Etter innføringen av GDPR i 2018 har en rekke virksomheter opplevd hvor ressurskrevende det er å sikre etterlevelse av regelverket. En av utfordringene er databehandleravtaler. Mange har brukt, og fortsatt bruker, mye tid på å både forhandle- og å opprette slike avtaler. Endelig har det kommet en standard databehandleravtale som kan benyttes, men likevel foreligger det utfordringer med innhold i selve avtalen og hvordan databehandler skal forholde seg til sine forpliktelser etter avtalen i praksis.
...Men først litt grunnleggende informasjon om databehandleravtaler.
Hva er en databehandleravtale, når må man inngå en slik avtale og hvorfor er det viktig?
En databehandleravtale er en skriftlig avtale mellom behandlingsansvarlig og databehandler, og omhandler hvordan personopplysninger skal behandles på vegne av virksomheten. Avtalen skal sikre at personopplysninger blir behandlet i samsvar med personvernforordningen, og regulerer rettigheter og plikter for både behandlingsansvarlig og databehandler.
Å behandle personopplysninger vil si all bruk av personopplysninger; samle, lagre, sammenstilling og utlevering er bare noen få eksempler.
En databehandleravtale må etter personvernforordningen inngås når en behandlingsansvarlig setter ut hele eller deler av behandlingen av personopplysninger til en annen aktør. Denne aktøren vil da opptre som databehandler som behandler personopplysninger på vegne av behandlingsansvarlig. I tillegg må en slik avtale opprettes hvis en databehandler velger å benytte en annen virksomhet, underdatabehandler, til å assistere i behandlingen av personopplysninger for behandlingsansvarlig.
Det er viktig å ha databehandleravtale på plass for at databehandlere og behandlingsansvarlige skal oppfylle sine forpliktelser etter loven. Det er også viktig å ha databehandleravtale for at virksomheten skal kunne beskytte personopplysningene til de menneskene som får sine opplysninger behandlet tilstrekkelig.
Standard databehandleravtale
Det danske datatilsynet laget i starten av 2019 et utkast til en databehandleravtale. Deretter startet de en prosess hvor databehandleravtalen ble kvalitetssikret og forankret i det europeiske personvernrådet (EDPB). Det norske datatilsynet har kommet med en norsk versjon av denne databehandleravtalen som alle virksomheter kan bruke ved inngåelse av slik avtale.
Den klare fordelen med å benytte denne standard databehandleravtalen, er for det første at man ikke trenger å bruke tid på formatet, slik at man kan fokusere på selve innholdet i avtalen som må fylles ut av de aktuelle partene. Dette vil spare både behandlingsansvarlig- og databehandler mye tid og ressurser ved at prosessen mellom partene vil bli enklere.
Det danske datatilsynet har uttalt at for virksomheter som benytter standard databehandleravtalen vil datatilsynet ikke etterprøve allerede fastlagt innhold i databehandleravtalen i forbindelse med et tilsyn.
Enda en fordel ved å benytte denne standard databehandleravtalen er at man sikker på avtalen dekker minimumskravene etter personvernlovgivningen. Hvis det er punkter man har lyst til å inkludere i avtalen, som ikke strider imot reglene i personvernforordningen, og som ikke er inkludert i standardavtalen, kan slike forhold inkluderes i vedlegg D. Noen vil tenke at ansvar som ikke er regulert i standard databehandleravtalen, vil kunne inkluderes i avtalen her eller eventuelt i de kommersielle betingelsene. Imidlertid er det å avtale ansvar unødvendig ettersom at det er tilstrekkelig regulert gjennom GDPR.
I tillegg er det en fordel at standard databehandleravtalen kan brukes innad i bransjer, og i tillegg til på tvers av bransjer, både nasjonalt og internasjonalt.
Ved å anvende standardavtalen kan dermed virksomhetene tidseffektivt sikre gode avtaler og samarbeid, som etterlever personvernforordningen på tvers av virksomheter.
Det kan være vanskelig å finne standard databehandleravtalen, og derfor kan du laste den ned her.
Utfordringer
Selv om man benytter standard databehandleravtalen, kan det fortsatt oppstå utfordringer med innholdet i avtalen. Det er viktig at feltene i malen som må fylles ut er tilstrekkelig beskrevet. Slik kan virksomhetene unngå behovet for hyppige revisjoner avtalen.
Ved utarbeidelsen av databehandleravtaler er det ofte en utfordring at behandlingsansvarlig ikke vet nok om teknologien og sikkerheten ved et system. I praksis har dette medført at det ofte er databehandler som har utarbeidet databehandleravtalen, til tross for at det er behandlingsansvarlig som skal gi instruksjon ved behandlingen. Svakheten ved dette er at databehandleren ikke vet hvordan behandlingsansvarlig egentlig bruker systemet.
Det hender også at de som utarbeider avtalene ikke har tilstrekkelig kjennskap til faktisk operativ bruk, men er en del av en profesjonell innkjøpsorganisasjon eller de juridiske tjenestene. For begge parter blir det derfor vanskelig å sikre konsistens med øvrig dokumentasjon, som protokoll over behandlingsaktiviteter og oppfølging i internkontrollen.
ICONFIRM
ICONFIRM har utviklet en modul som ivaretar samhandlingen mellom behandlingsansvarlig og databehandler, uavhengig om det er den ene, andre eller begge som har abonnement på tjenesten.
-
Både behandlingsansvarlig og databehandler kan bli tildelt rett til å vedlikeholde egen informasjon. På denne måten kan de som sitter tettest på kunnskapen også ha ansvaret.
-
Utkast til databehandleravtale skapes direkte fra systemoversikten.
-
Løsningen sikrer konsistens i dokumentasjonen for begge parter, løpende.
-
Som en del av løsningen kan man også sikre samhandlingen i forhold til de registrertes rettigheter med mulighet for automatisk varsling og utveksling av filer/data.
-
Løsningen gir også partene mulighet å møte pålagte krav til protokoll.
