Har du brug for en skabelon til en databehandleraftale efter artikel 28 i GDPR? Her er den — komplet og klar til at tilpasse. En databehandleraftale er obligatorisk, så snart en databehandler behandler personoplysninger på vegne af en dataansvarlig: hostingudbyder, SaaS-leverandør, marketingbureau eller et eksternt bogholderi. Manglende eller mangelfuld aftale er et selvstændigt brud, som kan sanktioneres uafhængigt af, om der er sket en hændelse. I 2025 indstillede Datatilsynet et privathospital til en bøde på mindst 1,5 mio. kr., blandt andet fordi hospitalet ikke havde ført det lovpligtige tilsyn med sine databehandlere.
Denne skabelon gengiver de otte krav i artikel 28, stk. 3, i et operationelt format. For det juridiske grundlag, se vores guide til databehandleraftalen (art. 28).
Skabelon til databehandleraftale
DATABEHANDLERAFTALE
Mellem: [Virksomhed X], CVR [nr.], [adresse], herefter “den dataansvarlige” og: [Virksomhed Y], CVR [nr.], [adresse], herefter “databehandleren”
§ 1 — Baggrund og formål. Denne aftale fastlægger de rettigheder og forpligtelser, der gælder, når databehandleren behandler personoplysninger på vegne af den dataansvarlige i forbindelse med hovedaftalen af [dato], jf. artikel 28 i forordning (EU) 2016/679 (“GDPR”).
§ 2 — Beskrivelse af behandlingen (bilag 1).
- Behandlingens karakter: [indsamling, hosting, opslag, udtræk …]
- Formål: [fx hosting af den dataansvarliges HR-system]
- Kategorier af oplysninger: [identitet, kontaktoplysninger, loginoplysninger …]
- Kategorier af registrerede: [medarbejdere, kunder, ansøgere …]
- Varighed: svarer til hovedaftalens varighed.
§ 3 — Instruks. Databehandleren behandler kun personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder ved overførsel til tredjelande, medmindre EU-ret eller national ret kræver andet. Databehandleren underretter straks den dataansvarlige, hvis en instruks efter databehandlerens vurdering strider mod GDPR.
§ 4 — Fortrolighed. Databehandleren sikrer, at de personer, der er autoriseret til at behandle oplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
§ 5 — Sikkerhed. Databehandleren gennemfører de tekniske og organisatoriske foranstaltninger, der kræves efter artikel 32, jf. bilag 2, herunder: kryptering under transport og i hvile, adgangsstyring, logning, testede backups og en procedure for håndtering af sikkerhedshændelser.
§ 6 — Underdatabehandlere. Databehandleren må ikke antage en underdatabehandler uden den dataansvarliges forudgående [generelle/specifikke] skriftlige tilladelse. Ved generel tilladelse underretter databehandleren om planlagte ændringer (liste i bilag 3) med [30] dages varsel, så den dataansvarlige kan gøre indsigelse. Databehandleren pålægger sine underdatabehandlere de samme forpligtelser og forbliver fuldt ansvarlig for deres overholdelse.
§ 7 — De registreredes rettigheder. Databehandleren bistår, ved passende tekniske og organisatoriske foranstaltninger, den dataansvarlige med at opfylde forpligtelsen til at besvare anmodninger om udøvelse af de registreredes rettigheder (art. 15-22). Databehandleren videresender straks enhver anmodning modtaget direkte, uden selv at besvare den.
§ 8 — Brud på persondatasikkerheden. Databehandleren underretter den dataansvarlige uden unødig forsinkelse og senest [24/48] timer efter at være blevet bekendt med et brud, med oplysningerne i artikel 33, stk. 3.
§ 9 — Bistand. Databehandleren bistår den dataansvarlige med at overholde forpligtelserne i artikel 32-36 (sikkerhed, anmeldelse af brud, konsekvensanalyser, forudgående høring), under hensyn til behandlingens karakter og de oplysninger, databehandleren råder over.
§ 10 — Sletning eller tilbagelevering. Ved aftalens ophør sletter eller tilbageleverer databehandleren efter den dataansvarliges valg alle personoplysninger og sletter eksisterende kopier, medmindre EU-ret eller national ret kræver opbevaring. Sletningen bekræftes skriftligt.
§ 11 — Revision (audit). Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af denne aftale, til rådighed og muliggør og bidrager til revisioner, herunder inspektioner, foretaget af den dataansvarlige eller en bemyndiget revisor, med [15] dages varsel.
§ 12 — Tredjelandsoverførsler. Enhver overførsel til et tredjeland sker på grundlag af en adækvansafgørelse eller passende garantier efter artikel 46 (EU-Kommissionens standardkontraktbestemmelser 2021/914), suppleret med en overførselsanalyse, hvor det er relevant.
Bilag: 1. Beskrivelse af behandlingen — 2. Sikkerhedsforanstaltninger — 3. Godkendte underdatabehandlere.
Sådan tilpasser du skabelonen
Kvalificér rollerne først. Denne aftale forudsætter et forhold mellem dataansvarlig og databehandler. Bestemmer leverandøren selv formål og midler, er vedkommende selvstændig eller fælles dataansvarlig (art. 26), og kontraktmodellen er en anden. Afklar rollen, før du udfylder aftalen.
Vælg tilladelsesmodel for underdatabehandlere. Generel tilladelse med indsigelsesret er normen i SaaS; specifik tilladelse er relevant ved følsomme oplysninger eller kritiske behandlinger. Udfyld bilag 3 med den reelle liste — bed om den fra leverandøren, det er et klassisk kontrolpunkt.
Fastsæt en konkret frist for brud. § 8 skal fastsætte 24 eller 48 timer, så du kan nå din egen 72-timersfrist for anmeldelse til Datatilsynet.
Udfyld sikkerhedsbilaget konkret. Et tomt eller generisk bilag (“foranstaltninger efter bedste praksis”) opfylder ikke artikel 32. List verificerbare foranstaltninger: kryptering, MFA, backup/genopretning, penetrationstest.
Bilagene er hjertet i aftalen
Selve aftaleteksten er ofte standard — det er de tre bilag, der gør aftalen konkret og retssikker. Brug tid på dem:
Bilag 1 — Beskrivelse af behandlingen. Her fastlægges genstand, karakter, formål, kategorier af oplysninger og registrerede samt varighed. Vær præcis: “kundeoplysninger” er for bredt — skriv fx “navn, e-mail, telefonnummer, ordrehistorik for [den dataansvarliges] kunder”. Beskrivelsen bør spejle den tilsvarende post i din fortegnelse over behandlingsaktiviteter.
Bilag 2 — Sikkerhedsforanstaltninger. Dette bilag opfylder artikel 32 og er det, Datatilsynet oftest efterspørger. List konkrete, verificerbare foranstaltninger: kryptering under transport (TLS) og i hvile, tofaktorgodkendelse, rollebaseret adgangsstyring, logning, testet backup og genopretning, samt en procedure for håndtering af sikkerhedshændelser. Undgå tomme fraser som “foranstaltninger efter bedste praksis”.
Bilag 3 — Godkendte underdatabehandlere. En aktuel liste med navn, ydelse og lokation for hver underdatabehandler. Ved generel tilladelse skal listen holdes opdateret, og du skal underrettes om ændringer med et aftalt varsel, så du kan gøre indsigelse. Bed altid om denne liste — den afslører også eventuelle tredjelandsoverførsler, du ellers ikke ville kende til.
Typiske fejl
- At underskrive leverandørens standardaftale uden at læse den. Store leverandørers aftaler begrænser ofte ansvaret og udvander revisionsretten. Forhandl som minimum listen over underdatabehandlere og fristen for underretning ved brud.
- At glemme de “usynlige” leverandører — ticketing, CRM, e-mailværktøj, arkivdestruktion. Hver databehandler skal have sin aftale — kryds af mod din fortegnelse over behandlingsaktiviteter.
- Ikke at føre tilsyn i aftalens løbetid. Aftalen er ikke et dødt dokument. Manglende tilsyn kostede privathospitalet en bødeindstilling. Kontrollér bilagene og ændringer af underdatabehandlere årligt.
- At overse tredjelandsoverførsler, som databehandleren selv foretager (US-support, backup i udlandet). Tjek den faktiske placering af data.
En platform som Legiscope kan samle dine databehandleraftaler og koble dem automatisk til behandlingerne i din fortegnelse, så du både har aftalen og dokumentationen for tilsynet.
Retsgrundlag og standardklausuler
Kravene til aftalen følger af artikel 28 i databeskyttelsesforordningen. EU-Kommissionen har vedtaget standardkontraktbestemmelser til artikel 28 (gennemførelsesafgørelse (EU) 2021/915), som kan bruges direkte uden ændringer af indholdet. Skabelonen ovenfor gengiver samme substans i et mere operationelt format, som er lettere at tilpasse dine bilag. Uanset hvilken model du vælger, er det afgørende, at aftalen faktisk følges op: Datatilsynet lægger vægt på, at den dataansvarlige fører reelt, dokumenteret tilsyn med databehandleren — ikke blot indgår aftalen. Knyt derfor aftalen til den relevante behandling i din fortegnelse over behandlingsaktiviteter, og planlæg en fast tilsynsrytme.
Ofte stillede spørgsmål
Kan jeg bruge EU-Kommissionens standardklausuler i stedet?
Ja. Gennemførelsesafgørelse (EU) 2021/915 indeholder standardkontraktbestemmelser til artikel 28, som kan bruges uden ændringer af indholdet. Bemærk, at de ikke er de samme som overførselsklausulerne 2021/914, der dækker overførsler til tredjelande — de to sæt kan kombineres.
Skal en databehandleraftale underskrives fysisk?
Nej. Aftalen skal være skriftlig, men elektronisk form accepteres udtrykkeligt (art. 28, stk. 9). En elektronisk signatur er tilstrækkelig. Det afgørende er, at aftalen kan dokumenteres.
Hvem skal levere aftalen — kunden eller leverandøren?
I praksis fremlægger leverandøren ofte sin standardaftale, men begge parter er retligt ansvarlige for, at der findes en gyldig aftale. Datatilsynet kan indstille både den dataansvarlige og databehandleren til sanktion ved en manglende eller mangelfuld aftale.
Konklusion
En god databehandleraftale rummer de otte krav i artikel 28, stk. 3, en kort frist for underretning ved brud, et konkret sikkerhedsbilag og en opdateret liste over underdatabehandlere. Brug skabelonen ovenfor som udgangspunkt, tilpas bilagene til hver leverandør, og — ikke mindst — før løbende tilsyn. Kortlæg dine leverandører via fortegnelsen, og læs det juridiske grundlag i vores guide til artikel 28.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial