Hvorfor skal du have en databehandleraftale? Næsten hver virksomhed gør brug af tredjeparter til at behandle data. Og hvis du ikke ønsker at få nogen bøder, og du gerne vil overholde GDPR, så burde du underskrive en databehandleraftale. Når du er færdig, med dette blogindlæg, så ved du, hvad en databehandleraftale er, hvem der gør hvad i sådan en aftale og tips og tricks til, hvordan du kan udarbejde din egen aftale.
Her kan du læse om
- De typisk fejl folk laver med databehandleraftaler
- Databehandler tjekliste
- Databehandleraftale skabeloner
- Hvad vi har lært
GDPR kræver databehandleraftaler
GDPR indebærer, at en dataansvarlig (såsom en organisation eller virksomhed) skal underskrive en databehandleraftale, med enhver part, der agerer som databehandler på deres vegne. Vi ved, hvad du tænker: “Aarh.. Mere irriterende papirarbejde.” Men en databehandleraftale er et vigtigt skridt i at overholde GDPR, og det hjælper dig med at undgå GDPR-bøder. Så, hvis du gerne vil have behandlingsgrundlag til at behandle data, skal du have en databehandleraftale på plads med hver af dine databehandlere.
Hvad er en databehandleraftale?
Vi giver dig den korte version og den officielle EU-version.
Den korte version
- En databehandleraftale er en kontrakt mellem en dataansvarlig og en databehandler der beskriver, hvordan og hvorfor data bliver behandlet.
Den officielle version
- En databehandleraftale er et juridisk bindende dokument, der er underskrevet mellem en dataansvarlig (såsom en organisation) og en databehandler (så som en tredjepartstjenestes udbyder).
Men hvad gør, og hvad betyder sådan en aftale egentlig?
- Det er en aftale på, hvordan og hvorfor data bliver behandlet, og at alle parter der behandler persondata, overholder GDPR.
Du tænker måske “Har jeg virkelig brug for en databehandle aftale?” Det har du nok. Hvis du udveksler nogen form for persondata med andre parter, og er involveret i databehandling, så skal du have en databehandleraftale.
Men lad os starte med det grundlæggende: Hvad definerer databehandling, hvem er dataansvarlig og, hvad er en data behandler?
Hvad er databehandling?
Databehandling betyder, at man behandler data. GDPR definerer det relativt bredt, som en handling eller proces, som man udfører på persondata.
Databehandling er typisk indsamling og behandling af rå digitale data for at producere værdifuld information, Det kan dog også være:
- Lønadministration
- Når man lægger billeder af mennesker op på din hjemmeside
- Forsendelse af markedsførings e-mails
- Adgang til databaser med persondata
Hvad er en dataansvarlig?
En dataansvarlig er den organisationen eller virksomhed der bestemmer formålet med og måden, hvorpå persondata behandles.
Dataansvarlig og databehandleraftale eksempel
F.eks. når vores kunder modtager vores awareness-træning, så modtager de fleste af vores kunder det på vores LMS-platform, som bliver leveret af efront. Efront er en tredjeparts LMS-platforms udbyder, som vi bruger til at levere vores awareness-trænings kurser til vores kunder. Du kan selvfølgelig også modtage vores kurser på din egen LMS-platform.
I dette tilfælde, er vi (CyberPilot) dataansvarlige, og LMS-platformen er databehandleren. Vi indsamler data om dine medarbejdere og bestemmer brugen af dem. LMS-platformen behandler dataene på vores vegne med hensyn til formålet med dataene. Her skal vi have en databehandleraftale.
Hvad er en databehandler så?
En databehandler er en organisation eller person der behandler data på vegne af en dataansvarlig.
Hvis du gerne vil vide mere om dataansvarlige og behandlere, så kan du læse om det på vores blog, hvor vi har skrevet en guide til, alt hvad du skal vide som dataansvarlig og databehandler.
Nu har vi dækket det grundlæggende. Vi ved, hvad en databehandleraftale er, hvad den består af, og at man skal have den før man overholder GDPR. Men hvornår er den helt præcis nødvendig?
Hvornår skal man have en databehandleraftale?
Du skal have en databehandleraftale, hvis du er dataansvarlig og du gør brug af en databehandler, som behandler data på dine vegne
Faktisk, hvis du er en dataansvarlig, så skal du have en databehandleraftale, med hver af dine databehandlere, som behandler data på dine vegne.
Og, hvis du er databehandler og gør brug af underdatabehandlere, så skal du have en databehandleraftale med hver af dine underdatabehandlere.
- En underdatabehandler er: En tredjeparts databehandler der behandler data på vegne af en databehandler
Hvis der udveksles nogen form for persondata mellem dig (den ansvarlige) og databehandleren, så er en databehandleraftale altså påkrævet
GDPR kræver, at dataansvarlige beskytter de persondata, som de håndterer. Det betyder, at dataansvarlige er ansvarlige for at sikre, at deres databehandlere også har de rette beskyttelsesmæssige foranstaltninger for at beskytte dataet.
Derfor er de en god idé at kigge dine databehandleraftaler igennem for at se, om alt er i orden.
De typisk fejl folk laver med databehandleraftaler
Det er altid, en god idé at gennemgå dine databehandleraftale for mulige problemer. De mest almindelige problemer der typisk opstår fra databehandleraftaler er:
Behandleren behandler mere end de burde
- Omfanget af, hvordan databehandleren behandler persondata, er større end den dataansvarliges lovlige grundlag for behandling af persondata. De overholder altså ikke GDPR.
En mangel på sikkerhedsforanstaltninger
- Det er dit ansvar at sikre, at din databehandler, har tilstrækkelige beskyttelsesforanstaltninger på plads og er i overensstemmelse med GDPR. Sørg for, at din databehandler kan garantere sikkerheden af persondataene og garantere fortrolighed.
Lokalisering og overførsel af din data
- Du skal sikre dig, at din data bliver inden for EU for at undgå internationale overførselsrestriktioner. Du bør kontakte din SaaS udbyder, om at implementere en datalokaliseringspolitik, hvis det er nødvendigt
Godkendelse af underdatabehandlere
- Husk at tjekke med dine databehandlere, om de bruger underdatabehandlere. GDPR kræver, at databehandlere underretter dig (den dataansvarlige), hvis underdatabehandlere bliver brugt.
Det er vigtigt, at dataansvarlige er selektive, når det kommer til at vælge ens databehandlere. Det er de dataansvarliges ansvar at sikre at deres behandlere overholder de relevante standarder.
En god måde, at undgå nogle af disse typiske problemer ved en databehandleraftale er at have en tjekliste over, hvad du skal inkludere i din databehandleraftale. Bare rolig, vi har dig dækket.
Databehandler tjekliste
Vi har samlet de mest væsentligste ting, du skal have styr på, for at have en databehandleraftale der overholder GPDR, lige her.
Vi ved godt, at det måske er ret uoverskueligt at lave en databehandleraftale helt selv, derfor har vi samlet et par skabeloner, der kan hjælpe med at få dig startet.
Databehandleraftale skabeloner
Forskellige lande og deres respektive databeskyttelsestilsyn, har hver deres egne databehandleraftale skabeloner, som du kan bruge. Du er selvfølgelig også velkommen til at udarbejde din egen kontrakt.
Her er nogle eksempler på et par databehandleraftaleskabeloner, der er gratis at downloade:
Skabelonerne skal naturligvis tilpasses til din virksomhed, men de er et rigtig godt udgangspunkt.
Hvad har vi lært
Vi håber, at du har lært noget nyttigt om databehandleraftaler. En databehandleraftale, hjælper dig med at overholde GDPR og sikrer, at den persondata, du er ansvarlig for, bliver håndteret korrekt og sikkert.
Her er nogle af de vigtigste takeaways:
- En databehandleraftale er påkrævet for at overholde GDPR
- Man skal have en databehandleraftale, hvis man udveksler persondata mellem parter
- Sørg for, at din databehandler behandler den korrekte mængde af data.
- Det er en god idé at have en databehandler tjekliste på plads.
Et andet skridt til at overholde GDPR er ved at træne hele dit hold med kontinuerlig awareness-træning. Ved at gøre dette, skaber du en stærk IT-sikkerhedskultur i din organisation.
