Når trenger jeg en databehandleravtale?

Du trenger en databehandleravtale etter GDPR artikkel 28 hver gang en ekstern aktør (databehandler) behandler personopplysninger på dine vegne. Typiske eksempler er skylagringstjenester, regnskapsbyrå, IT-supportleverandører, nyhetsbrevtjenester og lønnssystemer.

Hva er forskjellen mellom behandlingsansvarlig og databehandler?

Behandlingsansvarlig er den som bestemmer formålet med og midlene for behandlingen av personopplysninger. Databehandleren er den som behandler personopplysninger på vegne av den behandlingsansvarlige, basert på dennes instrukser. Databehandleren har ikke selvstendig rett til å bruke opplysningene til egne formål.

Hva skjer hvis jeg ikke har en databehandleravtale?

Manglende databehandleravtale er et brudd på GDPR artikkel 28 og kan medføre overtredelsesgebyr på opptil 10 millioner euro eller 2 % av global omsetning. I tillegg mister du kontroll over hvordan personopplysninger behandles av leverandøren, noe som øker risikoen for sikkerhetsbrudd.

Databehandleravtale: Krav, innhold og maler etter GDPR

Hva er en databehandleravtale?

En databehandleravtale er en juridisk bindende avtale mellom en behandlingsansvarlig og en databehandler som regulerer hvordan personopplysninger skal behandles. Avtalen er påkrevd etter GDPR artikkel 28 når en ekstern part behandler personopplysninger på vegne av virksomheten din.

Den norske personopplysningsloven gjennomfører GDPR i norsk rett og stiller de samme kravene til databehandleravtaler. Datatilsynet har gjentatte ganger understreket viktigheten av å ha slike avtaler på plass, og manglende avtaler har vært grunnlag for flere tilsynssaker i Norge.

Når trenger du en databehandleravtale?

Forstå rollene

Før du kan vurdere om du trenger en databehandleravtale, må du forstå rollene:

Behandlingsansvarlig: Din virksomhet, som bestemmer hvorfor og hvordan personopplysninger skal behandles
Databehandler: Den eksterne aktøren som behandler personopplysninger på dine vegne og etter dine instrukser
Underdatabehandler: En tredjepart som databehandleren bruker for å utføre deler av behandlingen

Typiske situasjoner som krever databehandleravtale

Du trenger en databehandleravtale med blant annet:

Skylagringstjenester: Amazon Web Services, Microsoft Azure, Google Cloud
SaaS-verktøy: CRM-systemer, prosjektstyringsverktøy, HR-systemer
Regnskapsbyrå: Når de har tilgang til ansattes personopplysninger
IT-support: Leverandører med fjerntilgang til systemer med personopplysninger
Nyhetsbrevtjenester: Mailchimp, Brevo, Klaviyo
Lønns- og HR-systemer: Leverandører som behandler ansattdata
Markedsføringsbyråer: Når de har tilgang til kundedata for kampanjer

Når trenger du IKKE en databehandleravtale?

Ikke alle leverandørforhold krever databehandleravtale:

Når leverandøren er selvstendig behandlingsansvarlig (f.eks. banken din)
Ved ren postlevering der leverandøren ikke har tilgang til innholdet
Når det er felles behandlingsansvar — da trengs det en annen type avtale etter GDPR artikkel 26

Obligatorisk innhold etter GDPR artikkel 28

GDPR artikkel 28(3) stiller konkrete krav til hva en databehandleravtale skal inneholde. Her er en gjennomgang av hvert krav:

1. Formål og instrukser

Avtalen skal fastslå at databehandleren kun behandler personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige. Databehandleren kan ikke bruke opplysningene til egne formål.

Konkret bør avtalen spesifisere:

Formålet med behandlingen
Hvilke typer personopplysninger som behandles
Kategorier av registrerte (kunder, ansatte, brukere)
Behandlingens varighet

2. Konfidensialitet

Databehandleren skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til konfidensialitet eller er underlagt en lovbestemt taushetsplikt.

3. Sikkerhetstiltak etter artikkel 32

Avtalen må regulere de tekniske og organisatoriske sikkerhetstiltakene som databehandleren skal iverksette. GDPR artikkel 32 krever tiltak som er egnet til å sikre et sikkerhetsnivå som er tilpasset risikoen, herunder:

Kryptering av personopplysninger under lagring og overføring
Tilgangskontroll med rollebasert tilgang og sterk autentisering
Logging og overvåking av tilgang til personopplysninger
Sikkerhetskopiering og gjenopprettingsprosedyrer
Regelmessig testing av sikkerhetstiltakene

4. Underdatabehandlere

Avtalen skal regulere bruk av underdatabehandlere. Etter GDPR artikkel 28(2) kan databehandleren ikke engasjere en underdatabehandler uten forutgående skriftlig godkjenning fra den behandlingsansvarlige.

To modeller er vanlige:

Spesifikk godkjenning: Databehandleren må innhente godkjenning for hver enkelt underdatabehandler
Generell godkjenning: Den behandlingsansvarlige gir en generell tillatelse, men databehandleren må informere om endringer og gi mulighet for innsigelse

Databehandleren er ansvarlig for å pålegge underdatabehandleren de samme forpliktelsene som gjelder i databehandleravtalen.

5. Bistandsplikt

Databehandleren skal bistå den behandlingsansvarlige med:

Å oppfylle de registrertes rettigheter (innsyn, sletting, retting, dataportabilitet)
Å gjennomføre vurdering av personvernkonsekvenser (DPIA) etter artikkel 35
Forhåndsdrøftinger med tilsynsmyndigheten etter artikkel 36
Å sikre etterlevelse av artikkel 32-36

6. Avslutning og sletting

Avtalen skal regulere hva som skjer med personopplysningene når behandlingen opphører. Databehandleren skal etter den behandlingsansvarliges valg enten:

Slette alle personopplysninger, eller
Returnere alle personopplysninger og deretter slette eksisterende kopier

Med mindre EU- eller nasjonal lovgivning krever fortsatt lagring.

7. Revisjon og tilsyn

Databehandleren skal gjøre tilgjengelig all informasjon som er nødvendig for å påvise etterlevelse, og tillate og bidra til revisjoner og inspeksjoner utført av den behandlingsansvarlige eller en annen revisor som er bemyndiget av denne.

Avvikshåndtering etter artikkel 33

Et sentralt element i databehandleravtalen er regulering av sikkerhetsbrudd. Etter GDPR artikkel 33 skal den behandlingsansvarlige varsle Datatilsynet om brudd på personopplysningssikkerheten uten ugrunnet opphold og senest innen 72 timer.

Databehandleravtalen bør fastsette at databehandleren:

Varsler den behandlingsansvarlige uten ugrunnet opphold etter å ha blitt oppmerksom på et brudd
Gir tilstrekkelig informasjon til at den behandlingsansvarlige kan oppfylle sin varslingsplikt
Bistår med å kartlegge omfanget av bruddet
Iverksetter tiltak for å begrense skadevirkningene
Dokumenterer alle brudd, inkludert de som ikke medfører varslingsplikt

Overføring til tredjeland

Dersom databehandleren eller underdatabehandlere befinner seg utenfor EØS, må databehandleravtalen regulere overføring av personopplysninger til tredjeland. Etter GDPR kapittel V kreves et gyldig overføringsgrunnlag:

Adekvansbeslutning fra EU-kommisjonen
Standard personvernbestemmelser (SCCs) vedtatt av EU-kommisjonen
Bindende virksomhetsregler (BCR) godkjent av tilsynsmyndigheten

Etter Schrems II-dommen (C-311/18) er det også nødvendig å gjennomføre en Transfer Impact Assessment (TIA) for å vurdere om lovgivningen i mottakerlandet gir tilstrekkelig beskyttelse.

Vanlige feil i databehandleravtaler

For generell beskrivelse av behandlingen — vær konkret om formål, datatyper og kategorier
Manglende regulering av underdatabehandlere — særlig aktuelt for skytjenester
Ingen konkrete sikkerhetstiltak — generelle formuleringer som "tilstrekkelig sikkerhet" er ikke nok
Uklar avvikshåndtering — konkrete frister og prosedyrer er viktig
Manglende regulering av tredjelandsoverføring — særlig relevant for amerikanske tjenester

Lag din databehandleravtale med Pakto.ai

Med Pakto.ai kan du generere profesjonelle juridiske dokumenter på sekunder. Spar tid og sikre at dokumentene dine er i tråd med norsk lov.

Kom i gang gratis →