Hvad er en databehandleraftale (DPA), og er det nødvendigt?

What is a data processingagreement (DPA)

...Read in English here 🇬🇧

Introduktion

I EU kan man ikke sige databehandling uden at tænke på GDPR – disse to er nemlig tæt forbundet i dagens digitale landskab. Ved databehandling kan der være tale om alt fra indsamling og opbevaring til analysering og overførsel m.v..

Dette søger GDPR-forordningen at imødekomme ved at skabe retlige rammer, der sikrer beskyttelse af privatliv og persondata for registrerede i EU/EØS. Her fastlægges strenge retningslinjer for, hvordan man skal håndtere data ifm. databehandling, mens der fortsat er fokus på gennemsigtighed, sikkerhed og ansvar.

Da mange virksomheder handler med hinanden, kan der opstå situationer, hvor der er behov for at overføre og behandle data. I sådanne tilfælde er det vigtigt at etablere en databehandleraftale (også kaldet ’DPA’) for at sikre, at de registreredes rettigheder forbliver beskyttede, og at et højt sikkerhedsniveau opretholdes i medfør af GDPR.

Som virksomhed i EU/EØS skal man af den grund være opmærksom på reglerne omkring dette emne, idet det ellers kan føre til store bøder og/eller skade på omdømme. Denne artikel vil give et omfattende indblik i GDPR og databehandling samt hvornår og hvordan du skal indgå en databehandleraftale.

Se vores DPA Service - tilsyn med databehandlere gjort enkelt

Hvad er GDPR?

GDPR står for General Data Protection Regulation og er etableret af Den Europæiske Union for at imødekomme beskyttelse af privatliv og persondata for EU-/EØS-borgere. Det fungerer som et retligt framework, der fastlægger retningslinjer for, hvordan virksomheder og organisationer må indsamle, behandle, opbevare og overføre persondata.

Dette er med henblik på at give registrerede større kontrol over egne personlige oplysninger. Endvidere er det også med tanke på at kræve mere af virksomhederne/organisationerne, idet disse tillige skal implementere foranstaltninger for at sikre fortrolighed, integritet og tilgængelighed (CIA-triaden) ved håndtering af data. Slutteligt pålægger GDPR også betydelige sanktioner for manglende overholdelse, herunder store bøder, hvorfor det er afgørende at overholde bestemmelserne i GDPR og dermed blive compliant.

For yderligere indsigt, læs også: Alt du skal vide om GDPR (og GDPR ordbogen) og sådan implementerer du GDPR med 10 nemme trin

Hvad betyder databehandling?

Databehandling omfatter – som nævnt – indsamling og brug af data, der bliver til meningsfuld information eller indsigt, som potentielt er personhenførbart. Behandling dækker derfor over flere ting, herunder indsamling, registrering, organisering, opbevaring, brug, transmission, sletning eller enhver anden brug af indsamlet data. Hvis der sker en sådan behandling, skal de specifikke krav i GDPR respekteres og integreres. Det er derfor afgørende, at man ved, hvornår der er tale om en behandling, samt hvilke forpligtelser dette medfører.

Hvad er en databehandleraftale (DPA)?

En databehandleraftale er en juridisk bindende aftale mellem en dataansvarlig og en databehandler. Den dataansvarlige er den person/virksomhed/myndighed/anden organisation, der afgør formålet med behandlingen samt de hjælpemidler, der anvendes. Databehandleren, derimod, er den person/virksomhed/myndighed/anden organisation, der behandler personoplysninger for den dataansvarlige.

GDPR kræver i dette henseende en databehandleraftale, således vilkårene og betingelserne er fastlagte for, hvornår data må behandles af databehandleren på vegne af den dataansvarlige. Databehandleraftalen specificerer således ansvar, forpligtelser og rettigheder for både den dataansvarlige og databehandleren. Dette kan omfatte emner som sikkerhedsforanstaltninger, procedurer (fx for anmeldelse af databrud) og overholdelse af krav i GDPR.

Databehandleraftalen fastlægger derfor forholdet mellem de to for i sidste ende at sikre compliance med GDPR og beskyttelse af rettigheder for registrerede.

Hvad er formålet med en DPA?

Kort og godt er det essentielt at have en databehandleraftale for at være compliant med databeskyttelsesreglerne. Aftalen klargør, hvem der har hvilke roller, samt hvilket ansvar og forpligtelser det medfører for hver part, når der behandles data.

Dette er netop essentielt, fordi kravene til en dataansvarlig er forskellige fra kravene til en databehandler. Ydermere er det vigtigt at få fastlagt ansvaret, således der ikke opstår usikkerhed omkring, hvem der har ansvaret for at leve op til diverse forpligtelser; bliver det ikke klargjort, er der en risiko for, at ingen af parterne påtager sig ansvaret, eller at en part påtager sig et ansvar, som den pågældende faktisk ikke har.

Derudover skal man som dataansvarlig sikre sig selv og sine indsamlede personoplysninger, forstået på den måde, at man som dataansvarlig skal sørge for, at en databehandler passer lige så godt på oplysningerne, som man selv ville. Det er derfor vigtigt at indgå en databehandleraftale, inden data behandles.

Lignende artikel: Hvad er forskellen mellem informationssikkerhed & cybersikkerhed?

Hvornår behøver jeg en DPA?

Alle dataansvarlige, der behandler persondata fra EU-/EØS-borgere, er forpligtede til at have en databehandleraftale på plads, når de samarbejder med en databehandler - og vice versa. Det er altid udgangspunktet, at der skal være en aftale mellem parterne. Undtagelsen er kun, når det er klart, at der ikke er en ’dataansvarlig-databehandler’-struktur med personoplysninger involveret.

Hvorom alting er, så er det nødvendigt at indgå en databehandleraftale, hvis der videregives personoplysninger til en part, der fungerer som en databehandler. En sådan aftale sikrer ikke kun compliance med GDPR, men beskytter også i høj grad registreredes rettigheder samt fremmer tillid og gennemsigtighed.

Læs mere: Tjekliste over dokumenter, der kræves af EU's GDPR

Hvad består en DPA af?

Blogpost15Hvad bør så indgå i en databehandleraftale? Først og fremmest er det et krav, at databehandleraftalen er skriftlig og kan fremvises elektronisk. Dette er med henblik på, at det aftalte kan dokumenteres ved fx inspektion eller revision. Aftalen skal indeholde oplysninger om databehandlingen, herunder bl.a. varighed og formål.

Hvad skal så indgå i en databehandleraftale? 

Følgende er ikke en udtømmende liste, men det giver til gengæld en god idé om, hvilke elementer en databehandleraftale skal bestå af:

  • Oplysninger om genstanden for behandling: En forklaring af, hvilken instruks der er givet fra den dataansvarlige til databehandleren ifm. dennes behandling af data.

  • Behandlingens karakter: En beskrivelse af, hvordan data behandles, herunder om det vil blive indsamlet, opbevaret, bearbejdet, videregivet eller slettet.

  • Formålet med behandlingen: En angivelse af, hvad det/de specifikke formål er med behandlingen, herunder fx kontraktlige forpligtelser, administrering af tjenester, markedsføringsaktiviteter osv..

  • Varighed af behandlingen: En fastlæggelse af, hvor lang tid behandlingen foregår.

  • Typen af personoplysninger: En præcis og omfattende beskrivelse af det data, der behandles, herunder type, kilde og evt. kategori. Dette kan fx være kontaktoplysninger eller helbredsoplysninger.

  • Forpligtelser og rettigheder som dataansvarlig: En angivelse af de juridiske forpligtelser og rettigheder, der tilfalder en dataansvarlig ift. databeskyttelseslovgivningen, herunder bl.a. at sikre retfærdig og lovlig behandling af data samt beskyttelse af registreredes rettigheder.

  • Forpligtelser og rettigheder som databehandler: En angivelse af de juridiske forpligtelser og rettigheder, der tilfalder en databehandler ift. databeskyttelseslovgivningen, herunder bl.a. kun at behandle data i henhold til instruktioner fra den dataansvarlige samt opretholde passende sikkerhedsforanstaltninger og rapportere om eventuelle sikkerhedsbrud.

Hvis du stadig er i tvivl om, hvad en databehandleraftale skal indeholde, kan du med fordel drage inspiration fra Datatilsynets skabelon, som er tilgængelig på deres hjemmeside.

Revision af databehandlere

Det er vigtigt at foretage revisioner af databehandlere løbende, således man sikrer, at der fortsat sker sikker databehandling ift. de registrerede. Gennem regelmæssige revisioner af virksomhedens relevante databehandlere, hvor fokus bl.a. rettes mod deres processer og sikkerhedsforanstaltninger, kan man identificere potentielle risici og sikkerhedshuller, der kan true CIA-triaden (fortrolighed, integritet, tilgængelighed). Gennem disse audits sikrer man endvidere, at databehandlerne overholder gældende lovgivning samt kontraktlige forpligtelser, der er fastsat i databehandleraftalen mellem den dataansvarlige og databehandleren. Det er typisk en god idé at integrere det i virksomhedens årshjul for at sikre kontinuerlig gennemførelse af revisioner.

Sådan sikrer du forsvarlig databehandling og tilsyn med databehandlere

Revisioner af databehandlere giver derfor den dataansvarlige mulighed for at være proaktiv, når det kommer til potentielle problemer, før de udvikler sig til større sikkerhedsbrud eller deciderede overtrædelser. Dette sikrer både den dataansvarlige såvel som de registrerede.

Hvad er de potentielle konsekvenser for dem, der ikke er GDPR compliant?

