Om Kontakt Tjenester Nettbutikk Global 🌎 E-brev Logg inn

GDPR: Når trenger du en databehandleravtale?

gdpr Jul 14, 2018

Hvis du skal til å starte med GDPR, bør du først sette deg inn i de grunnleggende prinsippene. Start med å lese denne GDPR-guiden for små bedrifter.

Hva er en databehandleravtale?

En databehandleravtale er en juridisk bindende avtale mellom en behandlingsansvarlig (altså deg), og en databehandler (en som behandler personopplysninger på dine vegne).

Det kan for eksempel være mellom deg og MailChimp, der de er databehandler for opplysningene i e-postlisten din (navn, e-postadresse osv.). Uansett hvilke databehandler du bruker, trenger du en databehandleravtale.

En databehandleravtale skal sikre at databehandleren behandler personopplysningene i tråd med loven, og at de passer på rettighetene til de som har gitt fra seg data til deg (de registrerte).

Kravet om databehandleravtale er gitt i GDPR artikkel 28. Jeg anbefaler at du leser gjennom denne slik at du har forutsetninger for å vurdere om avtalene du inngår, er gode nok. Det er imidlertid ikke alltid så enkelt for en liten bedrift. Her følger et par tips til hva du kan gjøre.

NB! Husk også å sjekke hvor personopplysninger lagres og om du trenger "nødvendige garantier" hvis du overfører (lagrer) personopplysninger utenfor EU/EØS.

Hva skal en databehandleravtale inneholde?

Først og fremst bør du vite hva avtalen skal inneholde, som minimum. En databehandleravtale skal beskrive selve behandlingen, og inneholde blant annet:

  • Avtalens tema (hva databehandleroppdraget faktisk går ut på)
  • Behandlingens art og formål (hva slags behandling, og hvorfor vi trenger å utføre den)
  • Hvor lenge databehandleroppdraget skal vare
  • Kategorier av registrerte (personene) som omfattes
  • Hva slags personopplysninger som behandles
  • Den behandlingsansvarliges (dine) rettigheter og plikter
  • Databehandlerens plikter

Databehandleren plikter for eksempel å hjelpe den behandlingsansvarlige slik at du skal kunne overholde forpliktelsene dine etter GDPR artikkel 32-36.

Når du skal vurdere om en databehandleravtale er “god nok”, må du sørge for at alle punktene over er med i avtalen.

Datatilsynet har laget en grundig veiledning for databehandleravtaler.  Du kan også finne flere ressurser hos Digitaliseringsdirektoratet, inkludert en sjekkliste for databehandleravtaler.

Oppdatering august 2020: Datatilsynet har nå lagt ut en mal for databehandleravtale (du finner den på dansk og engelsk der også).

Når trenger du en databehandleravtale?

Du trenger en databehandleravtale hvis du setter ut (outsourcer) hele eller deler av behandlingen av personopplysninger i bedriften din, til andre aktører.

Du trenger altså kun en databehandleravtale med leverandører som behandler personopplysninger, og de behandler disse på dine vegne.

Det kan for eksempel være hvis du:

  • bruker en e-postleverandør som MailChimp til å sende ut nyhetsbrev på dine vegne
  • har en kursportal/medlemsportal som Kajabi eller Teachable
  • bruker en skyløsning til å lagre personopplysninger (f.eks. kundelister, i OneDrive, Jottacloud)
  • har en nettbutikk (WooCommerce)
  • bruker et regnskapssystem (Tripletex, Fiken)
  • er del av en gruppe selvstendig næringsdrivende som behandler samme kundedata (for eksempel frisører)
  • bruker frilansere (ikke ansatte) i bedriften din, som for eksempel sender ut markedsføring på dine vegne, eller bygger og drifter nettsiden din

Hvordan skaffe en databehandleravtale?

En databehandleravtale er ofte utformet som en frittstående avtale. Men, den kan like gjerne integreres i andre avtaleverk. Både Google og Microsoft har oppdatert vilkårene sine med punktene som skal være med i en databehandleravtale. Kunder som aksepterte vilkårene, inngår samtidig en databehandleravtale.

De fleste store aktørene gjør det på denne måten. Det er nok veldig fornuftig, for det sparer tid og ressurser både for de og for oss!

Til nå har de fleste store, og/eller seriøse leverandører allerede sendt deg informasjon om databehandleravtale. Husk å sjekke innboksen din hvis du mangler noen. Hvis du er helt sikker på at du ikke har mottatt noe fra leverandøren, kan du først sjekke på nett. Google navnet på leverandøren + “databehandleravtale”, eller “data processing agreement” dersom leverandøren er utenlandsk.

Her kan du se en video der jeg viser deg hvordan du søker dette opp i Google.

Hvis du fortsatt ikke finner noe, kan du prøve navnet på leverandøren + “GDPR”, og til slutt sjekke nettsiden deres. Fortsatt ingenting? Da kontakter du support, og de vil hjelpe deg videre.

Hvordan kan du vite om en databehandleravtale er god nok?

Bruker du en stor og anerkjent leverandør, er sjansen stor for at avtalen er i samsvar med loven. Men, hvis du bruker mindre leverandører, bør du være spesielt påpasselig med å sjekke at avtalen er god nok.

Igjen - dette er sannelig ikke enkelt for en liten bedrift!

Hvis du føler at det er nødvendig å kvalitetssikre en avtale, anbefaler jeg at du leser nøye gjennom GDPR artikkel 28, og spesielt punkt 3. Da har du bedre forutsetninger for å kunne avgjøre om avtalen er i samsvar med loven. Bruk også lenkene over til Datatilsynet og sjekklisten.

Husk å oppdatere behandlingsprotokollen din (kolonne P hvis du bruker malen fra Bedre Bedrift)! Legg inn lenke til avtalen (hvis du bruker skylagring), eller skriv inn hvor avtalen er lagret. Dette trenger du i tilfelle tilsynskontroll.

Hva gjør du om leverandøren nekter å inngå en databehandleravtale?

Et par av kundene mine har opplevd at en leverandør nekter å inngå en databehandleravtale, og gjerne uten noen åpenbar grunn.

Da har jeg bare ett råd til deg, og det er å bytte leverandør.

Dersom en leverandør ikke tar GDPR seriøst, tar de ikke personvern seriøst, og hvordan er det da med sikkerhet og andre ting? Hvis de blir hacket, og personopplysninger kommer på avveie, får du også lide under konsekvensene. Det er en sjanse du ikke vil ta.

Bruk kun leverandører og databehandlere som enten gir deg en databehandleravtale selv, eller er villig til å inngå en med deg.

GDPR sjekkliste ✅

Motta sjekklisten som PDF og (kun) to e-poster til med konkrete tips til arbeidet (meld deg av når som helst).

 

Og selv om e-postene også nevner hvordan jeg kan hjelpe deg, blir du ikke bombardert med salgspitcher (som ingen kan fordra 🤢). For å ivareta markedsføringsloven trenger jeg samtykket ditt, derfor må du krysse av i boksen 👇. Les mer om personvernet ditt her.

Close

Få viktige oppdateringer om GDPR og nyttige tips for å drive en lønnsom og profesjonell bedrift.

Nyhetsbrev sendes ut 1-2 ganger i måneden og inneholder noen ganger informasjon om produkter og tjenester. Meld deg av når som helst.

Abonnenter får invitasjon til et gratis ressursbibliotek for småbedriftseiere og gründere.

Personvern