GDPR

Databehandling

Databehandleraftaler gør det muligt for jer i forbund og foreninger at bruge leverandører til databehandling på en sikker og GDPR-compliant måde – med klare krav til ansvar og datasikkerhed.

En databehandleraftale er en skriftlig aftale mellem en dataansvarlig (forbundet eller foreningen) og en databehandler (en leverandør), der behandler personoplysninger på den dataansvarliges vegne.

I forbund og foreninger indgås databehandleraftaler typisk, når der anvendes eksterne systemer eller leverandører, fx til hjemmesider, cookiehåndtering, nyhedsbreve, ansøgninger, tids- og lønregistrering, kursusadministration, medlemsadministration og Microsoft 365.

Hvorfor skal man lave databehandlingsaftaler?

En databehandleraftale er nødvendig for at sikre overholdelse af GDPR og for at beskytte både dataansvarliges og databehandlerens interesser.

Der er flere vigtige grunde til at indgå en databehandleraftale, når vi lader en leverandør håndtere personoplysninger på vores vegne:

Overholdelse af GDPR: Aftalen er et krav ifølge GDPR, da den dokumenterer, at reglerne for databeskyttelse overholdes.
Sikkerhed og beskyttelse: Aftalen sikrer, at databehandleren beskytter de behandlede data på en passende måde og følger den dataansvarliges instrukser.
Ansvar og roller: Aftalen definerer tydeligt ansvarsfordelingen og sikrer, at begge parter forstår deres roller og forpligtelser.

Sådan gør du når du skal indgå en databehandleraftale

Find inspiration i Datatilsynets standardskabelon: Anvend skabelonen til at sikre, at alle nødvendige informationer er med i aftalen. [Link til Datatilsynets standardskabelon]
Aftalen skal indeholde specifik information om:

Behandlingens omfang: Hvilke data behandles, og hvor længe?
Formål med behandlingen: Hvorfor behandles data?
Instruks: Databehandlerens pligt til at følge instrukser fra den dataansvarlige.
Datasikkerhed: Foranstaltninger til at sikre behandlingen.
Tavshedspligt: Pligt til at behandle oplysninger fortroligt.
Brug af underdatabehandlere: Hvem der må bruges til viderebehandling af data.
Tilsyn: Hvordan den dataansvarlige kan føre tilsyn med databehandleren.
Håndtering ved aftalens ophør: Hvad sker der med data, når aftalen udløber?

Opbevaring af aftalen: Underskrevne aftaler opbevares (helst digitalt) et samlet sted sammen med oversigt for over alle de underskrevne aftaler.

Risikovurdering

Forbundet skal foretage en risikovurdering af alle databehandler for at sikre, at der føres passende tilsyn. Tilsynet afhænger af, om databehandleren betragtes som en ”lav risiko” (en score på 5 eller derunder) eller en ”høj risiko” (6 point eller derover).

Et billede, der indeholder tekst, skærmbillede, Font/skrifttype, linje/række

AI-genereret indhold kan være ukorrekt.

Hvorfor er databehandleraftaler vigtige?

En databehandleraftale er nødvendig for at sikre overholdelse af GDPR og for at beskytte både dataansvarliges og databehandlerens interesser.

Der er flere vigtige grunde til at indgå en databehandleraftale, når vi lader en leverandør håndtere personoplysninger på vores vegne:

Overholdelse af GDPR: Aftalen er et krav ifølge GDPR, da den dokumenterer, at reglerne for databeskyttelse overholdes.
Sikkerhed og beskyttelse: Aftalen sikrer, at databehandleren beskytter de behandlede data på en passende måde og følger den dataansvarliges instrukser.
Ansvar og roller: Aftalen definerer tydeligt ansvarsfordelingen og sikrer, at begge parter forstår deres roller og forpligtelser.

Gode tips

Undersøg hos udbyderen af jeres It-system, om de har en standard databehandleraftale som I kan læse og underskrive.

Mange store udbydere af IT-systemer inkluderer databehandleraftalen i deres brugervilkår ofte kaldet en ”DPA” Data Processing Adddendum, og der indgås dermed en aftale ved accept af brugervilkårene.

En kopi af brugervilkårene skal i disse tilfælde gemmes som den underskrevne databehandleraftale