GDPR: Når trenger du en databehandleravtale?
Hvis du skal til å starte med GDPR, bør du først sette deg inn i de grunnleggende prinsippene. Start med å lese denne GDPR-guiden for små bedrifter.
Hva er en databehandleravtale?
En databehandleravtale er en juridisk bindende avtale mellom en behandlingsansvarlig (altså deg), og en databehandler (en som behandler personopplysninger på dine vegne).
Det kan for eksempel være mellom deg og MailChimp, der de er databehandler for opplysningene i e-postlisten din (navn, e-postadresse osv.). Uansett hvilke databehandler du bruker, trenger du en databehandleravtale.
En databehandleravtale skal sikre at databehandleren behandler personopplysningene i tråd med loven, og at de passer på rettighetene til de som har gitt fra seg data til deg (de registrerte).
Kravet om databehandleravtale er gitt i GDPR artikkel 28. Jeg anbefaler at du leser gjennom denne slik at du har forutsetninger for å vurdere om avtalene du inngår, er gode nok. Det er imidlertid ikke alltid så enkelt for en liten bedrift. Her følger et par tips til hva du kan gjøre.
NB! Husk også å sjekke hvor personopplysninger lagres og om du trenger "nødvendige garantier" hvis du overfører (lagrer) personopplysninger utenfor EU/EØS.
Hva skal en databehandleravtale inneholde?
Først og fremst bør du vite hva avtalen skal inneholde, som minimum. En databehandleravtale skal beskrive selve behandlingen, og inneholde blant annet:
- Avtalens tema (hva databehandleroppdraget faktisk går ut på)
- Behandlingens art og formål (hva slags behandling, og hvorfor vi trenger å utføre den)
- Hvor lenge databehandleroppdraget skal vare
- Kategorier av registrerte (personene) som omfattes
- Hva slags personopplysninger som behandles
- Den behandlingsansvarliges (dine) rettigheter og plikter
- Databehandlerens plikter
Databehandleren plikter for eksempel å hjelpe den behandlingsansvarlige slik at du skal kunne overholde forpliktelsene dine etter GDPR artikkel 32-36.
Når du skal vurdere om en databehandleravtale er “god nok”, må du sørge for at alle punktene over er med i avtalen.
Datatilsynet har laget en grundig veiledning og mal for databehandleravtaler. Digitaliseringsdirektoratet har også mye informasjon, inkludert en sjekkliste for databehandleravtaler.
Når trenger du en databehandleravtale?
Du trenger en databehandleravtale hvis du setter ut (outsourcer) hele eller deler av behandlingen av personopplysninger i bedriften din, til andre aktører.
Du trenger altså kun en databehandleravtale med leverandører som behandler personopplysninger, og de behandler disse på dine vegne.
Det kan for eksempel være hvis du:
- bruker en e-postleverandør som MailChimp til å sende ut nyhetsbrev på dine vegne
- har en kursportal/medlemsportal som Kajabi eller Teachable
- bruker en skyløsning til å lagre personopplysninger (f.eks. kundelister, i OneDrive, Jottacloud)
- har en nettbutikk (WooCommerce)
- bruker et regnskapssystem (Tripletex, Fiken)
- er del av en gruppe selvstendig næringsdrivende som behandler samme kundedata (for eksempel frisører)
- bruker frilansere (ikke ansatte) i bedriften din, som for eksempel sender ut markedsføring på dine vegne, eller bygger og drifter nettsiden din
Hvordan skaffe en databehandleravtale?
En databehandleravtale er ofte utformet som en frittstående avtale. Men, den kan like gjerne integreres i andre avtaleverk. Både Google og Microsoft har oppdatert vilkårene sine med punktene som skal være med i en databehandleravtale. Kunder som aksepterte vilkårene, inngår da samtidig en databehandleravtale. Du trenger med andre ord ikke en egen signatur på databehandleravtalen.
De fleste store aktørene gjør det på denne måten. Det er nok veldig fornuftig, for det sparer tid og ressurser både for de og for oss!
Til nå har de fleste store, og/eller seriøse leverandører allerede sendt deg informasjon om databehandleravtale. Husk å sjekke innboksen din hvis du mangler noen. Hvis du er helt sikker på at du ikke har mottatt noe fra leverandøren, kan du først sjekke på nett. Søk opp navnet på leverandøren + “databehandleravtale”, eller “data processing agreement” dersom leverandøren er utenlandsk.
Du kan også sjekke nettsiden deres. Fortsatt ingenting? Da kontakter du support, og de vil hjelpe deg videre!
Hvordan kan du vite om en databehandleravtale er god nok?
Bruker du en stor og anerkjent leverandør, er sjansen stor for at avtalen er i samsvar med loven. Men, hvis du bruker mindre leverandører, bør du være spesielt påpasselig med å sjekke at avtalen er god nok.
Igjen - dette er sannelig ikke enkelt for en liten bedrift!
Hvis du føler at det er nødvendig å kvalitetssikre en avtale, anbefaler jeg at du leser nøye gjennom GDPR artikkel 28, og spesielt punkt 3. Da har du bedre forutsetninger for å kunne avgjøre om avtalen er i samsvar med loven. Bruk også lenkene over til Datatilsynet og sjekklisten.
Husk å oppdatere behandlingsprotokollen din. Legg inn lenke til avtalen (hvis du bruker skylagring), eller skriv inn hvor avtalen er lagret. Dette trenger du i tilfelle tilsynskontroll.
Hva gjør du om leverandøren nekter å inngå en databehandleravtale?
Et par av kundene mine har opplevd at en leverandør nekter å inngå en databehandleravtale, og gjerne uten noen åpenbar grunn.
Da har jeg bare ett råd til deg, og det er å bytte leverandør.
Dersom en leverandør ikke tar GDPR seriøst, tar de ikke personvern seriøst, og hvordan er det da med sikkerhet og andre ting? Hvis de blir hacket, og personopplysninger kommer på avveie, får du også lide under konsekvensene. Det er en sjanse du ikke vil ta.
Bruk kun leverandører og databehandlere som enten gir deg en databehandleravtale selv, eller er villig til å inngå en med deg.