En databehandleravtale etter GDPR er pliktig hver gang en leverandør behandler personopplysninger på vegne av bedriften. Det gjelder alt fra regnskapssystem og e-post til kundeservice og analyseverktøy. Denne guiden viser hvilke punkter avtalen må dekke og hvor det ofte glipper.
Når trenger bedriften en avtale
Avtaleplikten følger av GDPR artikkel 28 . Tabellen viser typiske scenarier.
| Type leverandør | Trenger databehandleravtale? |
|---|---|
| Regnskaps- og lønnssystem | Ja, behandler ansatte- og kundedata |
| E-postplattform (Mailchimp m.fl.) | Ja, behandler kundekontakter |
| CRM-system | Ja, lagrer kundeopplysninger |
| Skytjenester (Google Workspace, M365) | Ja, lagrer dokumenter med personopplysninger |
| Strømleverandør for kontoret | Nei, ingen behandling på vegne |
Hvis leverandøren bestemmer formålet selv (for eksempel banker eller offentlige etater), er de selvstendig behandlingsansvarlig — ikke databehandler.
Hva avtalen må regulere
GDPR artikkel 28 nr. 3 lister opp minimumsinnhold:
- gjenstand for behandlingen og varighet
- art, formål og kategorier av personopplysninger
- bedriftens rettigheter og plikter som behandlingsansvarlig
- at databehandler kun handler etter dokumenterte instrukser
- konfidensialitet og taushetsplikt
- sikkerhetstiltak etter artikkel 32
- bruk av underleverandører og krav til samtykke
- bistand til innsyn, sletting og personvernkonsekvensvurdering
- varsling ved brudd på personopplysningssikkerheten
- sletting eller tilbakelevering av data ved opphør
- rett til revisjon og inspeksjon
Slik bruker bedriften malen i praksis
- Identifiser alle leverandører som behandler personopplysninger.
- Hent inn standard databehandleravtale fra leverandøren — de fleste har en.
- Sjekk listen over underleverandører og hvor data lagres.
- Forhandle særlig om sikkerhetstiltak og varslingsfrister hvis bedriften bruker sensitive data.
- Lagre signert avtale i protokoll over behandlingsaktiviteter.
Overføring til land utenfor EØS
Hvis databehandleren bruker underleverandører utenfor EØS, kreves egne overføringsmekanismer som standardkontraktsklausuler eller adekvansvedtak. Datatilsynet har oversikt.
Vanlige feil
- Bedriften antar at leverandørens vilkår dekker artikkel 28, men de gjør det ikke
- Ingen oversikt over underleverandører
- Avtalen mangler frist for varsling ved sikkerhetsbrudd
- Leverandøren får tilgang til mer data enn nødvendig
Slik bruker dere guiden i praksis
For en bedrift er ikke målet å lese seg opp på gdpr-databehandleravtale for bedrifter i seg selv. Målet er å avklare hva som må besluttes, hvem som eier oppfølgingen, og hvilke dokumenter som bør tåle en senere kontroll, tvist eller intern gjennomgang.
Bruk derfor guiden som en arbeidsliste: start med formål, datatyper, tilgang, leverandører og sletterutiner, og fordel deretter oppgavene mellom systemeier, ledelse og den som eier kundereisen eller HR-prosessen. Da blir vurderingen mer konkret enn en generell regelavklaring, og dere reduserer risikoen for for brede datainnsamlinger, uklare leverandørroller og svak håndtering av innsyn eller brudd.
Spørsmål som gir bedre avklaring
- Hvilke personopplysninger behandles, og hvilket konkret formål støtter de?
- Hvem bestemmer bruken av opplysningene, og hvem behandler dem på vegne av bedriften?
- Hvilke systemer, leverandører og tilganger må inngå i vurderingen?
- Hva sier rutinen om informasjon, innsyn, sletting og avvik?
- Hvilke valg bør dokumenteres slik at de kan forklares ved kontroll eller spørsmål?
Et godt beslutningsgrunnlag bør vise
| Del | Hva bør stå klart |
|---|---|
| Formål | hvorfor opplysningene brukes, og om bruken er nødvendig |
| Roller | hvem som bestemmer behandlingen, og hvem som leverer systemer eller tjenester |
| Kontroll | hvordan tilgang, sletting, innsyn og avvik følges opp i praksis |
Denne typen oversikt gjør det enklere å prioritere riktig nivå på arbeidet. Den hjelper også bedriften å skille mellom det som kan løses med bedre intern rutine, det som bør avklares med motpart eller leverandør, og det som bør vurderes før dere tar neste formelle steg.
Når bør dere hente konkret hjelp?
Ved særlig sensitiv behandling, internasjonal overføring eller komplekse leveransekjeder bør dere få juridisk vurdering. Dette er generell veiledning og ikke personlig juridisk råd.
Relaterte guider
- Databehandleravtale: hva må være med?
- Behandlingsansvarlig eller databehandler
- Overføring av personopplysninger til land utenfor EØS
Trenger dere hjelp til å vurdere en konkret avtale? Be om hjelp .