Kort svar
Databehandleravtalen bør være konkret nok til å styre en reell tjeneste, ikke bare oppfylle et minimumskrav.
Start med å få kontroll på hvilke behandlinger leverandøren gjør, sikkerhet, underleverandører og instrukser og hva som skjer ved avslutning og avvik, slik at ansvar, frister og dokumentasjon henger sammen.
Når dette ofte blir aktuelt
- når dere skal gjennomføre et løp som berører hvilke behandlinger leverandøren gjør
- når ansvar, varsling eller frister rundt sikkerhet, underleverandører og instrukser må avklares
- når dere trenger et ryddig spor for hva som skjer ved avslutning og avvik
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke behandlinger leverandøren gjør | avgjør hva som må skje først |
| Sikkerhet, underleverandører og instrukser | sier noe om hvem som må involveres og varsles |
| Hva som skjer ved avslutning og avvik | reduserer risikoen for hull i dokumentasjonen |
Praktisk framgangsmåte
- Lag en enkel plan med ansvar, frister og tydelige beslutningspunkter.
- Samle faktagrunnlag og dokumenter knyttet til hvilke behandlinger leverandøren gjør.
- Avklar hvilke steg, varsler eller innsendelser som følger av sikkerhet, underleverandører og instrukser.
- Kontroller at sluttresultatet også dekker hva som skjer ved avslutning og avvik.
Dokumentasjon som ofte avgjør
Det som faktisk er dokumentert underveis, betyr ofte mer enn hva bedriften mente å gjøre. Samle derfor:
- databehandleravtale og oversikt over underleverandører
- beskrivelse av behandlinger, instrukser og sikkerhetstiltak
- signert avtale med alle vedlegg og endringer
- korrespondanse som viser hvordan partene har forstått avtalen
Vanlige feil
- ansvar for framdrift, varsling og signering er uklart
- virksomheten beskriver et formål, men jobber i praksis på en annen måte
- for mye data samles inn fordi ingen eier oppryddingen
Når bør dere hente konkret hjelp?
Når store datamengder, ansattdata, tredjelandsoverføring eller reell sikkerhetsrisiko er involvert, bør vurderingene forankres tydelig og sees samlet. Det gjelder særlig hvis flere roller, formelle vedtak eller myndighetsmeldinger må koordineres samtidig.
Relaterte guider
- Behandlingsansvarlig eller databehandler: hvordan vurdere rollen?
- Databrudd hos databehandler: hvem gjør hva?
- Felles behandlingsansvar: når gjelder det?