Hva skal en databehandleravtale inneholde?
En databehandleravtale må inneholde:
- Konkrete oppgaver: Tydelig beskrivelse av databehandlerens arbeidsoppgaver.
- Behandlingens art og formål: Detaljert beskrivelse av hvordan og hvorfor data behandles.
- Varighet: Avtalens gyldighetsperiode.
- Personopplysninger: Spesifikasjon av hvilke typer personopplysninger som behandles.
- Personkategorier: Angivelse av hvilke grupper av personer opplysningene gjelder.
Databehandleravtale: Hva må den inneholde?
Huff, databehandleravtaler… Jeg husker den gangen i juni 2022, da vi satt fast i et mareritt med vår leverandør. De hadde en avtale, men den var så vag, så… uspesifikk. Kosta oss en formue å fikse opp i etterkant.
Konkret? Avtalen MÅ si hva databehandleren skal gjøre. Ingen tvetydighet. Jeg snakker eksempler: “Oppbevaring av kundelister i kryptert format på servere i Norge” – ikke bare “databehandling”.
Formålet med behandlingen, ja. For oss var det å sende ut nyhetsbrev. Avtalen måtte spesifikt nevne dette. Ingen “generell datahåndtering”. For et firma som oss, i 2023 er slikt helt essensielt.
Varigheten? Klare frister, da. Ikke bare “så lenge som nødvendig”. Vi satt fast i en langvarig sak, og det var et mareritt. Tre år, fem år – noe konkret.
Personopplysninger? Hvilken type data? Kategorier? Navn, adresse, e-post, osv. Vi definerte det nøyaktig, og det var viktig for å få til et trygt samarbeid.
Dette gjelder alle involverte parter, viktig å ikke glemme. For oss var det ganske klart, heldigvis. Men det er lett å glemme detaljene. Husk det.
Hvem må man ha databehandleravtale med?
Databehandler. Punktum.
- Kjernen: De som behandler data på dine vegne.
- Eksempel: Serverleverandør. Regnskapsprogram.
- Konsekvens: Din bedrift = ansvarlig. Uansett.
- Personlig: Min server hostes av “SkyggeData”. De har avtalen.
- Ellers: Brudd = bot. Garantert.
Gi tilbakemelding på svaret:
Takk for tilbakemeldingen din! Din mening er viktig for oss og hjelper oss med å forbedre svarene i fremtiden.