Databehandleraftale er en af de nye typer dokumenter, som enhver virksomhed skal have på plads. Et af de væsenligste elementer ved Den Europæiske Unions databeskyttelsesforordning (GDPR) er de mange dokumentationskrav. Man må i det store og hele gerne behandle persondata som før, men man skal kunne dokumentere, at man behandler personlige oplysninger korrekt og opbevarer dem sikkert. Samtidig skal man kunne vise, at behandlingen har et formål, og at man enten har samtykke, kontraktuelle forpligtelser eller lovhjemmel til at behandle oplysningerne. 

Blandt de nye dokumenter man skal have på plads, er fortegnelser over behandlingsaktiviteter, en ledelsesbeslutning og desuden også en databehandleraftale, såfremt man benytter sig af databehandlere. Det kan du læse mere om i denne artikel. I videoen nedenfor gennemgår GDPR-ekspert Bjørn L. Erichsen, hvordan man udvikler en databehandleraftale ud fra Datatilsynets og Contractbooks skabelon.

Hvad er en databehandleraftale? 

En databehandleraftale regulerer forholdet mellem dataansvarlige og databehandlere. Forordningen definerer den dataansvarlige som den, der bestemmer formålet med at indsamle de personlige oplysninger og hvilke hjælpemidler, de må bruge for at udføre deres opgave. Databehandleren kun opbevarer og behandler kun data på instruks fra den ansvarlige. Denne instruks kan i praksis godt være formuleret af databehandleren. Det er i virkeligheden meget typisk, da det er databehandleren, som har indsigt i, hvad der skal til for at udføre opgaven.

Vi kan tage et eksempel for lige at få plads, hvem der respektivt er dataansvarlig og databehandler. Den dataansvarlige kunne være en virksomhed, der indsamler data på sine ansatte og forbindelse med at udforme en ansættelseskontrakt. Typisk vil man som arbejdsgiver dele denne information med en række andre parter. Det kan være revisoren, som udbetaler løn (herunder måske et lønsystem, der administrerer lønnen), ens advokat der ordner ansættelsesretlige spørgsmål og en platform som Contractbook, som opbevarer juridiske dokumenter på instruks fra virksomheden. Der er det påkrævet, at arbejdsgiveren sikrer, at de ansattes rettigheder forbliver intakte, når deres personlige oplysninger deles med andre parter. Et trejde godt eksempel er RISMA Systems til GRC, som hjælper virksomheder med at blive compliant.

En databehandleraftale skal derudover sikre, at alle oplysningerne behandles i overensstemmelse med loven. De må hverken fortabes, forringes eller misbruges. Man skal altså sikre, at ens databehandlere overholder god dataskik ved at efterleve diverse pligter og beskytte rettigheder, som alle er beskrevet i selve forordningen og diverse bestemmelser fra Datatilsynet.

Det er ikke sikkert, at man nødvendigvis har brug for at have databehandleraftaler på plads. Men da langt de fleste benytter sig af denne slags services, bliver det en mere og mere normal type kontrakt. Mange bruger eksempelvis lønsystemer eller systemer til at tælle de ansattes timer. Man skal holde sig for øje, at nogle systemer definerer selvstændige formål med databehandlingen, hvorfor de selv er ansvarlige. Skat eller pensionskasser er eksempelvis selv dataansvarlige, fordi de selv bestemmer formålet med at opbevare data - også selvom din virksomhed deler det med dem. Det er altså vigtigt at afgøre, om der er tale om en dataansvarlig eller en databehandler, når man benytter sig af en ny leverandør eller service.

Hvad indeholder en databehandleraftale? 

Der er en række minimumskrav til, hvad en databehandleraftale skal indeholde. De er beskrevet i forordningens Artikel 28 og fremgår af Datatilsynets standardskabeloner. Skabelonen kan du finde på dette link. Her er alle de afsnit, der er skrevet i fed obligatoriske i en databehandleraftale. Man må altså ikke rette i dem, hvis man ønsker at have en gyldig aftale på plads.

Det skal først og fremmest fremgå, at databehandleren udelukkende handler på instruks fra den dataansvarlige med mindre andet kræves i henhold til EU-ret og dansk ret. Det kunne eksempelvis være, hvis den danske bogføringslov kræver, at man opbevarer økonomiske data i et vist tidsrum. 

Det skal fremgå, at databehandleren indestår for, at kun autoriserede personer behandler oplysningerne, og at de er underlagt en tavshedspligt, eventuelt med en fortrolighedsaftale eller en Standard Modal Clause. Derefter skal man i en databehandleraftale beskrive hvilke typer data, som databehandleren opbevarer, og hvad den primære behandling består i. Behandler man sensitive data som biometrisk data eller sundhedsoplysninger, skal det eksempelvis fremgå. 

Samtidig skal man altså kunne beskrive, hvilke opgaver man konkret beder databehandleren om at foretage. Hvis ikke en handling fremgår af databehandleraftalen, må den altså ikke foretages.

Hvis databehandleren bruger underdatabehandlere, skal det ligeledes fremgå, da databehandleren ikke kan dele personlige oplysninger uden den dataansvarliges godkendelse eller instruks. Igen må databehandleraftalen altså ikke benytte sig af underdatabehandlere, hvis ikke det er aftalt på forhånd. 

Her skal det i øvrigt fremgå, hvis personlige oplysninger behandles i såkaldt tredjelande, altså lande der ikke er en del af EU. Gør de ikke det, skal man typisk have en anden hjemmel. Det kan være en Standard Model Clause eller en særaftale mellem tredjelandet og EU. Det kan være den aftale, som EU har lavet med amerikanske virksomheder, der har underlagt sig et Privacy Shield.

Andet indhold i en databehandleraftale

En databehandleraftale er typisk et langt dokument, men der er stor forskel på detaljegraden og fleksibiliteten af den slags dokumenter. Det er påkrævet, at kontrakten indeholder beskrivelser af, hvad databehandleren har tænkt sig at gøre i forbindelse på brud og datalæk. Der er dog stor forskel på detaljegraden af den slags procedurebeskrivelser. 

Derudover skal man beskrive sine sikkerhedsforanstaltninger - eksempelvis krav til kryptering af data eller tjek af servere. Man skal også beskrive, om man har regler for revision og tilsyn med databehandlere. Nogle firmaer vil kræve, at man overholder diverse ISO-standarder eller får andre typer revisionserklæringer på ens compliance.

Slutteligt skal man beskrive tilsyn med underdatabehandlere, ens opbevaringsrune og sletterutine (for at sikre minimalt data) og sikring for diverse rettigheder. Det er eksempelvis retten til at blive glemt eller retten til indsigt. Det kræver naturligvis, at man har godt styr på, hvor og hvordan dataet er opbevaret.

I forbindelse med Databehandleraftaler foreligger der således en del informationer, man som dataansvarlig skal have styr på. Og hvis man har aftaler med mange databehandlere, kan man hurtigt miste overblikket. Dette nødvendiggør et arkiv a la RISMA Systems GRC-platform, hvor man på struktureret og digitaliseret måde kan lave en liste over virksomhedens informationsaktiver. På den måde bevarer du hele tiden overblikket og kan bedre sikre compliance med persondataforordningen, da du har alt dokumentation samlet et sted.

Aftale om delt dataansvar 

Hvis to virksomheder eller offentlige myndigheder begge har et delt dataansvar, man skal bruge en gennemsigtig og skriftlig aftale til at regulere forholdet. Sådan en aftale skal sikre, at registreredes personoplysninger behandles i overensstemmelse med loven. 

Aftalen rummer mange af de samme elementer som en databehandleraftale. Her skal man eksempelvis også beskrive sletteregler, behandlingshjemmel, eventuelle underdatabehandlere, oplysninger om behandling i tredjelande og sikkerhedsforanstaltninger. Man skal dog også beskrive overordnet ansvarsfordeling og dele fortegnelser med hinanden.

Gør dem dynamiske

Tæm dit kaos med et centralt sted til at opbevare og håndtere kontrakter, så du kan analysere, beslutte og handle hurtigere.

Prøv det nu