En databehandleravtale er en skriftlig avtale mellom en behandlingsansvarlig og en databehandler, og den er obligatorisk etter artikkel 28 nr. 3 i personvernforordningen (GDPR) hver gang en ekstern part behandler personopplysninger på virksomhetens vegne. Det gjelder skytjenester, SaaS-leverandører, regnskapsbyrå, lønnssystem, e-postmarkedsføring, kundesupportverktøy og en rekke andre tjenester. Avtalen skal beskrive behandlingen og pålegge databehandleren en rekke konkrete plikter. Fravær av databehandleravtale, eller en mangelfull avtale, er et selvstendig brudd som kan sanksjoneres uavhengig av om det har skjedd noe uheldig med opplysningene.
Denne artikkelen forklarer når en databehandleravtale kreves, hvilke punkter artikkel 28 nr. 3 gjør obligatoriske, hvordan ansvaret fordeler seg, og hvilke feil som er mest vanlige. Personvernforordningen gjelder i Norge gjennom personopplysningsloven og EØS-avtalen.
Når kreves en databehandleravtale?
En databehandleravtale kreves så snart en tredjepart behandler personopplysninger på vegne av den behandlingsansvarlige, etter dennes instruks. Det avgjørende er ikke hva partene kaller hverandre, men hvem som bestemmer formålet og midlene for behandlingen. Bestemmer virksomheten selv hvorfor og hvordan opplysningene behandles, mens leverandøren bare utfører oppgaven, er leverandøren databehandler og artikkel 28 gjelder.
Grensen mot behandlingsansvarlig er praktisk viktig. En leverandør som selv bestemmer formålet – for eksempel en bank, en advokat eller et forsikringsselskap som behandler dine opplysninger for egne lovpålagte formål – er ikke databehandler, men selvstendig behandlingsansvarlig, og da gjelder ikke artikkel 28. Feil rollefordeling gir feil kontrakt, og er en klassisk kilde til brudd.
Hva sier artikkel 28 om databehandlerens plikter?
Artikkel 28 nr. 1 slår fast at den behandlingsansvarlige bare skal bruke databehandlere som gir tilstrekkelige garantier for at behandlingen oppfyller kravene i forordningen. Det innebærer en plikt til å vurdere leverandørens sikkerhet og rutiner før avtale inngås – ikke bare å innhente et signert dokument i etterkant. Artikkel 28 nr. 2 og 4 regulerer bruk av underdatabehandlere, som krever forhåndsgodkjenning fra den behandlingsansvarlige.
Hva må databehandleravtalen inneholde?
Artikkel 28 nr. 3 krever at avtalen som et minimum regulerer følgende punkter:
- Gjenstand, varighet, art og formål med behandlingen, samt kategoriene av opplysninger og registrerte.
- At databehandleren bare behandler opplysninger etter dokumenterte instrukser fra den behandlingsansvarlige, også ved overføring til tredjeland.
- At personer med tilgang er underlagt taushetsplikt.
- At databehandleren gjennomfører sikkerhetstiltakene etter artikkel 32.
- Vilkårene for bruk av underdatabehandlere (forhåndsgodkjenning, samme forpliktelser videreføres).
- At databehandleren bistår den behandlingsansvarlige med å oppfylle de registrertes rettigheter etter kapittel III.
- At databehandleren bistår med sikkerhet, avviksmelding, personvernkonsekvensvurdering og forhåndsdrøfting etter artikkel 32–36.
- At databehandleren ved avtaleslutt sletter eller tilbakelverer alle opplysninger, og at databehandleren gjør tilgjengelig all informasjon som trengs for å dokumentere etterlevelse og muliggjøre revisjon.
En fullstendig og signeringsklar versjon finnes i vår mal for databehandleravtale. EU-kommisjonen har også vedtatt standardkontraktsklausuler for artikkel 28 (gjennomføringsbeslutning (EU) 2021/915), som kan brukes direkte.
Hvem har ansvaret hvis noe går galt?
Den behandlingsansvarlige beholder hovedansvaret overfor de registrerte og Datatilsynet. Databehandleren har likevel et selvstendig ansvar etter artikkel 28, artikkel 32 og artikkel 82, og kan ilegges gebyr direkte. Begge parter har altså interesse av at avtalen er reell og etterleves i praksis – ikke bare et signert dokument i arkivet. I saken mot Argon Medical Devices ila Datatilsynet et gebyr blant annet fordi virksomhetens interne rutiner ikke sikret rettidig håndtering av et sikkerhetsbrudd, noe som understreker at avtaleforpliktelser om bistand og varsling må fungere operasjonelt.
Databehandleravtale i praksis
En god databehandleravtale henger tett sammen med behandlingsprotokollen: hver databehandler som fremgår av protokollen, skal ha en gyldig avtale, og hver avtale skal svare til en behandling i protokollen. Når de to dokumentene ikke stemmer overens, er det som regel avtaler som mangler for «usynlige» leverandører – ticketsystemer, analyseverktøy, backup-leverandører eller arkivdestruksjon.
