Gå til hovedindhold

Mit Virk >

Anbefaling 17 – Lav en databehandleraftale

Anbefaling 17 – Lav en databehandleraftale

Lav en databehandleraftale

Hvis jeres virksomhed har bedt andre om at behandle personoplysninger på virksomhedens vegne, skal der være en skriftlig databehandleraftale på plads ifølge databeskyttelsesforordningen (GDPR). Det er jeres virksomhed, som har ansvaret for, at oplysningerne opbevares og behandles korrekt. Aftalen skal derfor nøje beskrive, hvordan samarbejdspartneren skal sikre dine data.

Anbefalinger til at lave en databehandleraftale

  • Afklar jeres rolle
  • Forstå og implementer kravene til en databehandleraftale

Afklar jeres rolle

I skal være opmærksomme på, hvilken rolle I spiller i forbindelse med databehandling. Om I er dataansvarlig, databehandler eller deler dataansvaret har betydning for, hvilke krav I skal leve op til.

Forstå og implementer kravene til en databehandleraftale

Databehandleraftalen skal være en skriftlig aftale mellem jeres virksomhed og jeres leverandør.

En databehandleraftale skal indeholde:

  • Rammen for behandling af personoplysninger
  • Dokumenteret instruks
  • Fortrolighed og tavshedsforpligtelse
  • Tekniske og organisatoriske sikkerhedsforanstaltninger
  • Bistand til den dataansvarlige
  • Underretning om brud på sikkerheden
  • Underdatabehandlere
  • Eventuelt en fortegnelse over behandlingsaktiviteter
  • Revision af efterlevelse af aftalen
  • Eventuel overførsel til tredjeland
  • Sletning eller tilbagelevering af personoplysninger
  • Underretning om ulovlig instruks

Jeres databehandleraftale er et vigtigt og lovpligtigt dokument. I bør derfor vurdere, om I selv kan udforme aftalegrundlaget, eller om I har behov for at søge ekstern hjælp.