Det kan have store konsekvenser for dem, der ikke overholder GDPR. Eksempelvis kan det føre til betydelige bøder pålagt af datatilsynsmyndigheder, der kan løbe op i flere millioner euro eller en procentdel af virksomhedens globale, årlige omsætning – alt efter det højeste beløb. Non-compliance kan også føre til skade på omdømme, tab af tillid og juridiske tvister fra registrerede eller andre. Derudover kan der gives påbud om at stoppe non-compliance behandlinger, hvilket kan påvirke virksomhedens evne til at drive forretning.

Hvad betyder Governance, Risiko og Compliance?

Dette kan medføre økonomiske sanktioner for virksomheden; derudover kan det også hæmme virksomhedens drift, forstyrre partnerskaber og evt. begrænse vækstmuligheder. Der er derfor mange grunde til, at en virksomhed bør prioritere at være eller blive compliant med GDPR – både ift. de registrerede og for virksomheden.

Hvordan kan .legal hjælpe dig med at foretage revisioner af dine databehandlere? 

Dpa proces eng

.legal har flere legal tech produkter på markedet, og blandt disse findes værktøjet DPA Service, som gør det nemt at foretage revisioner af sine databehandlere og evaluere på det. Dette framework giver virksomheden de tekniske rammer (ISMS) til at gennemføre effektive audits af de databehandlere, der behandler data på dens vegne, og sikrer dermed en høj grad af datasikkerhed.

Processen er struktureret og optimeret for at lette revisionen, hvor virksomheden blot skal liste de ønskede databehandlere til .legal. Herefter styrer .legal hele evalueringsprocessen og sikrer, at databehandlerne svarer rettidigt, mens virksomheden løbende kan følge med i processen.

Resultaterne præsenteres i en omfattende, automatiseret rapport baseret på databehandlernes svar, der giver virksomheden et grundigt indblik i niveauet af compliance hos deres databehandlere, hvorefter virksomheden kan agere på, hvorvidt de har brug for at kræve yderligere af deres databehandlere for at sikre compliance. Dette sikrer en pålidelig og sikker auditering af databehandlere, samtidig med at det effektiviserer processen, idet virksomheden får tilknyttet en medarbejder fra .legal, der sørger for, at evalueringsprocessen følges til dørs.

Læs mere:
DPA Service fra .legal
Sådan opnår du GDPR-compliance, når du bruger cloudlagring og cloudtjenester

FAQs 

Er det et krav at have en DPA?

Ja, det er obligatorisk at indgå en databehandleraftale i henhold til GDPR, når en dataansvarlig får en databehandler til at udføre opgaver på deres vegne, hvor personoplysninger behandles. En databehandleraftale regulerer de gældende vilkår, betingelser og forpligtelser mellem dataansvarlig og databehandler ifm. databehandlingsaktiviteter.

Dette gøres med tanke på overholdelse af databeskyttelseslove samt at beskytte registreredes rettigheder. Indgår man ikke en databehandleraftale, når det er påkrævet af GDPR, kan dette resultere i sanktioner, påbud eller offentlig udskamning for non-compliance.

Du har måske lyst til at læse om 10 funktioner, du skal kigge efter i GDPR compliance software i 2024

Hvor ofte skal en DPA gennemgås eller opdateres?

Hvor ofte en databehandleraftale skal gennemgås eller opdateres afhænger af forskellige faktorer. Dette kan fx komme an på, om der er sket ændringer i behandlingsaktiviteterne, i lovgivningen eller i forretningsforholdet mellem de involverede parter.

Generelt set bør der ske gennemgang af en databehandleraftale regelmæssigt – alt efter behov naturligvis – for netop fortsat at sikre overholdelse af gældende regler, og for at databehandleraftalen afspejler virksomhedens nuværende situation og praksis.

Hvad skal man gøre med underdatabehandlere?

Ifølge GDPR er det et krav, at en dataansvarlig har en databehandleraftale med alle virksomheder, de deler data videre til – altså at den dataansvarlige har en databehandleraftale med alle databehandlere. Hvis en eller flere af databehandlerne gør brug af yderligere virksomheder til at håndtere selvsamme data – såkaldte ’underdatabehandlere’ – skal dette typisk afstemmes med den dataansvarlige, idet underdatabehandlerne nu også behandler den dataansvarliges data, hvorfor de skal være underlagt samme forpligtelser som databehandleren. Dette sikrer, at samme standard er sat inden for databeskyttelse af hele forsyningskæden, hvilket omfatter alle parter, der behandler persondata.

Har du brug for hjælp med dine andre GDPR compliance-opgaver? Prøv .legal's legal tech værktøj, Privacy - helt gratis!


Du kan læse mere om alle features, priser og planer her

Du kan måske lide:
Risikovurdér dine behandlingsaktiviteter
Dokumentér hvor I behandler persondata

+230 store og små virksomheder bruger .legal