Databeskyttelse

Databehandleraftale (art. 28 GDPR): de 8 obligatoriske krav i 2026

Databehandleraftale efter art. 28 GDPR: hvornår den er obligatorisk, de 8 lovpligtige punkter, ansvar for underdatabehandlere og typiske fejl i 2026.

Also available in:English·Français·Deutsch

En databehandleraftale er den skriftlige kontrakt, der skal indgås mellem en dataansvarlig og en databehandler, hver gang en ekstern part behandler personoplysninger på den dataansvarliges vegne. Kravet følger direkte af artikel 28, stk. 3, i databeskyttelsesforordningen (GDPR), og det gælder uden bagatelgrænse: så snart din hostingudbyder, dit lønbureau, dit CRM-system, dit e-mailmarketingværktøj eller dit eksterne bogholderi rører ved oplysninger om dine kunder eller medarbejdere, skal der foreligge en databehandleraftale. Fravær af aftalen — eller en mangelfuld aftale — er et selvstændigt brud, som kan sanktioneres uafhængigt af, om der er sket et sikkerhedsbrud.

Denne guide gennemgår, hvornår du skal indgå en aftale, de otte punkter aftalen som minimum skal indeholde, hvordan ansvaret for underdatabehandlere fordeles, og de fejl Datatilsynet oftest finder. Vil du gå direkte til en færdig kontrakt, så se vores skabelon til databehandleraftale.

Hvornår er en databehandleraftale obligatorisk?

En databehandleraftale er obligatorisk, når tre betingelser er opfyldt: der behandles personoplysninger, behandlingen sker på vegne af en anden, og de to parter er henholdsvis dataansvarlig og databehandler. Den dataansvarlige bestemmer formål og midler; databehandleren behandler kun efter dokumenteret instruks.

Typiske databehandlere er:

  • hostingudbydere og cloud-leverandører,
  • SaaS-værktøjer (CRM, HR-systemer, supportværktøjer, e-mailplatforme),
  • eksterne bogholdere, lønbureauer og revisorer, der behandler personoplysninger,
  • marketing- og analysebureauer.

Afgørende er rollefordelingen. Bestemmer leverandøren selv formålene med behandlingen, er vedkommende ikke databehandler, men selvstændig dataansvarlig eller fælles dataansvarlig (art. 26) — og så gælder en anden kontraktmodel. Kvalificér derfor altid rollerne først. Databehandleraftalen bør fremgå af din fortegnelse over behandlingsaktiviteter, så du har overblik over, hvilke leverandører der mangler en aftale.

De 8 obligatoriske punkter i artikel 28, stk. 3

Artikel 28, stk. 3, kræver, at aftalen som minimum fastlægger:

  1. Genstand, varighed, karakter og formål med behandlingen samt typen af personoplysninger og kategorierne af registrerede.
  2. At databehandleren kun behandler oplysninger efter dokumenteret instruks fra den dataansvarlige, herunder ved overførsel til tredjelande.
  3. At de personer, der behandler oplysningerne, har påtaget sig fortrolighed.
  4. At databehandleren træffer de sikkerhedsforanstaltninger, der kræves efter artikel 32.
  5. Vilkårene for underdatabehandlere (forudgående generel eller specifik skriftlig tilladelse).
  6. At databehandleren bistår den dataansvarlige med at besvare anmodninger om udøvelse af de registreredes rettigheder.
  7. At databehandleren bistår med sikkerhed, anmeldelse af brud og konsekvensanalyser (art. 32-36).
  8. At databehandleren efter aftalens ophør sletter eller tilbageleverer oplysningerne og giver den dataansvarlige adgang til revision/audit.

EU-Kommissionen har vedtaget standardkontraktbestemmelser specifikt til artikel 28 (gennemførelsesafgørelse (EU) 2021/915), som kan bruges direkte. Vær opmærksom på, at disse ikke er de samme som overførselsklausulerne 2021/914, der dækker overførsler til tredjelande — de to sæt kan kombineres. Ordlyden af kravene findes i artikel 28 i databeskyttelsesforordningen, suppleret i dansk ret af databeskyttelsesloven (lov nr. 502 af 23. maj 2018).

Ansvar for underdatabehandlere

Databehandleren må ikke antage en underdatabehandler uden den dataansvarliges forudgående skriftlige tilladelse. Tilladelsen kan være:

  • specifik — tilladelse til en konkret navngiven underdatabehandler, eller
  • generel — tilladelse til at anvende underdatabehandlere, men med pligt til at underrette den dataansvarlige om planlagte ændringer, så denne kan gøre indsigelse.

Ved generel tilladelse skal databehandleren pålægge sine underdatabehandlere de samme databeskyttelsesforpligtelser, som gælder i hovedaftalen, og databehandleren forbliver fuldt ansvarlig over for den dataansvarlige for underdatabehandlerens overholdelse (art. 28, stk. 4). I praksis betyder det, at du som dataansvarlig skal kunne se hele kæden — en aktuel liste over underdatabehandlere er et klassisk kontrolpunkt.

Databehandler, selvstændig eller fælles dataansvarlig?

Rollefordelingen afgør, hvilken kontrakt du skal bruge — og forkert kvalifikation er en af de hyppigste fejl. Der er tre muligheder:

  • Databehandler (art. 28): behandler kun efter din dokumenterede instruks og bestemmer ikke selv formålet. Kræver en databehandleraftale.
  • Selvstændig dataansvarlig: bestemmer selv formål og midler for sin egen behandling. Her indgås ingen databehandleraftale — parterne er hver især ansvarlige for deres behandling. En revisor, der udfører lovpligtig revision, eller en bank, der modtager en betaling, er typisk selvstændig dataansvarlig.
  • Fælles dataansvarlig (art. 26): to eller flere fastlægger i fællesskab formål og midler. Her kræves en aftale om fælles dataansvar, der fordeler ansvaret for oplysningspligt og de registreredes rettigheder.

Den samme leverandør kan skifte rolle afhængigt af behandlingen. Et lønbureau er databehandler, når det kører løn efter din instruks, men kan være selvstændig dataansvarlig for sin egen fakturering. Notér rollen for hver leverandør i din fortegnelse over behandlingsaktiviteter, så du kan se, hvor der skal foreligge en databehandleraftale.

Audit, sikkerhed og tredjelandsoverførsler

Tre punkter fortjener særlig opmærksomhed, fordi de ofte er svage i standardaftaler:

Revision (audit). Artikel 28, stk. 3, litra h, giver dig ret til at kontrollere, at databehandleren overholder aftalen. I praksis kan tilsynet ske via en uafhængig revisorerklæring (fx ISAE 3000 eller 3402), et sikkerhedsspørgeskema eller en egentlig inspektion. Store leverandører henviser ofte til en standardrapport frem for at tillade egne besøg — accepter det kun, hvis rapporten reelt dækker de behandlinger, der vedrører dine oplysninger.

Sikkerhed (art. 32). Databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger. Et sikkerhedsbilag med tomme fraser (“branchestandard”) opfylder ikke kravet — foranstaltningerne skal være konkrete og verificerbare. Dette hænger sammen med princippet om databeskyttelse gennem design.

Tredjelandsoverførsler. Behandler databehandleren oplysninger uden for EU/EØS — fx via support fra et land uden adækvansafgørelse eller en amerikansk cloud-region — kræver overførslen et gyldigt grundlag efter artikel 46, typisk EU-Kommissionens standardkontraktbestemmelser 2021/914. Tjek den faktiske placering af data, ikke kun leverandørens hovedkontor.

Hvad koster en manglende databehandleraftale?

I Danmark udsteder Datatilsynet ikke selv bøder; tilsynet undersøger sagen og indstiller — via politianmeldelse — til en bøde, som domstolene fastsætter. Manglende kontrol med databehandlere har direkte ført til bødeindstillinger. I 2025 politianmeldte Datatilsynet et privathospital og indstillede det til en bøde på mindst 1,5 mio. kr., blandt andet fordi hospitalet ikke havde ført det lovpligtige tilsyn med sine leverandører, der fungerede som databehandlere.

Pointen er væsentlig: artikel 28 kræver ikke blot, at aftalen findes — den dataansvarlige skal også aktivt føre tilsyn med, at databehandleren overholder den. En underskrevet aftale, der aldrig følges op, opfylder ikke kravet. Datatilsynet forventer dokumenteret, løbende kontrol, fx via årlige tilsyn, revisorerklæringer (ISAE 3000) eller egne audits.

En platform som Legiscope kan samle dine databehandleraftaler ét sted og koble dem til de behandlinger i fortegnelsen, hvor leverandøren indgår — så du både har aftalen og dokumentationen for tilsynet.

Ofte stillede spørgsmål

Skal der en databehandleraftale til, selv om leverandøren er lille?

Ja. Artikel 28, stk. 3, indeholder ingen bagatelgrænse. Så snart en tredjepart behandler personoplysninger på dine vegne, skal der foreligge en skriftlig aftale — også i elektronisk form. Størrelsen på leverandøren eller mængden af oplysninger ændrer ikke pligten.

Hvem har ansvaret for at aftalen findes — kunden eller leverandøren?

Begge parter. I praksis fremlægger leverandøren ofte sin standardaftale, men både den dataansvarlige og databehandleren er retligt ansvarlige for, at der findes en gyldig aftale. Datatilsynet kan indstille begge parter til sanktion, hvis aftalen mangler eller er mangelfuld.

Er det nok at underskrive leverandørens standardaftale?

Ikke nødvendigvis. Store leverandørers standardaftaler begrænser ofte ansvaret og udvander revisionsretten. Læs aftalen, og forhandl som minimum listen over underdatabehandlere, fristen for underretning ved brud og adgangen til audit. Husk, at pligten til at føre tilsyn ligger hos dig som dataansvarlig — uanset hvad aftalen siger.

Konklusion

Databehandleraftalen er obligatorisk uden undtagelse, når en ekstern part behandler personoplysninger for dig. Den skal indeholde de otte punkter i artikel 28, stk. 3, håndtere underdatabehandlere klart og sikre, at du kan føre reelt tilsyn. Kortlæg dine leverandører via fortegnelsen, sørg for en aftale til hver, og følg op løbende — det var netop det manglende tilsyn, der kostede privathospitalet en bødeindstilling på 1,5 mio. kr. Gå videre med vores skabelon til databehandleraftale.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →