Personvern

Databehandleravtale mal 2026 (artikkel 28 GDPR): komplett template + veiledning

Gratis mal for databehandleravtale etter artikkel 28 GDPR: komplett template klar til å tilpasse, slik fyller du den ut, og de vanligste feilene å unngå.

Also available in:English·Français·Deutsch·Español

Trenger du en mal for databehandleravtale som oppfyller artikkel 28 i personvernforordningen (GDPR)? Her er en komplett template klar til å tilpasse. En databehandleravtale er obligatorisk så snart en ekstern part behandler personopplysninger på dine vegne – skyleverandør, SaaS-tjeneste, regnskapsbyrå, lønnssystem eller e-postverktøy. Malen under dekker alle de åtte punktene artikkel 28 nr. 3 krever, i et operasjonelt format med tre vedlegg. Etter malen forklarer vi hvordan du tilpasser den, og hvilke feil du bør unngå.

For det juridiske rammeverket bak malen, se vår artikkel om databehandleravtale etter artikkel 28. Personvernforordningen gjelder i Norge gjennom personopplysningsloven og EØS-avtalen.

Mal for databehandleravtale

DATABEHANDLERAVTALE

Mellom: [Virksomhet A], org.nr. [xxx], [adresse], heretter «Behandlingsansvarlig» og: [Virksomhet B], org.nr. [xxx], [adresse], heretter «Databehandler»

1. Formål og bakgrunn. Denne avtalen regulerer Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med hovedavtalen av [dato], i samsvar med artikkel 28 i personvernforordningen (forordning (EU) 2016/679). Ved motstrid går denne avtalen foran hovedavtalen for spørsmål om behandling av personopplysninger.

2. Beskrivelse av behandlingen. Behandlingens art, formål, varighet, kategorier av opplysninger og registrerte er beskrevet i Vedlegg 1.

3. Instruks. Databehandleren skal bare behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig, herunder ved overføring til tredjeland, med mindre annet kreves etter EØS- eller norsk rett. I så fall skal Databehandleren underrette Behandlingsansvarlig før behandlingen, med mindre underretning er forbudt. Databehandleren skal umiddelbart varsle dersom en instruks etter Databehandlerens syn er i strid med regelverket.

4. Taushetsplikt. Databehandleren skal sikre at personer med tilgang til opplysningene har forpliktet seg til taushet eller er underlagt lovbestemt taushetsplikt.

5. Sikkerhet. Databehandleren skal gjennomføre egnede tekniske og organisatoriske tiltak etter artikkel 32, beskrevet i Vedlegg 2, herunder kryptering av data under lagring og overføring, tilgangsstyring, logging, testede sikkerhetskopier og rutine for håndtering av sikkerhetsbrudd.

6. Underdatabehandlere. Databehandleren skal ikke engasjere underdatabehandlere uten forutgående [spesifikk/generell] skriftlig godkjenning fra Behandlingsansvarlig. Ved generell godkjenning skal Databehandleren varsle om planlagte endringer (liste i Vedlegg 3) med [30] dagers frist for innsigelse. Underdatabehandlere skal pålegges samme forpliktelser som i denne avtalen, og Databehandleren er fullt ansvarlig for deres utførelse.

7. De registrertes rettigheter. Databehandleren skal, gjennom egnede tekniske og organisatoriske tiltak, bistå Behandlingsansvarlig med å oppfylle plikten til å besvare forespørsler om utøvelse av rettighetene etter kapittel III (artikkel 15–22). Databehandleren skal videresende slike forespørsler uten opphold og ikke besvare dem selv.

8. Brudd på personopplysningssikkerheten. Databehandleren skal varsle Behandlingsansvarlig uten ugrunnet opphold og senest innen [24/48] timer etter at Databehandleren har blitt kjent med et brudd, med opplysningene som følger av artikkel 33 nr. 3.

9. Bistand. Databehandleren skal bistå Behandlingsansvarlig med å oppfylle pliktene etter artikkel 32–36 (sikkerhet, avviksmelding, personvernkonsekvensvurdering og forhåndsdrøfting), tatt i betraktning behandlingens art og opplysningene Databehandleren har tilgang til.

10. Sletting eller tilbakelevering. Ved avtalens opphør skal Databehandleren, etter Behandlingsansvarligs valg, slette eller tilbakelevere alle personopplysninger og slette eksisterende kopier, med mindre lagring kreves etter lov. Sletting skal bekreftes skriftlig.

11. Revisjon. Databehandleren skal gjøre tilgjengelig all informasjon som er nødvendig for å dokumentere etterlevelse av denne avtalen, og muliggjøre og bidra til revisjoner, herunder inspeksjoner, utført av Behandlingsansvarlig eller en bemyndiget revisor, med [15] dagers varsel.

12. Overføring til tredjeland. Enhver overføring til tredjeland skal skje på grunnlag av en gyldighetsbeslutning eller egnede garantier etter artikkel 46 (standard personvernbestemmelser), supplert med en overføringsvurdering der det er nødvendig.

13. Varighet og oppsigelse. Avtalen gjelder så lenge Databehandleren behandler personopplysninger på vegne av Behandlingsansvarlig.

Vedlegg: 1. Beskrivelse av behandlingen — 2. Tekniske og organisatoriske sikkerhetstiltak — 3. Godkjente underdatabehandlere.

Sted/dato: __________ Behandlingsansvarlig: __________ Databehandler: __________

Slik tilpasser du malen

Avklar rollene først. Malen forutsetter et forhold mellom behandlingsansvarlig og databehandler. Bestemmer leverandøren selv formålet med behandlingen, er den selvstendig behandlingsansvarlig eller felles behandlingsansvarlig, og da trengs en annen konstruksjon.

Velg regime for underdatabehandlere. Generell godkjenning med innsigelsesrett er normen i skytjenester; spesifikk godkjenning passer for sensitive opplysninger eller kritiske behandlinger. Fyll Vedlegg 3 med den faktiske listen – krev den av leverandøren, det er et klassisk kontrollpunkt.

Sett en konkret varslingsfrist. Artikkel 33 sier «uten ugrunnet opphold». Fest 24 eller 48 timer i punkt 8, ellers rekker du aldri din egen 72-timersfrist til Datatilsynet.

Fyll Vedlegg 2 med konkrete tiltak. Et tomt eller generisk sikkerhetsvedlegg («tiltak i tråd med bransjestandard») oppfyller ikke artikkel 32. List etterprøvbare tiltak: kryptering, MFA, sikkerhetskopiering, logging, hendelseshåndtering, i tråd med prinsippet om innebygd personvern.

Kartlegg mot behandlingsprotokollen. Hver databehandler i behandlingsprotokollen skal ha en avtale, og hver avtale skal svare til en behandling. Et verktøy som Legiscope kan koble avtalene automatisk til behandlingene, slik at du ser hvilke leverandører som mangler avtale.

Trenger jeg egen avtale for hver leverandør?

Ja. Hver databehandler skal ha en avtale som gjenspeiler nettopp den behandlingen leverandøren utfører. Én felles avtale for flere ulike leverandører fungerer ikke, fordi behandlingens art, sikkerhetstiltak og underdatabehandlere er forskjellige fra leverandør til leverandør. I praksis kan du bruke malen over som felles utgangspunkt, men vedleggene – beskrivelsen av behandlingen, sikkerhetstiltakene og underdatabehandlerlisten – må fylles ut individuelt. Kryss avtalene mot behandlingsprotokollen for å avdekke leverandører som mangler avtale, og prioriter dem som behandler sensitive opplysninger eller store datamengder.

Vanlige feil

  • Å signere leverandørens standardavtale uten å lese vedleggene. Store leverandørers avtaler begrenser ofte ansvaret og gir vid godkjenning av underdatabehandlere. Forhandle minst om underdatabehandlerlisten og varslingsfristen.
  • Å glemme «usynlige» leverandører – ticketsystem, CRM, e-postverktøy, arkivdestruksjon. Hver av dem trenger avtale.
  • Å ikke dokumentere instruksene. Avtalen viser til «dokumenterte instrukser»; ta vare på dem som vedlegg eller i bestillinger.
  • Å overse tredjelandsoverføringer leverandøren selv gjør (amerikansk support, backup i tredjeland). Sjekk hvor dataene faktisk ligger, ikke bare hvor leverandøren har hovedkontor.
  • Ingen oppfølging. Gå gjennom vedleggene og endringer i underdatabehandlere årlig.

Ofte stilte spørsmål

Kan jeg bruke denne malen som den er?

Malen er et solid utgangspunkt som dekker alle punktene i artikkel 28 nr. 3, men den må tilpasses den konkrete behandlingen – særlig vedleggene om behandlingens art, sikkerhetstiltak og underdatabehandlere. En generisk avtale uten utfylte vedlegg oppfyller ikke kravene.

Må databehandleravtalen signeres på papir?

Nei. Artikkel 28 krever skriftlig form, «herunder elektronisk». En elektronisk signert avtale er fullt gyldig. Det viktige er at avtalen er inngått og kan dokumenteres, ikke formatet på signaturen.

Hvem har ansvaret for at avtalen finnes?

Begge parter. Datatilsynet kan sanksjonere både behandlingsansvarlig og databehandler for manglende eller mangelfull avtale. I praksis legger leverandøren ofte fram sin standardavtale, men den behandlingsansvarlige har et selvstendig ansvar for å sikre at den er tilstrekkelig.

Hva om leverandøren nekter å endre sin standardavtale?

Store leverandører tilbyr ofte bare sin egen standardavtale uten forhandling. Da bør du som et minimum kontrollere at avtalen dekker alle punktene i artikkel 28 nr. 3, at underdatabehandlerlisten er tilgjengelig og oppdatert, og at varslingsfristen ved brudd er akseptabel. Er avtalen klart mangelfull på et vesentlig punkt, bør du vurdere en annen leverandør – ansvaret for en tilstrekkelig avtale ligger også på deg som behandlingsansvarlig.

Konklusjon

En god databehandleravtale tar utgangspunkt i de åtte punktene i artikkel 28 nr. 3, men står og faller på vedleggene: en konkret beskrivelse av behandlingen, et etterprøvbart sikkerhetsvedlegg og en oppdatert underdatabehandlerliste. Bruk malen over som base, tilpass vedleggene til hver leverandør, sett en kort varslingsfrist, og kartlegg avtalene mot behandlingsprotokollen. En databehandleravtale er blant de første dokumentene Datatilsynet ber om under en kontroll – sørg for at dine er reelle og oppdaterte.

Denne malen gir generell informasjon om artikkel 28 og utgjør ikke juridisk rådgivning. Tilpass den til din konkrete situasjon.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →