En databehandleravtale etter GDPR er pliktig hver gang en leverandør behandler personopplysninger på vegne av bedriften. Det gjelder alt fra regnskapssystem og e-post til kundeservice og analyseverktøy. Denne guiden viser hvilke punkter avtalen må dekke og hvor det ofte glipper.
Når trenger bedriften en avtale
Avtaleplikten følger av GDPR artikkel 28 . Tabellen viser typiske scenarier.
| Type leverandør | Trenger databehandleravtale? |
|---|---|
| Regnskaps- og lønnssystem | Ja, behandler ansatte- og kundedata |
| E-postplattform (Mailchimp m.fl.) | Ja, behandler kundekontakter |
| CRM-system | Ja, lagrer kundeopplysninger |
| Skytjenester (Google Workspace, M365) | Ja, lagrer dokumenter med personopplysninger |
| Strømleverandør for kontoret | Nei, ingen behandling på vegne |
Hvis leverandøren bestemmer formålet selv (for eksempel banker eller offentlige etater), er de selvstendig behandlingsansvarlig — ikke databehandler.
Hva avtalen må regulere
GDPR artikkel 28 nr. 3 lister opp minimumsinnhold:
- gjenstand for behandlingen og varighet
- art, formål og kategorier av personopplysninger
- bedriftens rettigheter og plikter som behandlingsansvarlig
- at databehandler kun handler etter dokumenterte instrukser
- konfidensialitet og taushetsplikt
- sikkerhetstiltak etter artikkel 32
- bruk av underleverandører og krav til samtykke
- bistand til innsyn, sletting og personvernkonsekvensvurdering
- varsling ved brudd på personopplysningssikkerheten
- sletting eller tilbakelevering av data ved opphør
- rett til revisjon og inspeksjon
Slik bruker bedriften malen i praksis
- Identifiser alle leverandører som behandler personopplysninger.
- Hent inn standard databehandleravtale fra leverandøren — de fleste har en.
- Sjekk listen over underleverandører og hvor data lagres.
- Forhandle særlig om sikkerhetstiltak og varslingsfrister hvis bedriften bruker sensitive data.
- Lagre signert avtale i protokoll over behandlingsaktiviteter.
Overføring til land utenfor EØS
Hvis databehandleren bruker underleverandører utenfor EØS, kreves egne overføringsmekanismer som standardkontraktsklausuler eller adekvansvedtak. Datatilsynet har oversikt.
Vanlige feil
- Bedriften antar at leverandørens vilkår dekker artikkel 28, men de gjør det ikke
- Ingen oversikt over underleverandører
- Avtalen mangler frist for varsling ved sikkerhetsbrudd
- Leverandøren får tilgang til mer data enn nødvendig
Når bør dere hente konkret hjelp?
Ved særlig sensitiv behandling, internasjonal overføring eller komplekse leveransekjeder bør dere få juridisk vurdering. Dette er generell veiledning og ikke personlig juridisk råd.
Relaterte guider
- Databehandleravtale: hva må være med?
- Behandlingsansvarlig eller databehandler
- Overføring av personopplysninger til land utenfor EØS
Trenger dere hjelp til å vurdere en konkret avtale? Be om hjelp .