Data Processing Addendum Norway
Personvernforordningen (GDPR) art. 28; personopplysningsloven (2018)
VEDLEGG OM DATABEHANDLING
til [Underliggende Avtale]
mellom [Ansvarlig Navn] (Behandlingsansvarlig) og [Databehandler Navn] (Databehandler)
1. INNLEDNING OG RETTSLIG GRUNNLAG
Dette vedlegget om databehandling ("Vedlegget") utgjør en integrert del av [Underliggende Avtale] mellom [Ansvarlig Navn], organisasjonsnummer [Ansvarlig Orgnr] ("Behandlingsansvarlig") og [Databehandler Navn], organisasjonsnummer [Databehandler Orgnr] ("Databehandler"). Vedlegget er inngått i medhold av personvernforordningen (GDPR) artikkel 28 nr. 3, som gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018). Ved motstrid mellom Vedlegget og den underliggende tjenesteavtalen, går Vedlegget foran i spørsmål om personvern.
2. BEHANDLINGENS GJENSTAND OG OMFANG
Databehandler skal behandle personopplysninger på vegne av Behandlingsansvarlig for følgende formål: [Behandlings Formaal]. Behandlingen gjelder følgende kategorier av personopplysninger: [Opplysningstyper]. De registrerte er: [Registrerte Kategorier].
Geografisk lagringssted: [Lagringssted]. Maksimal lagringstid: [Lagringstid]. Databehandler kan ikke behandle personopplysningene for andre formål enn de uttrykkelig angitt ovenfor uten skriftlig forhåndsgodkjenning fra Behandlingsansvarlig etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav a.
3. DATABEHANDLERENS FORPLIKTELSER
Databehandler forplikter seg til å: (a) utelukkende behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig etter artikkel 28 nr. 3 bokstav a; (b) sikre at personell med tilgang til personopplysninger har påtatt seg taushetsplikt eller er underlagt lovbestemt taushetsplikt etter bokstav b; (c) iverksette egnede tekniske og organisatoriske sikkerhetstiltak etter artiklene 28 nr. 3 bokstav c og 32 på minimumsnivå: [Sikkerhetsnivaa]; (d) varsle Behandlingsansvarlig om brudd på personopplysningssikkerheten innen [Avviksfrist] etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav f; (e) bistå Behandlingsansvarlig med de registrertes rettigheter etter kapittel 3; og (f) stille til rådighet all informasjon som er nødvendig for å dokumentere overholdelse etter bokstav h.
4. UNDERDATABEHANDLERE
Databehandler kan ikke engasjere underdatabehandler uten skriftlig forhåndsgodkjenning fra Behandlingsansvarlig etter personvernforordningen (GDPR) artikkel 28 nr. 2. Databehandler skal pålegge enhver underdatabehandler de samme forpliktelsene om databeskyttelse som følger av dette Vedlegget, og er fullt ut ansvarlig for at underdatabehandleren overholder sine forpliktelser. Planlagte endringer av underdatabehandlere skal meddeles Behandlingsansvarlig med 30 dagers varsel, slik at det gis mulighet til å protestere.
5. OVERFØRING TIL TREDJELAND
Overføring av personopplysninger til land utenfor EØS krever et gyldig overføringsgrunnlag etter personvernforordningen (GDPR) artiklene 44 til 49, for eksempel et adekvansbeslutning etter artikkel 45, standard personvernbestemmelser (SCC) etter artikkel 46 nr. 2, eller et annet egnet vernetiltak. Databehandler skal dokumentere det rettslige grunnlaget for overføringen og stille dokumentasjonen til rådighet for Behandlingsansvarlig på forespørsel.
6. SLUTTBEHANDLING VED AVTALENS OPPHØR
Ved opphør av dette Vedlegget eller den underliggende tjenesteavtalen skal Databehandler etter Behandlingsansvarligs valg slette eller returnere alle personopplysningene og dokumentere at dette er utført. Lagringstiden er: [Lagringstid]. Plikten til sletting er begrenset av lovpålagt oppbevaringsplikt etter norsk rett, herunder bokføringsloven (2004) § 13 og arkivloven (1992).
