Bedre Bedrift AS

Kontakt Om meg Blogg Jobb med meg Gratis minikurs Logg inn

GDPR for små bedrifter: Steg 3 (databehandleravtaler)

gdpr Jul 14, 2018

Denne artikkelserien om GDPR (personvernforordningen) er skrevet spesielt for deg som driver en liten bedrift med én eller få ansatte. Målet er at du skal kunne senke skuldrene, få konkret hjelp til å komme i gang med GDPR-arbeidet, og vite hva du bør prioritere å gjøre fremover. Les del 1 her, og del 2 her.

GDPR har trådt i kraft om få dager. Hva skjer om du ikke er klar?

Du er forhåpentligvis godt i gang med å få oversikt over alle personopplysninger du behandler i bedriften din! Kanskje er du også ferdig med behandlingsprotokollen? Hvis ikke bør du gå til del 1 i denne serien, og begynne der. Husk også geografisk avsjekk for leverandørene du bruker. Følg rådene i del 2.

Uansett hvor leverandørene har tilhold, så trenger du en databehandleravtale.

Hva er en databehandleravtale?

En databehandleravtale er en juridisk bindende avtale mellom en behandlingsansvarlig (trolig deg), og en databehandler. Det kan for eksempel være mellom deg og MailChimp, der de er databehandler for e-postlisten din.

Avtalen skal sikre at databehandleren behandler personopplysningene i tråd med loven, og at de passer på rettighetene til de som har gitt fra seg data til deg (de registrerte).

Kravet om databehandleravtale er gitt i personvernforordningens artikkel 28. Jeg anbefaler at du leser gjennom denne, slik at du har forutsetninger for å vurdere om avtalene du inngår, er gode nok. Det er imidlertid ikke alltid så enkelt for en liten bedrift. Her følger et par tips til hva du kan gjøre.

Hva skal en databehandleravtale inneholde?

Først og fremst bør du vite hva avtalen skal inneholde, som minimum. En databehandleravtale skal beskrive selve behandlingen, og inneholde blant annet:

  • Gjenstand for og varighet av behandlingen
  • Behandlingens art og formål
  • Type personopplysninger
  • Kategorier av registrerte
  • Den behandlingsansvarliges rettigheter og plikter
  • Databehandlerens plikter

Databehandleren plikter for eksempel å yte bistand til den behandlingsansvarlige, for at sistnevnte skal kunne overholde sine forpliktelser etter forordningens artikkel 32-36.

Når du skal vurdere om en databehandleravtale er “god nok”, må du sørge for at alle punktene over er med i avtalen.

Når trenger du en databehandleravtale?

Husk at du kun trenger databehandleravtale med leverandører som behandler personopplysninger på dine vegne. Det kan for eksempel være i tilfelle:

  • Du bruker en e-postleverandør som MailChimp til å sende ut nyhetsbrev på dine vegne
  • Du lagrer (andres) personopplysninger i skyen (f.eks. kundelister)
  • Du bruker et regnskapssystem
  • Dere er flere selvstendig næringsdrivende som behandler samme kundedata (f.eks frisører)
  • Du bruker frilansere (ikke ansatte) i bedriften din, som har tilgang til kundedata

Hvordan får du tak i en databehandleravtale?

En databehandleravtale er ofte utformet som en frittstående avtale. Men, den kan like gjerne integreres i andre avtaleverk. Både Google og Microsoft har oppdatert vilkårene sine med nødvendig informasjon. Kunder som aksepterte vilkårene, inngår samtidig en databehandleravtale.

De fleste store aktørene gjør det på denne måten. Det er nok veldig fornuftig, for det sparer tid og ressurser både for de og for oss!

Til nå har de fleste store, og/eller seriøse leverandører allerede sendt deg informasjon om databehandleravtale. Husk å sjekke innboksen din hvis du mangler noen. Hvis du er helt sikker på at du ikke har mottatt noe fra leverandøren, kan du først sjekke på nett. Google navnet på leverandøren + “databehandleravtale”, eller “data processing agreement” dersom leverandøren er utenlandsk.

Hvis du fortsatt ikke finner noe, kan du prøve navnet på leverandøren + “GDPR”, og til slutt sjekke nettsiden deres. Fortsatt ingenting? Da kontakter du support, og de vil hjelpe deg videre.

Hvordan kan du vite om en databehandleravtale er god nok?

Bruker du en stor og anerkjent leverandør, er sjansen stor for at avtalen er i samsvar med loven. Men, hvis du bruker mindre leverandører, bør du være spesielt påpasselig med å sjekke at avtalen er god nok.

Igjen - dette er sannelig ikke enkelt for en liten bedrift!

Hvis du føler at det er nødvendig å kvalitetssikre en avtale, anbefaler jeg at du leser nøye gjennom personvernforordningens artikkel 28, og spesielt punkt 3. Du finner den foreløpige norske oversettelsen her (søk etter “artikkel 28” på siden, du finner den på andre treffet). Da har du bedre forutsetninger for å kunne avgjøre om avtalen er i samsvar med loven.

Husk å oppdatere behandlingsprotokollen din (kolonne P hvis du bruker malen fra Bedre Bedrift)! Legg inn lenke til avtalen (hvis du bruker skylagring), eller beskriv hvor avtalen er lagret. Dette trenger du i tilfelle tilsynskontroll.

Du kan også lese gjennom Datatilsynets veileder for databehandleravtaler. Den er ganske omfattende!

Hva gjør du om leverandøren nekter å inngå en databehandleravtale?

Et par av kundene mine har opplevd at en leverandør nekter å inngå en databehandleravtale, og gjerne uten noen åpenbar grunn.

Da har jeg bare ett råd til deg, og det er å bytte leverandør.

Dersom en leverandør ikke tar GDPR seriøst, tar de ikke personvern seriøst, og hvordan er det da med sikkerhet og andre ting? Hvis de blir hacket, og personopplysninger kommer på avveie, får du også lide under konsekvensene. Det er en sjanse du ikke vil ta.

Er du nervøs for ikke å være helt GDPR-klar til 20. juli? Da bør du lese dette innlegget.

 

Bilde av Cytonn Photography, Unsplash

Close

50% ferdig

Gratis minikurs i GDPR!

Meld deg på nedenfor for umiddelbar tilgang til kurset. 😊

NB! Du har kun tilgang til kurset i 14 dager. Meld deg derfor kun på når du har satt av tid til det.

Personopplysningene dine behandles i tråd med Bedre Bedrifts personvernerklæring.