DU bryter NORSK LOV om du ikke har databehandleravtaler
Idag skal vi finne ut av:
1) Hva er en databehandleravtale ?
2) Hva må DU fylle ut
3) Hvem må ha en slik avtale ?
4) Hvem har ansvar for å lage avtalen ?
5) Hvorfor er dette så viktig ?
6) Hva skal være med i en slik avtale ?
7) Må jeg bruke en advokat ?
8) Forslag laget utifra datatilsynets anbefalinger.
1) Hva er en databehandleravtale ?
En databehandleravtale er en avtale som regulerer hvordan personopplysninger skal lagres i datasystemer som ikke du selv har kontroll over. Avtalen har noen punkter som DU må fylle ut - og være enig med databehandler om - ellers er resten av punktene ( a - g) hentet rett fra loven - og vårt eksempel er rett fra datatilsynet sine sider
2) Hva må DU fylle ut
Det er noen få ting du må fylle ut som alle handler om DINE kunders personopplysninger:
Hva behandlingen består i, formålet, hvem de registrerte er og hvilke personopplysninger som registreres.
3) Hvem må ha en slik avtale ?
Databehandleravtalen MÅ finnes i alle bedrifter mellom databehandlingsansvarlige ( ditt firma) og databehandler ( firmaet som har ansvar for din server, regnskapsprogrammet eller andre systemer som oppbevarer personopplysninger om dine kunder)
4) Hvem har ansvar for å lage avtalen ?
Loven sier at det er databehandlingsansvarlig som er ansvarlig for å lage avtalen - og merkelig nok er den også ansvarlig for underleverandører til databehandler - og ikke bare selve databehandler. Poenget er at man er ansvarlig for at de personopplysninger man har i sine systemer blir oppbevart på en trygg måte.
5) Hvorfor er dette så viktig ?
Det er mye snakk om hvor godt forberedt en bedrift bør være på GDPR. Nå snakkes det om at alle må ha gjort et minimum - man må være GDPR - compliant . I denne minimum inkluderer det at man har ingått slike avtaler OG at man har begynt å dokumentere sine egne personopplysninger, gjort noen enkle risikovurderinger, hatt møter med de ansatte om temaet og startet på en prosess for å sikre alle personopplysninger i firmaet. Det er viktig å lage en LOGG for firmaet hvor man setter opp tiltak som er gjennomført. Mange gode tips i denne linken https://www.linkedin.com/pulse/n%C3%A5r-er-man-gdpr-compliant-jan-sandtr%C3%B8/
6) Hva skal være med i en slik avtale ?
Det letteste er selvsagt å få hjelp av en advokat som tar flere tusen for dette. Hvis du ikke ønsker det så finnes det svært mye god informasjon på datatilsynet nettside. Det er tipsene derfra som vi har brukt for å sette sammen et forslag til avtale. NB: HUSK det er databehandler som har veldig mye ansvar utifra disse tekstene som står i loven . Det er derfor ikke nødvendig å spesifisere svært teknisk akkurat hvilke fysiske tiltak og datatekniske programmer og prosesser og annet som er satt igang for å sikre opplysningene. Dette må bli databehandlers ansvar og det vil komme en bransjestandard som vil sette klare regler for dette om en stund.
Det som nok kanskje vil skje er at databehandler ønsker å bruke sin egen avtale - og da er det bare å sjekke at punktene som er under også er med i den avtalen - for det er rett og slett punktene fra loven så det kan man ikke forhandle seg fra i en lur avtale.
7) Må jeg bruke en advokat ?
De fleste bedrifter har allerede et avklart forhold til om de bruker advokater til å lage avtaler eller om de baserer det på egne erfaringer. Denne loven er ikke så veldig anderledes. Jeg har sett avtaler laget av jurister og de har faktisk ikke så mye mer de kan legge til i sine avtaler. En mulighet kan jo være å fylle inn alt jeg har foreslått under og sende det til den advokaten du bruker. Har du helt vanlige kundeopplysninger du tar vare på i dine personopplysninger så tror jeg ikke det er nødvendig. Har du derimot sensitive opplysniger du jobber med så vil det være lurt å finne frem til andre i bransjen og finne ut hvilken avtale de har valgt å gå for. Idag er det mange som lurer på disse avtalene og mitt råd er at det er bedre å få en avtale "i boks" nå enn å vente i flere måneder. DENNE avtalen MÅ på plass i løpet av sommeren.
8: Forslag til avtale
På våre abboements-sider har vi laget et forslag til avtale som du kan bruke. Denne avtalen er ikke basert på en jurist sine betraktninger, men den stemmer iforhold til det datatilsynet krever - og i forhold til GDPR så er det de som er kontrollmyndighet. Hvis du går inn på et abbonement på gdpr.pvern.no så vil det ligge en ferdig avtale der hvor du bare kan endre de stiplede feltene
Du kan også lese mer om databehandleravtale hos datatilsynet
https://www.datatilsynet.no/regelverk-og-skjema/veiledere/databehandleravtale/