SIGNATURER
Behandlingsansvarlig: [Ansvarlig Navn], organisasjonsnummer [Ansvarlig Orgnr].
Underskrift: ___________________________ Dato: _____________
Databehandler: [Databehandler Navn], organisasjonsnummer [Databehandler Orgnr].
Underskrift: ___________________________ Dato: _____________
Behandlingsansvarlig
________________
Signature
Databehandler
________________
Signature
What Is a Data Processing Addendum Norway?
A Data Processing Addendum (DPA) in Norway (databehandling vedlegg) is a supplementary document that is appended to an existing service agreement when the service provider processes personal data on behalf of the customer. It implements the mandatory requirements of the General Data Protection Regulation (GDPR) article 28, which applies in Norway through the EEA Agreement and is incorporated into Norwegian law by the Personopplysningsloven (2018). Unlike a standalone Data Processing Agreement, an addendum modifies an existing commercial contract to bring it into compliance with GDPR without replacing the primary business terms.
When Do You Need a Data Processing Addendum Norway?
Databehandling vedlegg i Norge er nødvendig i alle situasjoner der en eksisterende tjenesteavtale ikke allerede inneholder tilstrekkelige GDPR-bestemmelser om databehandling.
Skybaserte programvaretjenester (SaaS). Alle virksomheter som bruker skybaserte programvaretjenester som CRM-systemer, regnskapssystemer, HR-systemer, markedsføringsplattformer og kundeserviceprogrammer, behandler personopplysninger via en databehandler. Dersom den eksisterende abonnementsavtalen ikke inneholder tilstrekkelige GDPR-bestemmelser, kreves et databehandling vedlegg. Mange store SaaS-leverandører tilbyr egne DPA-er, men disse bør kontrolleres mot kravene i personvernforordningen (GDPR) artikkel 28.
Hosting og infrastrukturtjenester. Virksomheter som benytter ekstern hosting av nettsteder, databaser eller applikasjoner der det lagres personopplysninger, trenger et databehandling vedlegg med hostingleverandøren. Dette gjelder uavhengig av om hostingen er «shared» eller «dedicated», og uavhengig av om datasenteret er i Norge, EU eller utenfor EØS.
IT-drift og systemvedlikehold. IT-selskaper som drifter og vedlikeholder systemer med personopplysninger på vegne av kunder, er databehandlere som krever databehandling vedlegg. Dette inkluderer support-avtaler der IT-leverandøren har fjernaksess til systemer med personopplysninger, og vedlikeholdsavtaler for systemer som behandler lønn, HR eller kundedata.
Regnskaps- og revisjonstjenester. Regnskapsbyråer og revisorer som behandler personopplysninger om ansatte, kunder og leverandører på vegne av virksomheter, er databehandlere etter personvernforordningen (GDPR) artikkel 4 nr. 8. Den eksisterende regnskapsavtalen mangler typisk GDPR-bestemmelser, og et databehandling vedlegg er nødvendig.
Analyse- og sporingstjenester. Bruk av tredjeparts analysetjenester som Google Analytics, Adobe Analytics eller liknende for å spore brukeradferd på nettsteder, krever et databehandling vedlegg dersom behandlingen innebærer behandling av personopplysninger (IP-adresser, cookie-identifikatorer, brukeradferd). Merk at noen analyseleverandører kan opptré som selvstendige behandlingsansvarlige for deler av behandlingen.
Betalingsbehandling. Betalingsgatewayer og betalingsleverandører som behandler transaksjonsdata på vegne av virksomheten, kan trenge et databehandling vedlegg. Avklaringen av om leverandøren er en databehandler eller selvstendig behandlingsansvarlig, er avgjørende: mange betalingsleverandører er selvstendige behandlingsansvarlige for deler av behandlingen etter personvernforordningen (GDPR).
Andre konsulenter og tjenesteleverandører. Enhver ekstern konsulent eller tjenesteleverandør som er gitt tilgang til virksomhetens systemer med personopplysninger, og som handler etter instruksjon fra virksomheten, er en potensiell databehandler som krever databehandling vedlegg. Kartlegging av alle tredjeparter med tilgang til personopplysninger er et viktig første steg.