For norske virksomheter er skytjenester det mest praktiske temaet. Mange skyleverandører er etablert utenfor EØS eller bruker underleverandører der, slik at avtalen må suppleres med et gyldig overføringsgrunnlag og en vurdering av tredjelandsoverføringen. Å signere leverandørens standardavtale uten å lese vedleggene om underdatabehandlere og datalokalisering er en vanlig feil. Et verktøy som Legiscope kan samle alle databehandleravtaler ett sted og koble dem automatisk til behandlingene i protokollen, slik at man ser hvilke leverandører som mangler avtale.
Kan man bruke leverandørens standardavtale?
Ja, men les den. Standardavtalene fra store leverandører begrenser ofte ansvaret, gir vid generell godkjenning av underdatabehandlere og korte revisjonsrettigheter. Forhandle som et minimum om listen over underdatabehandlere, fristen for varsling ved sikkerhetsbrudd og hvordan sletting ved avtaleslutt dokumenteres.
Hva med felles behandlingsansvar?
Noen ganger passer verken behandlingsansvarlig- eller databehandlerrollen. Bestemmer to eller flere virksomheter formålet og midlene sammen, er de felles behandlingsansvarlige etter artikkel 26 og skal inngå en avtale som fordeler ansvaret for de registrertes rettigheter mellom seg – ikke en databehandleravtale. Typiske eksempler er en felles kampanje, en delt plattform eller et forskningssamarbeid. Feil valg av avtaletype er en reell risiko: en databehandleravtale mellom parter som egentlig er felles behandlingsansvarlige, regulerer ikke det den skal, og lar ansvarsfordelingen stå udefinert. Avklar derfor rollene før du velger avtalemal, og dokumenter vurderingen skriftlig – det er også et av de første spørsmålene Datatilsynet stiller når flere aktører er involvert i samme behandling.
Vanlige feil
- Feil rollefordeling. Å inngå databehandleravtale med en part som egentlig er selvstendig behandlingsansvarlig – eller omvendt.
- Å glemme underdatabehandlerne. Uten oversikt over hvem leverandøren selv bruker, mister man kontroll over hvor opplysningene faktisk havner.
- Tomt sikkerhetsvedlegg. «Tiltak i tråd med bransjestandard» oppfyller ikke artikkel 32. Beskriv konkrete, etterprøvbare tiltak.
- Ingen frist for avviksvarsling. Sett kontraktsfestet frist (typisk 24–48 timer), ellers klarer man ikke egen 72-timersfrist til Datatilsynet.
- Ingen oppfølging. Avtalen er ikke et dødt dokument. Kontroller vedleggene og endringer i underdatabehandlere årlig.
Ofte stilte spørsmål
Er databehandleravtale obligatorisk også for små leverandører?
Ja. Artikkel 28 nr. 3 setter ingen terskel. Så snart en tredjepart behandler personopplysninger på dine vegne, kreves en skriftlig avtale, uansett leverandørens størrelse eller datamengden. Et enkeltpersonforetak som fører regnskapet ditt, trenger like fullt databehandleravtale.
Hva risikerer man uten databehandleravtale?
Manglende avtale er et selvstendig brudd på artikkel 28 og kan gi overtredelsesgebyr på inntil 10 millioner euro eller 2 prosent av global årsomsetning etter artikkel 83 nr. 4. I tillegg står ansvarsfordelingen udefinert dersom det oppstår et sikkerhetsbrudd, noe som svekker virksomhetens stilling betydelig.
Hvem skal skrive databehandleravtalen?
I praksis legger leverandøren ofte fram sin standardavtale. Juridisk er begge parter ansvarlige for at avtalen finnes og er tilstrekkelig. Datatilsynet kan sanksjonere både den behandlingsansvarlige og databehandleren for mangelfulle avtaler.
Hvor lenge må en databehandleravtale oppbevares?
Avtalen bør oppbevares så lenge behandlingsforholdet varer, og en periode etterpå for å kunne dokumentere etterlevelse og håndtere eventuelle senere krav. Datatilsynet kan be om å se avtalen under en kontroll, også for avsluttede forhold dersom behandlingen pågikk i kontrollperioden. En avtale som ikke lenger finnes for en behandling som faktisk fant sted, er vanskelig å forsvare.
Konklusjon
Databehandleravtalen er den kontrakten som fordeler ansvar og plikter mellom virksomheten og leverandørene som håndterer personopplysninger på dens vegne. Den er lovpålagt etter artikkel 28 nr. 3, uten terskel, og skal dekke åtte konkrete punkter fra instruks og taushetsplikt til sletting og revisjon. Kartlegg leverandørene mot behandlingsprotokollen, bruk vår mal for databehandleravtale som utgangspunkt, og les alltid vedleggene om sikkerhet og underdatabehandlere før du signerer. En databehandleravtale er ofte blant de første dokumentene Datatilsynet ber om under en kontroll.
Denne artikkelen gir generell informasjon om artikkel 28 og utgjør ikke juridisk rådgivning.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial