Databehandleravtale

Databehandleravtale

Forholdet mellom en behandlingsansvarlig virksomhet og databehandleren skal være regulert i en databehandleravtale. Avtalen skal sikre at personopplysningene blir behandlet i samsvar med regelverket og setter en klar ramme for hvordan databehandleren kan behandle opplysninger.

Denne veiledningen er en praktisk innføring i når man må inngå en databehandleravtale og kravene til innholdet i en slik avtale.

Innledning

Gjennom klare og tydelige avtaler beskytter du opplysningene til de registrerte, noe som bidrar til større tillit til hvordan deres personopplysninger blir behandlet. Databehandleravtaler er derfor viktige fordi de sørger for at både den behandlingsansvarlige og databehandleren(e) forstår sine forpliktelser og sitt ansvar.

I denne veilederen gir vi en innføring i de spesifikke kravene til hva databehandleravtalen må inneholde etter artikkel 28 i personvernforordningen (lovdata.no). Vi gir også anbefalinger om hva en databehandleravtale kan inneholde utover dette. Jo mer omfangsrik, inngripende eller risikofylt behandlingen er, jo mer konkret må avtalen være. I slike tilfeller er det gode grunner for, og iblant et krav til, at disse anbefalingene er en del av avtalen.

Tidligere hadde vi maler til databehandleravtale som et tillegg. Dette har vi gått bort fra, og presenterer heller konkrete eksempler i veiledningen.

Er du usikker på hva som ligger i begrepene behandlingsansvarlig og databehandler?

Vi har laget en egen veiledning om behandlingsansvarlig og databehandler. Den går blant annet gjennom:

  • Hva er en behandlingsansvarlig?
  • Hva er en databehandler?
  • Når foreligger det et databehandleroppdrag?
  • Konsekvensene av om du må ha en databehandleravtale eller ikke.