What to Include in Your Data Processing Addendum Norway
Et komplett Databehandling vedlegg Norge inneholder følgende nøkkelelementer for å oppfylle kravene i personvernforordningen (GDPR) artikkel 28 og personopplysningsloven (2018).
Kobling til den underliggende tjenesteavtalen. Vedlegget skal uttrykkelig identifisere den underliggende tjenesteavtalen det er knyttet til (navn og dato), og angi at det utgjør en integrert del av den avtalen. En prioritetsbestemmelse som slår fast at vedlegget ved motstrid går foran i spørsmål om personvern, er viktig for å unngå tolkningskonflikter.
Partenes identifikasjon med organisasjonsnummer. Begge parter skal identifiseres med navn og organisasjonsnummer (ni sifre) fra Brønnøysundregistrene. Dette er særlig viktig for vedlegg der parten er en norsk virksomhet som er juridisk ansvarlig for etterlevelse overfor Datatilsynet.
Behandlingens formål, kategorier og lagringstid. Vedlegget skal konkret angi formålene med behandlingen, kategoriene av personopplysninger og kategoriene av registrerte etter personvernforordningen (GDPR) artikkel 28 nr. 3. Lagringstid og hva som skjer med opplysningene ved avtalens opphør, skal angis med referanse til den maksimale lagringstiden.
Geografisk lagringssted og overføringsgrunnlag. Vedlegget skal angi om personopplysningene lagres innenfor EØS eller om det overføres til tredjeland. For tredjelandsoverføringer skal det angitte overføringsgrunnlaget etter personvernforordningen (GDPR) artiklene 44 til 49 (adekvansbeslutning, SCC eller annet vernetiltak) dokumenteres.
Sikkerhetstiltak etter GDPR artikkel 32. Vedlegget skal angi et minimumsnivå for tekniske og organisatoriske sikkerhetstiltak, tilpasset sensitiviteten til personopplysningene. Kryptering i transit og hvile, tilgangskontroll, logging og avviksdeteksjon er minimumskrav for ordinære opplysninger. forms-legal.com bibliotekets informasjonssikkerhetspolicy er et nyttig supplement.
Avviksmeldeplikt med intern frist. Vedlegget skal angi at databehandler varsler behandlingsansvarlig innen en konkret intern frist (for eksempel 24 timer) ved brudd på personopplysningssikkerheten. Fristen må være kortere enn Datatilsynets 72-timers frist etter personvernforordningen (GDPR) artikkel 33.
Underdatabehandlere. Vedlegget skal regulere engasjement av underdatabehandlere, herunder krav til forhåndsgodkjenning fra behandlingsansvarlig, krav til underdatabehandleravtale med samme forpliktelser, og prosessen for å varsle om planlagte endringer. Disse kravene følger av personvernforordningen (GDPR) artikkel 28 nr. 2 og 4.
Sluttbehandling. Vedlegget skal angi at databehandler ved avtalens opphør sletter eller returnerer alle personopplysningene og dokumenterer dette, med de begrensningene som følger av lovpålagt oppbevaringsplikt etter bokføringsloven (2004) § 13 og arkivloven (1992).
How to Fill Out Your Data Processing Addendum Norway
Å fylle ut et Databehandling vedlegg Norge korrekt krever at man følger trinnene nedenfor for å sikre at vedlegget oppfyller kravene i personvernforordningen (GDPR) artikkel 28 og personopplysningsloven (2018).
Trinn 1 — Identifiser den underliggende tjenesteavtalen. Angi tittelen og datoen for den tjenesteavtalen vedlegget er knyttet til, for eksempel «Tjenesteavtale for CRM-drift av 15.01.2026». Dette er viktig for å unngå tvil om hvilken avtale vedlegget gjelder.
Trinn 2 — Fyll inn partenes navn og organisasjonsnummer. Angi behandlingsansvarligs og databehandlerens fulle navn og organisasjonsnummer (ni sifre) fra Enhetsregisteret. Kontroller at navnene stemmer med registreringen hos Brønnøysundregistrene for å sikre korrekt rettslig identifikasjon.
Trinn 3 — Beskriv behandlingens formål, kategorier og registrerte. Angi konkret hva databehandler skal gjøre med personopplysningene og til hvilke formål. Vær spesifikk — generelle formuleringer som «driftstjenester» er ikke tilstrekkelig. Angi kategoriene av personopplysninger (for eksempel navn, adresse, e-post, betalingsopplysninger) og hvem opplysningene gjelder.
Trinn 4 — Angi geografisk lagringssted. Velg om personopplysningene lagres innenfor EØS eller om det overføres til tredjeland. Dersom leverandøren bruker datasentre i USA, Asia eller andre land utenfor EØS, velg «utenfor EØS» og kontroller at leverandøren har et gyldig overføringsgrunnlag etter personvernforordningen (GDPR) artikkel 44 til 49.
Trinn 5 — Angi lagringstid. Spesifiser maksimal lagringstid for personopplysningene og hva som skjer med dem ved avtalens opphør. Husk at lovpålagt oppbevaringsplikt etter bokføringsloven (2004) § 13 (fem år for regnskapsopplysninger) begrenser sletteretten.
Trinn 6 — Velg minimumsnivå for sikkerhetstiltak. Velg sikkerhetsnivå basert på sensitiviteten til personopplysningene som behandles. For kontaktopplysninger og kjøpshistorikk er standardsikkerhet normalt tilstrekkelig. For helseopplysninger, genetiske data eller betalingskortdata kreves et høyere sikkerhetsnivå.
Trinn 7 — Velg intern varslingsfrist for avvik. Velg en intern varslingsfrist som gir behandlingsansvarlig nok tid til å melde avviket til Datatilsynet innen 72-timers fristen etter personvernforordningen (GDPR) artikkel 33. En frist på 24 timer er standard og anbefales.
Trinn 8 — Signer vedlegget. Begge parter skal undertegne vedlegget og knytte det til den underliggende tjenesteavtalen. Vedlegget bør oppbevares i hele avtalens løpetid og i minst tre år etter opphør, som dokumentasjon på etterlevelse av personvernforordningen (GDPR) etter ansvarlighetsprinsippet i artikkel 5 nr. 2.
Legal Requirements for Data Processing Addendum Norway
Databehandling vedlegg Norge er underlagt kravene i personvernforordningen (GDPR) artikkel 28 og tilgrensende bestemmelser i personopplysningsloven (2018).
Obligatorisk krav til skriftlig form etter GDPR artikkel 28 nr. 3. Avtalen mellom behandlingsansvarlig og databehandler skal etter personvernforordningen (GDPR) artikkel 28 nr. 3 inngås skriftlig, «herunder i elektronisk form». Et signert vedlegg til tjenesteavtalen oppfyller dette kravet. Manglende skriftlighet er et brudd på personvernforordningen (GDPR) som Datatilsynet kan reagere mot med overtredelsesgebyr.
Minstekravene til avtalens innhold etter GDPR artikkel 28 nr. 3. Vedlegget skal dekke samtlige punkter i artikkel 28 nr. 3 bokstavene a til h: instrukser, taushetsplikt, sikkerhetstiltak, underdatabehandlere, bistand til de registrertes rettigheter, bistand til sikkerhetsplikt og DPIA, sluttbehandling og revisjon. Et vedlegg som mangler ett eller flere av disse elementene, er ikke i samsvar med personvernforordningen (GDPR).
Sikkerhetskrav etter GDPR artikkel 32. Databehandler er selvstendig forpliktet til å iverksette egnede tekniske og organisatoriske tiltak etter personvernforordningen (GDPR) artikkel 32 nr. 1. Tiltakene skal tilpasses risikoen og kan omfatte pseudonymisering og kryptering, evne til å sikre konfidensialitet og integritet, evne til å gjenopprette tilgjengeligheten, og regelmessig testing. Artikkel 32 nr. 4 slår fast at databehandler skal sikre at ansatte behandler personopplysningene bare etter instrukser.
Tredjelandsoverføringer etter GDPR artiklene 44–49. Overføring av personopplysninger til land utenfor EØS krever et gyldig overføringsgrunnlag. Etter Schrems II-avgjørelsen fra EU-domstolen (C-311/18) er det norske virksomheter og deres leverandørers ansvar å kontrollere at overføringen er dekket av et gyldig vernetiltak. EU-kommisjonens standard personvernbestemmelser (SCC) av 2021 er det vanligste overføringsgrunnlaget for leverandører i USA og andre land uten adekvansbeslutning.
Ansvar og sanksjoner etter GDPR artiklene 82–84. Behandlingsansvarlig er ansvarlig for all behandling i henhold til forordningen, inkludert behandlingen databehandleren utfører. Datatilsynet kan ilegge overtredelsesgebyr på inntil 10 millioner euro eller 2 prosent av global omsetning for brudd på artikkel 28, etter det høyeste beløpet. Den registrerte har rett til erstatning etter artikkel 82. Databehandleren kan holdes ansvarlig der den har handlet uten instrukser fra behandlingsansvarlig eller i strid med forordningen.
Forholdet til norsk sektorlovgivning. Vedlegget suppleres av sektorspesifikke krav. Helseforskningsloven (2008) og helseregisterloven (2014) har strengere krav til behandling av helseopplysninger. Finansforetaksloven (2015) og verdipapirhandelloven (2007) regulerer behandling av finansdata. Sikkerhetsloven (2018) gjelder ved behandling av skjermingsverdig informasjon. Disse sektorlovene kan sette strengere krav enn personvernforordningen (GDPR) og bør hensyntas ved utformingen av vedlegget.
Common Mistakes to Avoid in Your Data Processing Addendum Norway
Vanlige feil ved utforming av Databehandling vedlegg i Norge kan medføre at vedlegget ikke oppfyller kravene i personvernforordningen (GDPR) artikkel 28 og personopplysningsloven (2018).
Feil 1 — Vedlegget stemmer ikke overens med tjenesteavtalen. Et vedlegg med motstridende bestemmelser om lagringstid, behandlingens omfang eller sikkerhetsnivå skaper rettslig usikkerhet. Løsning: les nøye gjennom den underliggende tjenesteavtalen og sørg for at vedlegget er konsistent med den, med en prioritetsbestemmelse som slår fast at vedlegget går foran i personvernspørsmål.
Feil 2 — For vage formålsbeskrivelser. Formål som «levering av tjenester» eller «driftstjenester» er ikke konkrete nok til å oppfylle kravene i personvernforordningen (GDPR) artikkel 28 nr. 3. Databehandler kan lovlig behandle opplysningene for ethvert formål som faller innenfor den vage beskrivelsen. Løsning: beskriv formålet konkret og spesifikt, for eksempel «lagring og vedlikehold av kundedata i CRM-system X, herunder sikkerhetskopiering daglig til AWS Ireland».
Feil 3 — Manglende regulering av tredjelandsoverføringer. Et vedlegg som ikke adresserer tredjelandsoverføringer, men der leverandøren faktisk bruker datasentre utenfor EØS, er mangelfull. Løsning: undersøk leverandørens datasentrumplasseringer, angi overføringsgrunnlaget og krev at leverandøren dokumenterer det.
Feil 4 — Intern varslingsfrist lenger enn 72 timer. En intern varslingsfrist på 72 timer gir behandlingsansvarlig ingen buffer til å vurdere avviket og melde det til Datatilsynet i tide. Løsning: angi en intern frist på 12 til 24 timer, slik at behandlingsansvarlig har tilstrekkelig tid til å oppfylle sin 72-timers plikt etter personvernforordningen (GDPR) artikkel 33.
Feil 5 — Vedlegget signeres etter at behandlingen er startet. Plikten til å ha en databehandleravtale gjelder fra det øyeblikket databehandleren begynner å behandle personopplysningene på behandlingsansvarliges vegne. Å signere vedlegget i etterkant er allerede et brudd. Løsning: sørg for at vedlegget er signert før leverandøren starter behandlingen.
Feil 6 — Manglende oppdatering ved vesentlige endringer. Et vedlegg som ikke oppdateres når behandlingens omfang, lagringssted eller underdatabehandlere endres vesentlig, er utdatert og kan ikke lenger dokumentere etterlevelse. Løsning: etabler en prosess for å gjennomgå og oppdatere vedlegget ved vesentlige endringer, og ved leverandørskifte.
Feil 7 — Ikke-norskspråklige vedlegg uten oversettelse. Leverandørers engelskspråklige DPA-er bør kontrolleres mot kravene i personvernforordningen (GDPR) artikkel 28 og eventuelt oversettes for å sikre at alle plikter er korrekt forstått. Datatilsynets inspektører kan be om vedlegg på norsk eller norsk sammendrag.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Data Processing Addendum Norway (Norway) [Legal document template]. Forms Legal. https://forms-legal.com/norge/business/policies/data-processing-addendum
"Data Processing Addendum Norway (Norway)." Forms Legal, 2026, https://forms-legal.com/norge/business/policies/data-processing-addendum.
@misc{formslegal-data-processing-addendum,
author = {{Forms Legal}},
title = {Data Processing Addendum Norway (Norway)},
year = {2026},
howpublished = {\url{https://forms-legal.com/norge/business/policies/data-processing-addendum}},
note = {Free legal document template}
}Frequently Asked Questions
Et databehandling vedlegg er et tilleggsdokument som knyttes til en eksisterende tjenesteavtale og supplerer den med GDPR-bestemmelser om behandling av personopplysninger. En selvstendig databehandleravtale er et frittstående dokument som regulerer all behandling mellom partene uten å forutsette en annen avtale. Rettslig er de likestilte — begge oppfyller kravet til skriftlig form etter personvernforordningen (GDPR) artikkel 28 nr. 3. Vedleggsmodellen er å foretrekke der det allerede eksisterer en tjenesteavtale, da det unngår motstrid mellom to separate dokumenter om forretningsvilkårene. De fleste internasjonale SaaS-leverandører benytter vedleggsmodellen. Datatilsynet godtar begge modeller.
Det er mulig å bruke leverandørens standardvedlegg dersom det oppfyller minstekravene i personvernforordningen (GDPR) artikkel 28 nr. 3 bokstavene a til h. Det er behandlingsansvarligs ansvar å kontrollere at standardvedlegget faktisk dekker alle de obligatoriske elementene. Særlig bør man kontrollere at avviksmeldingsfristen er kort nok (helst 24 timer), at underdatabehandlere er angitt med godkjenningsprosess, at det finnes et gyldig overføringsgrunnlag dersom leverandøren lagrer data utenfor EØS, og at lagringstid og sluttbehandling er regulert. Dersom standardvedlegget mangler ett eller flere elementer, bør det forhandles om tillegg. Behandlingsansvarlig kan ikke skyve ansvaret over på leverandøren — det er behandlingsansvarlig som er forpliktet overfor Datatilsynet.
Overføring av personopplysninger fra Norge til USA krever et gyldig overføringsgrunnlag etter personvernforordningen (GDPR) artiklene 44 til 49. USA er ikke dekket av et generelt adekvansbeslutning som EU-landene. Det vanligste overføringsgrunnlaget er EU-kommisjonens standard personvernbestemmelser (SCC) av juni 2021, kombinert med en overføringsvurdering (Transfer Impact Assessment, TIA) for å kontrollere at det amerikanske rettssystemet ikke undergraver beskyttelsen. Siden Data Privacy Framework (DPF) trådte i kraft i 2023 og ble anerkjent med adekvansbeslutning av EU-kommisjonen, kan overføring til DPF-sertifiserte amerikanske selskaper baseres på adekvansbeslutningen uten SCC. Databehandling vedlegget bør angi det konkrete overføringsgrunnlaget leverandøren bruker, og kreve at leverandøren dokumenterer og holder det à jour.
Databehandling vedlegget er uløselig knyttet til den underliggende tjenesteavtalen og opphører samtidig med den. Ved opphøret plikter databehandleren å slette eller returnere alle personopplysningene etter behandlingsansvarliges valg, i samsvar med vedleggets bestemmelser om sluttbehandling og personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav g. Vedlegget bør oppbevares i minst tre år etter opphør som dokumentasjon på etterlevelse. Husk at plikten til sletting begrenses av lovpålagt oppbevaringsplikt, for eksempel fem år for regnskapsopplysninger etter bokføringsloven (2004) § 13. Dersom tjenesteavtalen fornyes eller erstattes av en ny avtale, bør det vurderes om vedlegget skal videreføres uendret eller reforhandles.
Behandlingsansvarlig har plikt til å melde brudd på personopplysningssikkerheten til Datatilsynet innen 72 timer etter å ha blitt kjent med bruddet etter personvernforordningen (GDPR) artikkel 33. For å ha tilstrekkelig tid til å vurdere omfanget og alvorligheten av et avvik og utforme en korrekt melding til Datatilsynet, bør den interne fristen for databehandlerens varsling til behandlingsansvarlig være betydelig kortere. En frist på 24 timer er anbefalt og vanligst brukt. En frist på 12 timer gir enda mer buffer, men kan være vanskelig å overholde ved avvik oppdaget utenfor normal arbeidstid. Fristen bør angis som «[X] timer etter at avviket er oppdaget», ikke «innenfor virkedager», da alvorlige avvik ikke tar pauser i helger.
Utgangspunktet er at et databehandling vedlegg er knyttet til den konkrete tjenesteavtalen det er inngått til. Dersom en virksomhet har flere separate tjenesteavtaler med samme leverandør, er det i prinsippet nødvendig med et vedlegg til hver avtale. I praksis er det imidlertid vanlig at leverandøren tilbyr ett overordnet databehandlingsvedlegg som dekker alle tjenestene, supplert med servicespesifikke tillegg som angir behandlingens formål og kategorier for den konkrete tjenesten. Behandlingsansvarlig bør kontrollere at et overordnet vedlegg faktisk dekker alle tjenestene og alle de relevante behandlingene. Det viktige er at vedlegget er dekkende for den konkrete behandlingen av personopplysninger som skjer.
Manglende databehandling vedlegg der det er påkrevd, er et brudd på personvernforordningen (GDPR) artikkel 28 som Datatilsynet kan reagere mot. Datatilsynet kan gi advarsler og irettesettelser, pålegge virksomheten å bringe behandlingen i samsvar med forordningen, og ilegge overtredelsesgebyr på inntil 10 millioner euro eller 2 prosent av total global omsetning etter det høyeste beløpet, jf. personvernforordningen (GDPR) artikkel 83 nr. 4. Datatilsynets vedtak kan påklages til Personvernnemnda. I tillegg kan registrerte kreve erstatning etter artikkel 82. Manglende vedlegg er særlig problematisk ved avvik, da behandlingsansvarlig da ikke kan dokumentere at databehandleren var forpliktet til korrekte sikkerhetstiltak og avviksvarsling. Å ha korrekte vedlegg på plass er dermed et fundamentalt element i virksomhetens GDPR-etterlevelse.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Databehandleravtale Norge
Databehandleravtale som regulerer behandling av personopplysninger på vegne av behandlingsansvarlig etter personvernforordningen (GDPR) artikkel 28 og personopplysningsloven (2018). Fastsetter instrukser, taushetsplikt, sikkerhetstiltak, underdatabehandlere, avviksmeldeplikt og sluttbehandling av opplysninger.
Personvernerklæring Norge
Personvernerklæring for nettsteder og virksomheter etter personvernforordningen (GDPR) artiklene 13 og 14, personopplysningsloven (2018) og ekomloven. Beskriver behandlingsansvarlig, kategorier av opplysninger, rettslige grunnlag, lagringstid, de registrertes rettigheter, informasjonskapsler og klage til Datatilsynet.
Skytjenesteavtale Norge
Skriftlig skytjenesteavtale for IaaS, PaaS og skylagring mellom norsk skyleverandør og kunde, med innebygd GDPR-databehandleravtale. Regulert av avtaleloven (1918), personopplysningsloven (2018) og GDPR (EU 2016/679).