slik bør dere gå fram
- Beskriv hvilke personopplysninger leveransen faktisk berører og hvorfor.
- Avklar hvordan rollefordelingen skal se ut i hovedavtale og eventuelle bilag.
- Reguler tydelig hvordan endringer, sikkerhetshendelser og underleverandører håndteres.
- Sjekk at kontrakten støtter den faktiske leveransemodellen og ikke bare standardtekster.
Dokumenter og spor som bør være på plass
De fleste kontraktstvister starter fordi leveranse, ansvar eller endringer ikke ble gjort tydelige nok i forkant.
- hovedavtale og eventuelt personvernbilag eller databehandleravtale
- beskrivelse av behandlingsaktiviteter og systemflyt
- sikkerhetskrav, varslingsrutiner og underleverandøroversikt
- plan for datahåndtering ved opphør eller leverandørbytte
Typiske feil
- personverndelene blir et vedlegg ingen leser sammen med hovedavtalen
- rollefordelingen er for generell til å fungere operativt
- avslutning og datatilbakelevering blir ikke regulert tydelig nok
Når bør dere få konkret hjelp?
Når leveransen er datatung eller sikkerhetskritisk, bør ansvarsdelingen kvalitetssikres før signering og oppstart.
Relaterte guider
- Eksklusivitet i samarbeidsavtaler: når bør det avtales?
- Exit og overlevering ved opphør av IT-avtaler: hva bør med?
- Muntlige avklaringer i prosjekter: hvordan bekrefte dem skriftlig?