Kontakt oss

Databehandleravtaler

Databehandleravtaler kan virke som en formalitet – noe man bare legger ved som vedlegg til en større kontrakt. Men i praksis er dette et juridisk krav som kan få alvorlige konsekvenser hvis det ikke er på plass. Og det handler ikke bare om å “ha en avtale”. Den må være konkret, tilpasset og faktisk brukes.

Mange bedrifter tror de har kontroll. Helt til Datatilsynet banker på døra – eller til et datainnbrudd gjør at man må begynne å forklare seg. Denne artikkelen gir deg det du trenger for å forstå hva en databehandleravtale egentlig er, når du trenger en, og hvordan du sørger for at den faktisk holder mål.

Hva er en databehandleravtale?

En databehandleravtale – gjerne forkortet DBA – er en skriftlig avtale mellom en behandlingsansvarlig og en databehandler. Det høres teknisk ut, men i praksis er det ganske enkelt:

  • Den behandlingsansvarlige bestemmer hvorfor og hvordan personopplysninger skal behandles.
  • Databehandleren gjør jobben – på vegne av den ansvarlige.

For eksempel: Hvis du bruker et regnskapsbyrå som håndterer lønn for dine ansatte, så er du behandlingsansvarlig – og byrået er databehandler. Da må dere ha en databehandleravtale.

Det er ikke et valg. Det er et krav etter GDPR.

Når må du ha en DBA – og med hvem?

Kort sagt: Hver gang du lar en ekstern aktør behandle personopplysninger på dine vegne.

Eksempler på vanlige databehandlere:

  • Regnskapsførere og lønnssystemer
  • Skylagringstjenester (Google Drive, Dropbox, AWS, m.fl.)
  • IT-driftsleverandører
  • Verktøy for e-postmarkedsføring
  • HR-systemer
  • Kundesystemer (CRM)

Mange glemmer at også norske konsulenter, utviklere og mindre leverandører kan være databehandlere – og må ha en avtale. Og du har ansvar for at avtalen er på plass. Ikke de.

Les også: Personvernkonsekvensvurdering (DPIA): Når må du gjøre det – og hvordan gjør du det riktig?

Hva må en databehandleravtale inneholde?

Her kommer vi til det viktigste – og der mange feiler. En databehandleravtale må være mer enn en standardmal fra nettet.

GDPR artikkel 28 stiller konkrete krav. Avtalen må blant annet inneholde:

  • Hvilke typer personopplysninger som behandles
  • Formålet med behandlingen
  • Hvor lenge dataene lagres
  • Hvilke sikkerhetstiltak databehandleren har
  • Om det brukes underleverandører – og i så fall, hvordan det håndteres
  • Hva som skjer når avtalen avsluttes (f.eks. sletting)

Dette er ikke pynt. Det er kjernen i GDPRs krav til ansvarlig databehandling.

Les også: Personvernombud (DPO): Når må du ha det – og hva innebærer rollen?

Vanlige feil – og hvorfor de er alvorlige

Vi ser ofte at bedrifter enten:

  • Ikke har en avtale i det hele tatt, eller
  • Har en generisk mal som ikke er tilpasset virksomheten.

Begge deler kan få konsekvenser.

Et konkret eksempel: En kunde brukte en amerikansk e-postleverandør uten å kontrollere hvor dataene ble lagret. De hadde en avtale, men den sa ingenting om overføring til tredjeland. Da Datatilsynet ba om dokumentasjon, ble det fort klart at avtalen ikke dekket det den skulle. Resultatet ble en advarsel – og pålegg om full revisjon.

Behandlingsansvarlig vs. databehandler: Hvordan vet du hvem du er?

Dette er et punkt mange sliter med, og det er ikke alltid svart-hvitt.

En tommelfingerregel er: Hvis du bestemmer formålet med behandlingen (altså hvorfor dataene behandles), da er du behandlingsansvarlig. Hvis du bare utfører behandlingen på instruks, er du databehandler.

Eksempler:

  • Du kjøper et HR-system: Leverandøren er databehandler.
  • Du bruker en konsulent til å analysere kundedata og gi råd: Konsulenten kan være behandlingsansvarlig selv, eller databehandler – det kommer an på hvem som styrer formålet.

Når vi bistår klienter, går vi ofte gjennom konkrete eksempler for å rydde i rollene. Det er lurt. Feil rolleforståelse kan bety feil ansvar – og store problemer.

Hvordan utformer du en god databehandleravtale?

Start med en mal – men gjør den aldri ferdig før du har vurdert:

  1. Hva slags personopplysninger behandles?
  2. Hvor behandles de – og av hvem?
  3. Brukes det underleverandører?
  4. Har du kontroll på sletting, tilgangsstyring og logging?
  5. Er sikkerheten dokumentert?

Og ja – det bør stå navn og dato på avtalen. Og den bør signeres, ikke bare ligge i en fellesmappe som “noe vi sikkert har”.

Hva hvis Datatilsynet kommer?

Tilsyn fra Datatilsynet er ikke uvanlig – og databehandleravtaler er noe de ofte ser på.

De vil gjerne se:

  • Har dere avtaler med alle relevante aktører?
  • Er innholdet i tråd med kravene?
  • Har dere faktisk kontroll – eller bare formaliteter?

Vi har bistått virksomheter både før, under og etter tilsyn. I noen tilfeller har vi unngått sanksjoner nettopp fordi vi kunne vise at klienten tok tak i DBA-arbeidet i tide.

Slik kommer du i gang

En god DBA-struktur starter med:

  1. Kartlegg leverandørene dine. Hvem behandler personopplysninger for deg?
  2. Innhent eksisterende avtaler – vurder innholdet.
  3. Lag en oversikt over mangler – og tett dem.
  4. Gå gjennom dette minst én gang i året.

Det er også nyttig med juridisk bistand ved:

  • Internasjonale overføringer (f.eks. USA)
  • Usikkerhet rundt roller
  • Vanskelige avtaler eller underleverandørkjeder
  • Konflikter om sletting eller innsyn

Usikker på om dine avtaler holder mål?

Vi hjelper deg gjerne. Enten du trenger en rask juridisk vurdering, tilpassede avtaler – eller en full gjennomgang av alle dine databehandlerforhold.

Ta kontakt for en uforpliktende samtale. Vi forklarer hva som trengs – og hva som ikke gjør det.

Les også: GDPR for små og mellomstore bedrifter

Kiwa+NA_9001

Samarbeidspartnere:

Grimmergata 5, 6002 Ålesund
Org.nr.: 916 065 841
© 2022 Advokatfirmaet Judicia DA

Unveiling the Enthralling World of Online Casino Maneki in Canada

Embark on a thrilling adventure through the virtual corridors of Maneki Casino, where luck and fortune converge to offer players an unforgettable gaming experience. Nestled within the digital landscape of Canada, Maneki Casino beckons with its captivating array of games, generous bonuses, and unparalleled customer service. Step into a realm where the traditional charm of Japanese symbolism meets the modern allure of online gambling, creating a unique ambiance that sets Maneki apart from the rest.

As one of Canada’s premier online casinos, Maneki boasts an extensive selection of games designed to cater to every player’s taste and preference. From classic table games like blackjack and roulette to cutting-edge slots and immersive live dealer experiences, there’s no shortage of excitement to be found within its virtual walls. Whether you’re a seasoned gambler seeking high-stakes thrills or a casual player looking for some casual fun, Maneki Casino offers something for everyone.

But it’s not just the diverse range of games that sets Maneki apart – it’s also the unparalleled level of customer care and support that ensures every player feels valued and appreciated. With dedicated support staff available around the clock, players can rest assured that any questions or concerns will be promptly addressed, allowing them to focus on what they do best: enjoying the thrill of the game. And with a variety of secure payment options available, including popular methods like credit cards, e-wallets, and cryptocurrency, depositing and withdrawing funds is quick, easy, and hassle-free. So why wait? Join the excitement today and discover why Online Casino Maneki is the ultimate destination for online gaming in Canada.

Kontakt Oss