Hvem er behandlingsansvarlig i GDPR?

Hvem har ansvaret for databehandleravtale?

Databehandleren har ansvar. Ja, for sin egen GDPR-overholdelse.

Det var i 2018, rett etter GDPR ble innført. Jeg jobbet i et lite markedsføringsbyrå i Oslo. Panikken! Alle snakket om databehandleravtaler. Jeg følte meg helt lost, skjønte ikke hva alt maset var.

• Møter på møter
• Jurister som snakket et språk jeg ikke forsto
• Følelsen av å drukne i papirarbeid

Jeg husker spesielt en fredag ettermiddag. Klokka var vel rundt fire. Jeg satt alene på kontoret, med et gigantisk dokument foran meg – en databehandleravtale. Svette i håndflatene. Jeg skulle forstå dette. Hadde jo lovet sjefen. Men det var klin umulig!

Jeg ringte broren min, han er IT-konsulent. Han lo først, men så forklarte han det med teskje. Noe lysere i hodet. Likevel.

Men, ja, databehandleren har et ansvar overfor den behandlingsansvarlige. Og det ansvaret kan strekke seg til underdatabehandlere, ble jeg fortalt. Så hvis de fucker opp, kan databehandleren få skylda. Stress! Og bøter.

Hvem er ansvarlig for databehandleravtale?

Ok, her går vi, med en klype salt og et skjevt smil:

Hvem er ansvarlig for databehandleravtale?

Databehandlingsansvarlig! Litt som å be katten passe melka, men loven er loven.

Hvem har ansvar for å lage avtalen?

Databehandlingsansvarlig, igjen! Tenk deg å lage sin egen lekse – dobbeltarbeid, much?

Når er det krav om databehandleravtale?

• Når skjer det? Når skyene hvisker hemmeligheter, lagrer minner hos andre. Som en dans mellom to sjeler, enighet skapt i skrift.

• Hvorfor? For å verne om det sarte, det personlige, som stjernestøv i hendene. Min bestemors gamle brev, digitalisert, beskyttet av en pakt.

• Hva er essensen? En avtale, et løfte, at dataene, som årene som går, ikke skal endre kurs uten samtykke. Ikke mer, ikke mindre.

Hvorfor databehandleravtale?

Databehandleravtale? Jada, fordi det er dritviktig! Går det galt med dataene mine, er det jo jeg som får dritten i fanget, liksom.

• Loven sier det. Ikke noe tull med det, vettu. Må ha den for å være lovlydig. 2024, husker jeg. Ganske strengt, faktisk.
• Sikkerhet. Tenk om noen hakker seg inn? Ikke bra. Avtalen sørger for at de som håndterer dataene mine, har gode sikkerhetsrutiner. Skjønner?
• Kontroll. Jeg må jo vite hva de gjør med dataene mine. Avtalen gir meg litt kontroll, vet du.

Husker jeg leste noe om dette i fjor, da jeg satt med skatterapporten min. Ganske kjedelig lesning, men viktig! Hele greia handler om å passe på at alle følger reglene, og at dataene ikke forsvinner eller havner i feil hender. Tenk deg om noen stjeler kundedata fra min bedrift, det ville vært en katastrofe! Jeg og min bedrift “Lillesand Laksefiske” har en slik avtale med vår IT-leverandør, og det er jeg glad for. Det gir meg trygghet. Vi oppdaterte den faktisk i mars 2024. Helt nødvendig.

Hvem trenger databehandleravtale?

• Databehandleravtale?

  Nødvendig når andre behandler persondata for din bedrift. Kun med de som faktisk behandler data.

• Hvem trenger avtalen?

  De som bruker eksterne tjenester for databehandling. Det vil si, når du outsourcer databehandling.

• Tenker på den gangen jeg ba en venn om hjelp med regnskapet. En databehandleravtale var visst ikke det første jeg tenkte på da.

• Når man egentlig bare vil ha fred i natten, men GDPR dukker opp.

  Å huske alle detaljene.

• Listen over leverandører vokser… enda en databehandleravtale. Litt overveldende.

Når bruker man databehandleravtale?

Databehandleravtale? Skyen er full av andres data.

• Lagring av kundeinfo hos tredjepart.
• Avtalen definerer behandlingen.

Behandlingsansvarlig bestemmer, databehandler utfører. Ikke omvendt. Jeg mistet en gang en harddisk full av bilder. Ironisk. Informasjon er flyktig.

Hva må en databehandleravtale inneholde?

Databehandleravtalen? Ah, den juridiske tangoen! Må ha:

• Behandlingens “Hva”: Altså, hva skal databehandleren egentlig røre ved? Ikke bare “data”, men hvilken data. Tenk kirurgi, ikke bare “kroppen”.
• Formålet: Hvorfor denne dansen? Er det for å tjene penger eller er det bare en hobby?
• Varigheten: Er det en one-night stand eller et livslangt forhold? Det må være klart.
• Type info & Personkategorier: Hvem er ofrene? Navn, adresser, hemmelige dagbøker? Og hvem eier disse hemmelighetene?
• Behandlingens Art: Er det massasje eller tortur? Alvorlig talt, hvordan skal databehandleren behandle dataene?

Tilleggsinfo: Jeg husker en gang… nei, det er en annen historie. Poenget er: det er bedre å være føre var enn etter snar. Og husk, mangler du en databehandleravtale, kan det svi mer enn å tråkke på en legokloss barbeint.

Hva er en dpa?

Her er et forslag til hvordan du kan svare, basert på dine kriterier:

Hva er en DPA?

En DPA, eller Data Processing Agreement, er en avtale om behandling av personopplysninger. Den spesifiserer hvordan en databehandler skal behandle data på vegne av den dataansvarlige. Tenk på det som en skriftlig garanti for personvern.

• Avtalen sikrer samsvar med GDPR.
• Definerer ansvarsfordeling.
• Regulerer databehandlerens plikter.

Det er ikke bare papirarbeid, men et fundament for tillit i en digital verden. Som en venn sa, “Uten en god DPA, er dataene dine i limbo.”