I en tidsalder, hvor data og personoplysninger er afgørende for virksomheders drift, er det vigtigt at forstå, hvordan man udarbejder en korrekt databehandleraftale for at sikre overholdelse af GDPR. En databehandleraftale er en juridisk kontrakt mellem en dataansvarlig og en databehandler, der fastlægger rammerne for behandling af personoplysninger. Denne aftale er essentiel for at sikre, at data behandles korrekt og beskyttes mod misbrug.
Herunder får du et overblik over, hvad en databehandleraftale er, hvorfor du skal have en samt hvad den med fordel kan indeholde.
Hvad er en databehandleraftale?
En databehandleraftale er en juridisk kontrakt mellem en dataansvarlig og en databehandler, der fastlægger vilkår og betingelser for behandling af personoplysninger. Aftalen er designet til at sikre, at begge parter forstår deres respektive roller og ansvar i forbindelse med behandling af personoplysninger og overholder gældende databeskyttelseslovgivning. Denne aftale er nødvendig for at beskytte både organisationens data og de registreredes rettigheder.
LÆS OGSÅ: Tilsyn med databehandler
Databehandler vs. dataansvarlig
For at forstå essensen af en databehandleraftale er det vigtigt at kende forskellen på databehandler og dataansvarlig. Begge parter har forskellige roller og ansvar i forhold til behandling af personoplysninger.
1. Hvad er en dataansvarlig?
Dataansvarlige er virksomheder eller enkeltpersoner, der bestemmer formålet med og midlerne til behandling af personoplysninger. De har det primære ansvar for at sikre, at behandlingen af personoplysninger overholder databeskyttelseslovgivningen.
2. Hvad er en databehandler?
Databehandlere er virksomheder, der behandler personoplysninger på vegne af en dataansvarlig. Databehandlere udfører behandlingsaktiviteter efter instruktion fra dataansvarlige og har ikke autonomi til at bestemme formålet med eller midlerne til behandling af personoplysningerne.
Kort sagt: Den dataansvarlig bestemmer, hvorfor og hvordan personoplysninger skal behandles, mens databehandler er den part, der udfører selve behandlingen efter instruktioner fra dataansvarlige. Begge parter har ansvar for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med gældende databeskyttelseslovgivning og under hensyntagen til den registreredes rettigheder.
Hvad skal en databehandleraftale indeholde?
En databehandleraftale skal indeholde en beskrivelse af den dataansvarliges såvel som databehandlerens rettigheder og forpligtelser i forhold til behandling af personoplysninger – typisk indeholder aftalen følgende elementer:
- Formål og omfang
Aftalen bør klart beskrive formålet med databehandlingen, hvilke typer af personoplysninger der behandles, og den kategori af registrerede personer, hvis data behandles. For eksempel kan formålet være, at en databehandler opbevarer ansattes løn- og ansættelsesoplysninger på vegne af en dataansvarlig.
- Instruktioner
Aftalen bør angive, at databehandleren kun må behandle personoplysninger efter de instruktioner, som dataansvarlige giver. Dette inkluderer instruktioner om opbevaring, overførsel og sletning af data.
- Sikkerhedsforanstaltninger
Aftalen bør kræve, at databehandleren træffer passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysningerne mod uautoriseret adgang, tab, ødelæggelse, ændring eller offentliggørelse. Dette kan inkludere kryptering af data, adgangskontrol, sikkerhedskopiering af data og regelmæssige sikkerhedsrevisioner
- Underdatabehandlere
Aftalen bør specificere, om databehandleren har tilladelse til at bruge underdatabehandlere, og hvordan dataansvarlige skal informeres om sådanne underdatabehandlere, herunder krav om skriftlig godkendelse. Det bør også sikres, at underdatabehandlere er underlagt de samme forpligtelser som databehandleren, herunder overholdelse af GDPR og beskyttelse af personoplysninger.
- Revision og kontrol
Aftalen bør indeholde bestemmelser om revision og kontrol af databehandlerens overholdelse af databeskyttelseslovgivningen og aftalens vilkår. Dette kan inkludere retten for dataansvarlige eller en tredjepart til at gennemføre regelmæssige revisioner, inspicere databehandlerens faciliteter og vurdere databehandlerens praksis for at sikre overholdelse af GDPR.
- Bistand og samarbejde
Aftalen bør kræve, at databehandleren bistår dataansvarlige med at opfylde deres forpligtelser i forhold til registreredes rettigheder og overholdelse af databeskyttelseslovgivningen, såsom at reagere på anmodninger om indsigt i data, rettelse, sletning og dataportabilitet.
- Underretning om sikkerhedsbrud
Aftalen bør kræve, at databehandleren underretter den dataansvarlige hurtigst muligt og senest inden for et fastsat tidsrum, efter at databehandleren opdager et sikkerhedsbrud, som involverer personoplysninger. Underretningen bør indeholde detaljer om bruddet, herunder hvilken type data der er berørt, omfanget af bruddet og de trufne afhjælpende foranstaltninger
- Overførsel af data til tredjelande
Hvis databehandleren eller en underdatabehandler overfører personoplysninger til lande uden for EU/EØS, bør databehandleraftalen indeholde bestemmelser om, hvordan overførslerne skal foregå i overensstemmelse med GDPR og andre relevante databeskyttelsesregler.
- Varighed og opsigelse
Aftalen bør specificere varigheden af databehandlingen og betingelserne for opsigelse af aftalen, herunder krav om, at databehandleren skal slette eller returnere personoplysningerne til dataansvarlige efter opsigelse af aftalen.
Skabelon til databehandleraftale
Virker det uoverskueligt at få udarbejdet en databehandleraftale helt fra bunden, kan du finde en skabelon på Datatilsynets hjemmeside her.
Husk dog, at skabelonen kun er et udgangspunkt og bør tilpasses for at imødegå organisationens specifikke behov og situation. Det kan være en god idé at konsultere en juridisk rådgiver med erfaring inden for databeskyttelseslovgivning for at sikre, at databehandleraftalen er korrekt.
Hvornår skal du have en databehandleraftale?
Du skal have en databehandleraftale, hvis du som dataansvarlig benytter dig af en databehandler – altså en ekstern part – til at udføre behandling af personoplysninger på dine vegne.
Nedenfor er en række eksempler på, hvornår en databehandleraftale er nødvendig:
- Hvis en virksomhed outsourcer HR- eller lønfunktioner til en ekstern leverandør, der behandler personoplysninger om virksomhedens ansatte.
- Hvis en virksomhed benytter sig af en ekstern tjeneste til at håndtere kundesupport og behandler kundeoplysninger som en del af denne service.
- Hvis en virksomhed bruger en cloud-tjenesteudbyder til at lagre og behandle personoplysninger, som virksomheden indsamler fra sine kunder eller brugere.
- Hvis en organisation benytter sig af en ekstern marketingtjeneste, der behandler personoplysninger om potentielle kunder og leads.
I alle disse situationer – og mange andre – skal der indgås en databehandleraftale mellem dig som dataansvarlig og databehandleren for at sikre overholdelse af databeskyttelseslovgivningen og beskytte personoplysningerne.
Implementering af databehandleraftale
En veludført implementering af databehandleraftaler i organisationen kan ikke blot mindske risikoen for overtrædelser af databeskyttelseslovgivningen, men også styrke organisationens omdømme og tillid blandt kunder og samarbejdspartnere.
Først og fremmest er det vigtigt at identificere og vurdere alle de databehandlere, I samarbejder med, og kortlægge de forskellige tjenester og processer, hvor personoplysninger behandles.
Derefter skal der udarbejdes en databehandleraftale, der nøje beskriver de roller, ansvar og forpligtelser, som hver part har i forbindelse med behandlingen af personoplysninger. Aftalen skal tilpasses hver enkelt databehandler og tage højde for de specifikke databehandlingsaktiviteter, der udføres på vegne af organisationen.
Som en del af implementeringsprocessen bør der også etableres procedurer for løbende overvågning og evaluering af databehandlerne – fx regelmæssige revisioner, kontrolbesøg og rapportering fra databehandleren om deres aktiviteter og eventuelle tiltag, der er truffet for at forbedre databeskyttelsen.
Endelig skal alle relevante medarbejdere i organisationen uddannes og informeres om databehandleraftaler og deres betydning for virksomhedens databeskyttelsesstrategi. Det kan inkludere at udarbejde interne retningslinjer og procedurer for samarbejdet med databehandlere og håndtering af eventuelle sikkerhedsbrud eller andre problemer, der måtte opstå i forbindelse med behandlingen af personoplysninger.
LÆS OGSÅ: Dataetik – et spørgsmål om digital ansvarlighed
Databehandlertilsyn skal udføres løbende
Når procedurerne er på plads, og medarbejderne er klædt på til opgaven, handler det om at fastholde indsatsen over tid. Databeskyttelse er ikke statisk – krav, teknologier og trusselsbilledet ændrer sig løbende. Derfor skal databehandleraftalerne også løbende justeres, så de afspejler de aktuelle risici og samarbejdsforhold.
Derudover skal der følges op på, at databehandleren faktisk efterlever aftalen i praksis. Det kræver et struktureret tilsyn, der planlægges og gennemføres med faste intervaller, så eventuelle problemer opdages og håndteres i tide.
Risikobaseret tilgang til databehandlertilsyn
Følger man Datatilsynets vejledning om tilsyn med databehandlere, bør tilsyn planlægges ud fra en risikovurdering. Det er ikke risikoen for, at virksomheden kommer galt afsted, der er afgørende, men risikoen for de registrerede – fx medarbejdere, kunder eller borgere. Her bør I overveje:
- Hvor sandsynligt er det, at noget går galt?
- Hvad er konsekvenserne, hvis det sker?
Kravene til tilsynet stiger i takt med mængden af personoplysninger, hvor fortrolige eller følsomme de er, og hvor indgribende behandlingen er.
-
Lav risiko kan være tilfælde, hvor adgangen til personoplysninger er begrænset til få personer, eller hvor databehandleren benytter gennemprøvede standardløsninger med velkendt sikkerhedsniveau. I sådanne situationer kan et spørgeskema eller en enkel gennemgang af dokumentation ofte give tilstrækkelig indsigt.
-
Høj risiko opstår typisk, når mange har adgang til oplysninger, eller når databehandleren anvender egenudviklede systemer, hvor sikkerheden ikke er dokumenteret. Her kan et besøg på stedet eller en mere omfattende revision være nødvendigt for at få et præcist billede af forholdene.
En fast del af jeres årshjul
Når risikoniveauet er vurderet, og tilsynsmetoden valgt, handler det om at gøre opfølgningen til en fast rutine. Planlæg tilsynene på forhånd og læg dem ind i jeres årshjul, så de ikke bliver glemt i en travl hverdag. Lav risiko kan ofte håndteres med en årlig gennemgang, mens høj risiko kan kræve hyppigere kontrol eller ekstra opfølgning, hvis der sker ændringer hos databehandleren.
Ved at samle dokumentationen fra hvert tilsyn ét sted får I et tydeligt overblik over status og udvikling over tid. Det gør det lettere at reagere hurtigt, hvis forholdene ændrer sig, og det styrker tilliden hos både kunder, samarbejdspartnere og myndigheder.
Fra plan til praksis – uden at drukne i administration
Når tilsyn bliver en fast del af årshjulet, kan organisationer opleve, at udfordringen ikke ligger i viljen, men i at holde styr på alle aftaler, deadlines og ikke mindst dokumentationen. Især med mange databehandlere kan det hurtigt blive uoverskueligt at sikre, at intet bliver glemt, at opfølgning sker rettidigt, og at beviset for tilsynet er komplet, hvis nogen efterspørger det.
GDPR-værktøjer, der giver overblik og dokumentation
Uden et struktureret system eller GDPR-værktøj risikerer man, at tilsynsopgaver drukner i andre daglige prioriteringer, at dokumentation ligger spredt i mails og mapper, og at man mangler historikken til at vise, hvad der faktisk er gjort. Et system kan hjælpe ved at:
-
Samle alle databehandlere og aftaler ét sted, så overblikket altid er opdateret.
-
Automatisere påmindelser om planlagte tilsyn, så deadlines overholdes.
-
Dokumentere hele processen – fra risikovurdering til opfølgning – med al historik og underbilag samlet ét sted.
-
Sammenligne resultater over tid for at spotte ændringer i risikoniveau eller samarbejdsvilkår.
-
Sikre sporbarhed på, hvilke tiltag der er iværksat, og hvornår de er afsluttet.
Når dokumentationen er på plads, bliver tilsyn ikke kun et krav, men også en styrke, der kan bruges aktivt til at bevise compliance og skabe tillid hos både kunder, samarbejdspartnere og myndigheder.
