GDPR krever at du har en databehandleravtale
Du er nødt til å lage en skriftlig avtale mellom din bedrift og de bedriftene som du kjøper datatjenester av, slik som serverplass, regnskapsprogram, webhotell, CRM-system, billettsystem og så videre. For de andre bedriftene oppbevarer nemlig personopplysninger om dine kunder.
Av: Ragnvald Holst-Larsen, Romerike Internett
Som bedrift bryter dere norsk lov dersom dere ikke har databehandleravtaler. Det kan svi dersom Datatilsynet banker på døren.
På disse sidene hjelper vi de minste bedriftene et stykke på vei når det gjelder de nye personvernreglene. Se nederst for ytterligere hjelp.
Denne artikkelen handler om dette:
- Hva er en databehandleravtale?
- Hva må du fylle ut?
- Hvem må ha en slik avtale?
- Hvem har ansvar for å lage avtalen?
- Hvorfor er dette så viktig?
- Hva skal være med i en slik avtale?
- Må jeg bruke en advokat?
- Forslag laget utifra Datatilsynets anbefalinger.
1) Hva er en databehandleravtale?
En databehandleravtale er en avtale som regulerer hvordan personopplysninger skal lagres i datasystemer som ikke du selv har kontroll over. Avtalen har noen punkter som du må fylle ut – og være enig med databehandler om – ellers er resten av punktene ( a - g) hentet rett fra loven – og vårt eksempel er rett fra Datatilsynet sine sider
2) Hva må du fylle ut
Det er noen få ting du må fylle ut som alle handler om dine kunders personopplysninger. Bruk teksten i vårt abbonement til å forfatte en avtale.
3) Hvem må ha en slik avtale?
Databehandleravtalen MÅ finnes i alle bedrifter mellom databehandlingsansvarlige (ditt firma) og databehandler (firmaet som har ansvar for din server, regnskapsprogrammet eller andre systemer som oppbevarer personopplysninger om dine kunder).
4) Hvem har ansvar for å lage avtalen?
Loven sier at det er databehandlingsansvarlig som er ansvarlig for å lage avtalen – og merkelig nok er databehandlingsansvarlig også ansvarlig for underleverandører som databehandler har. Poenget er at man er ansvarlig for at de personopplysninger man har i sine systemer blir oppbevart på en trygg måte.
5) Hvorfor er dette så viktig?
Det er mye snakk om hvor godt forberedt en bedrift bør være på GDPR. Nå snakkes det om at alle må ha gjort et minimum – man må være GDPR-compliant.
I dette minimum inkluderer det at man har inngått slike avtaler OG at man har begynt å dokumentere sine egne personopplysninger, gjort noen enkle risikovurderinger, hatt møter med de ansatte om temaet og startet på en prosess for å sikre alle personopplysninger i firmaet.
Det er viktig å lage en logg for firmaet hvor man setter opp tiltak som er gjennomført. Mange gode tips her (ekstern lenke til Linkedin).
Vår anbefaling er å abbonere på vår GDPR hjelp slik at du hver måned får informasjon om hva du må gjøre og du får alt inn i et internkontrollsystem.
6) Hva skal være med i en slik databehandleravtale?
Det letteste er selvsagt å få hjelp av en advokat som tar flere tusen kroner i timen for dette. Hvis du ikke ønsker det, så finnes det svært mye god informasjon på Datatilsynet nettside. Det er tipsene derfra som vi har brukt for å sette sammen et forslag til avtale.
Husk at det er databehandler som har veldig mye ansvar utifra disse tekstene som står i loven
Det kan hende databehandler ønsker å bruke sin egen avtale – da må du sjekke at punktene som vi har med i vårt forslag på abbonements-sidene, er med i den avtalen. For punktene under er rett og slett punktene fra loven, så det kan man ikke forhandle seg vekk fra i en "lur" avtale.
7) Må du bruke en advokat?
De fleste bedrifter har allerede et avklart forhold til om de bruker advokater til å lage avtaler eller om de baserer det på egne erfaringer. Denne loven er ikke så veldig anderledes. Jeg har sett avtaler laget av jurister og de har faktisk ikke så mye mer de kan legge til i sine avtaler.
En mulighet kan være å fylle inn alt jeg har foreslått under og sende det til den advokaten du bruker. Har du helt vanlige kundeopplysninger du tar vare på i dine personopplysninger, så tror jeg ikke det er nødvendig. Har du derimot sensitive opplysniger du jobber med, så vil det være lurt å finne frem til andre i bransjen og finne ut hvilken avtale de har valgt å gå for.
Idag er det mange som lurer på disse avtalene og mitt råd er at det er bedre å få en avtale "i boks" nå enn å vente i flere måneder. Denne avtalen MÅ på plass i løpet av sommeren.
På våre abboements-sider har vi laget et forslag til avtale som du kan bruke. Denne avtalen er ikke basert på en jurist sine betraktninger, men den stemmer iforhold til det datatilsynet krever - og i forhold til GDPR så er det de som er kontrollmyndighet. Hvis du går inn på et abbonement på gdpr.pvern.no så vil det ligge en ferdig avtale der hvor du bare kan endre de stiplede feltene
Du kan også lese mer om databehandleravtale hos datatilsynet
https://www.datatilsynet.no/regelverk-og-skjema/veiledere/databehandleravtale/
Hvem er hvem? Du som driver en liten bedrift i Norge, kalles behandlingsansvarlig. De du kjøper tjenester av, kalles databehandlere.
I noen få tilfeller kan du være både behandlingsansvarlig og databehandler hvis du har en egen server med regnskapsprogram inne i din bedrift. Du har da et stort ansvar for personvernoplysninger.
Hva må med i en databehandleravtale?
Formålet med behandlingen
Kategorier av registrerte
Pliktene og rettighetene til den behandlingsansvarlige
1: Bokstav a) Bare behandle personopplysninger etter skriftlig instruks fra den behandlingsansvarlige
2: Bokstav b) Plikt til at autoriserte personer behandler personopplysningene fortrolig
3: Bokstav c) Plikt til å ha tilfredsstillende sikkerhetstiltak
4: Bokstav d) Bruk av annen databehandler (underleverandør)
5: Bokstav e) Bistand til å svare på anmodninger som gjelder de registrertes rettigheter
6: Bokstav f) Bistand til den behandlingsansvarlige
7: Bokstav g) Avslutning av avtalen
8: Bokstav h) Tilgjengelig info
Se fullstendig tekst i vår abbonementsløsning på gdpr.pvern.no
Få mer GDPR-hjelp
Ta kontakt med Ragnvald Holst-Larsen på info@romerike.com for mer informasjon eller for å avtale et telefonmøte. Se vår GDPR-tjeneste her.