Data Processing Agreement Norway
Personvernforordningen (GDPR) art. 28; personopplysningsloven (2018)
DATABEHANDLERAVTALE
inngått mellom
[Ansvarlig Navn] (Behandlingsansvarlig)
og
[Databehandler Navn] (Databehandler)
1. PARTER
Behandlingsansvarlig: [Ansvarlig Navn], organisasjonsnummer [Ansvarlig Orgnr], [Ansvarlig Adresse]. Kontaktperson: [Ansvarlig Kontakt].
Databehandler: [Databehandler Navn], organisasjonsnummer [Databehandler Orgnr], [Databehandler Adresse]. Kontaktperson: [Databehandler Kontakt].
Denne databehandleravtalen er inngått i medhold av personvernforordningen (GDPR) artikkel 28 nr. 3, som gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018). Avtalen regulerer databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig.
2. AVTALENS GJENSTAND, VARIGHET OG FORMÅL
Databehandler skal behandle personopplysninger på vegne av behandlingsansvarlig for følgende formål: [Behandlings Formaal].
Behandlingen gjelder følgende kategorier av personopplysninger: [Opplysningstyper]. De registrerte er: [Registrerte Kategorier].
Avtalens varighet: [Avtale Slutt]. Databehandler kan ikke behandle personopplysningene for andre formål enn de uttrykkelig angitt ovenfor uten skriftlig forhåndsgodkjenning fra behandlingsansvarlig etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav a.
3. INSTRUKSER OG BEHANDLINGENS RAMMER
Databehandler skal utelukkende behandle personopplysninger etter dokumenterte instrukser fra behandlingsansvarlig etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav a. Dersom databehandler mener en instruks er i strid med forordningen eller annen unionsrett eller norsk personvernlovgivning, skal databehandler umiddelbart underrette behandlingsansvarlig.
Dersom behandling er pålagt etter unionsretten eller norsk rett, skal databehandler underrette behandlingsansvarlig om dette rettskravet før behandling utføres, med mindre slik underretning er forbudt av hensyn til viktige allmenne interesser.
4. TAUSHETSPLIKT
Databehandler skal sikre at personell med tilgang til personopplysninger har påtatt seg taushetsplikt eller er underlagt lovbestemt taushetsplikt etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav b. Taushetsplikten gjelder under avtalens løpetid og etter dens opphør. Databehandler er ansvarlig for at ansatte og underleverandørers ansatte overholder denne forpliktelsen.
5. SIKKERHETSTILTAK
Databehandler skal iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå tilpasset risikoen etter personvernforordningen (GDPR) artiklene 28 nr. 3 bokstav c og 32. Tiltakene skal blant annet omfatte: (a) pseudonymisering og kryptering av personopplysninger der dette er hensiktsmessig; (b) evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet for behandlingssystemene og -tjenestene; (c) evne til å gjenopprette tilgjengeligheten til personopplysninger innen rimelig tid ved en fysisk eller teknisk hendelse; (d) en prosess for regelmessig testing, vurdering og evaluering av effektiviteten av tekniske og organisatoriske tiltak.
6. UNDERDATABEHANDLERE
Databehandler kan ikke engasjere underdatabehandler uten skriftlig forhåndsgodkjenning fra behandlingsansvarlig etter personvernforordningen (GDPR) artikkel 28 nr. 2. Følgende underdatabehandlere er forhåndsgodkjent: [Underdatabehandler Liste].
Databehandler skal pålegge enhver underdatabehandler de samme forpliktelsene om databeskyttelse som følger av denne avtalen, ved underdatabehandleravtale som oppfyller kravene i personvernforordningen (GDPR) artikkel 28 nr. 4. Databehandler er fullt ut ansvarlig overfor behandlingsansvarlig for at underdatabehandleren overholder sine forpliktelser. Behandlingsansvarlig skal informeres om planlagte endringer av underdatabehandlere med rimelig varslingsfrist, slik at det gis mulighet til å protestere mot endringen.
7. BISTAND TIL BEHANDLINGSANSVARLIG
Databehandler skal bistå behandlingsansvarlig med oppfyllelse av de registrertes rettigheter etter personvernforordningen (GDPR) kapittel 3, herunder innsynsrett etter artikkel 15, retting etter artikkel 16, sletting etter artikkel 17, begrensning etter artikkel 18 og dataportabilitet etter artikkel 20.
Databehandler skal videre bistå behandlingsansvarlig med å oppfylle pliktene etter artiklene 32 til 36, herunder sikkerhetsplikt, underretning om og dokumentasjon av brudd på personopplysningssikkerheten, forhåndsdrøfting med Datatilsynet og vurdering av personvernkonsekvenser (DPIA). All bistand skal ytes innenfor rimelig tid og mot eventuelt avtalt vederlag.
8. MELDING OM BRUDD PÅ PERSONOPPLYSNINGSSIKKERHETEN
Databehandler skal underrette behandlingsansvarlig uten ugrunnet opphold og om mulig senest innen 24 timer etter å ha blitt kjent med et brudd på personopplysningssikkerheten etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav f, jf. artikkel 33. Underretningen skal angi bruddets art, berørte kategorier og anslått antall registrerte, anslått antall berørte personopplysningsposter, sannsynlige konsekvenser og trufne eller foreslåtte tiltak. Databehandler skal dokumentere alle brudd etter personvernforordningen (GDPR) artikkel 33 nr. 5.
9. REVISJON OG INNSYN
Databehandler skal stille til rådighet all informasjon som er nødvendig for å påvise at forpliktelsene i denne avtalen og personvernforordningen (GDPR) artikkel 28 overholdes, og skal legge til rette for og bidra til revisjoner og inspeksjoner utført av behandlingsansvarlig eller en revisor bemyndiget av behandlingsansvarlig etter artikkel 28 nr. 3 bokstav h. Databehandler skal umiddelbart underrette behandlingsansvarlig dersom en instruks etter databehandlerens mening er i strid med personvernforordningen (GDPR) eller annen unionsrett eller norsk personvernlovgivning.
10. BEHANDLING VED AVTALENS OPPHØR
Ved avtalens opphør skal databehandler, etter behandlingsansvarligs valg: [Slutt Handling]. Databehandler skal dokumentere at dette er utført. Plikten til sletting er begrenset av eventuell lovpålagt oppbevaringsplikt etter norsk rett, herunder bokføringsloven (2004) og arkivloven (1992).
11. LOVVALG, VERNETING OG TVISTELØSNING
Denne avtalen er underlagt norsk rett. Tvister om avtalens forståelse eller gjennomføring søkes løst gjennom forhandlinger. Dersom forhandlinger ikke fører frem, kan tvisten bringes inn for Oslo tingrett som verneting etter tvisteloven (2005) § 4-6.
SIGNATURER
Behandlingsansvarlig: [Ansvarlig Navn], organisasjonsnummer [Ansvarlig Orgnr].
Underskrift behandlingsansvarlig: ___________________________ Dato: _____________
Databehandler: [Databehandler Navn], organisasjonsnummer [Databehandler Orgnr].
Underskrift databehandler: ___________________________ Dato: _____________
Behandlingsansvarlig
________________
Signature
Databehandler
________________
Signature
What Is a Data Processing Agreement Norway?
A Data Processing Agreement (DPA) in Norway (databehandleravtale) is a binding contract required under the General Data Protection Regulation (GDPR) article 28 whenever a data controller engages a data processor to handle personal data on its behalf. The GDPR applies in Norway through the EEA Agreement and is implemented by the Personopplysningsloven (2018). The DPA sets out the subject matter, duration, nature and purpose of the processing, the types of personal data, the categories of data subjects, and the obligations and rights of the controller. It must require the processor to act only on documented instructions, ensure confidentiality, implement appropriate security measures under article 32, impose equivalent obligations on sub-processors, assist the controller with data subject rights and breach notifications, and delete or return all data on termination.
When Do You Need a Data Processing Agreement Norway?
Databehandleravtale i Norge trengs i alle situasjoner der en virksomhet overlater behandling av personopplysninger til en ekstern part som handler på dens vegne. Plikten til å inngå databehandleravtale følger direkte av personvernforordningen (GDPR) artikkel 28 og er ikke begrenset til store virksomheter.
IT-leverandører og skytjenester. Alle virksomheter som bruker skytjenester som Microsoft Azure, Google Cloud, AWS eller tilsvarende til å lagre eller behandle personopplysninger, trenger en databehandleravtale med leverandøren. Det samme gjelder egenutviklede systemer der en ekstern driftsleverandør har tilgang til personopplysningene. Mange store leverandører tilbyr standardiserte databehandleravtaler i sine bruksvilkår, men virksomheten bør kontrollere at disse oppfyller kravene i personvernforordningen (GDPR) artikkel 28.
Regnskaps- og lønnssystemer. Regnskapsbyråer, revisorer og leverandører av lønnssystemer behandler personopplysninger om ansatte og leverandører på vegne av virksomheten, og det kreves databehandleravtale. Regnskapsopplysninger lagres i fem år etter bokføringsloven (2004) § 13, og databehandleravtalen bør regulere lagringstid og sluttbehandling i tråd med dette.
E-postutsendelse og markedsføringsplattformer. Virksomheter som bruker e-postutsendingssystemer som Mailchimp, HubSpot eller tilsvarende, behandler personopplysninger om mottakerne gjennom en tredjepart og trenger en databehandleravtale. Det samme gjelder CRM-systemer og analyse- og markedsføringsplattformer som behandler personopplysninger om kunder og prospekter.
HR-systemer og rekrutteringsplattformer. Leverandører av HR-systemer og rekrutteringsplattformer behandler sensitive personopplysninger om ansatte og søkere. Databehandleravtalen skal angi de strenge sikkerhets- og konfidensialitetskravene som gjelder ved slik behandling, herunder krav til tilgangskontroll og logging.
Kundeservice og helpdesk-løsninger. Virksomheter som bruker tredjeparts kundeserviceplattformer som Zendesk, Intercom eller tilsvarende, behandler personopplysninger om kunder gjennom en databehandler og trenger en databehandleravtale. Særlig viktig er regulering av lagringstid for kommunikasjonshistorikk og tilgangskontroll for leverandørens ansatte.
Betalingsleverandører. Betalingsleverandører som Stripe, Nets og Vipps behandler betalingsopplysninger. Rollefordelingen mellom behandlingsansvarlig og databehandler kan variere, og noen betalingsleverandører er selvstendige behandlingsansvarlige for deler av behandlingen. Det er viktig å avklare rollefordelingen og inngå databehandleravtale der leverandøren opptrer som databehandler.
Konsulenter og innleide med tilgang til systemer. Innleide konsulenter og underleverandører som gis tilgang til virksomhetens systemer med personopplysninger, kan være databehandlere og kreve databehandleravtale. Avgrensningen mot ansatte som er underlagt arbeidsgiveransvar, er at ansatte ikke er databehandlere i forordningens forstand.
Offentlige virksomheter og felles behandlingsansvarlige. Offentlige virksomheter som drifter fagsystemer på tvers, eller der to offentlige etater utfører behandling i fellesskap, kan enten trenge databehandleravtale eller en avtale om felles behandlingsansvarlige etter personvernforordningen (GDPR) artikkel 26. Avgrensningen er om begge parter bestemmer formålene, eller om den ene kun handler etter instruksjon fra den andre.
What to Include in Your Data Processing Agreement Norway
En komplett Databehandleravtale Norge inneholder følgende nøkkelelementer for å oppfylle kravene i personvernforordningen (GDPR) artikkel 28 og personopplysningsloven (2018).
Partenes identifikasjon og roller. Avtalen skal identifisere behandlingsansvarlig og databehandler med navn, organisasjonsnummer og kontaktopplysninger, og klarlegge rollene. Behandlingsansvarlig er den som bestemmer formålene med og midlene for behandlingen etter personvernforordningen (GDPR) artikkel 4 nr. 7; databehandler er den som behandler på vegne av behandlingsansvarlig etter artikkel 4 nr. 8. Klar rollefordeling er grunnleggende for ansvarliggjøringen etter personvernforordningen (GDPR).
Behandlingens gjenstand, varighet, art og formål. Avtalen skal beskrive gjenstand, varighet, art og formål med behandlingen, typene av personopplysninger og kategoriene av registrerte etter personvernforordningen (GDPR) artikkel 28 nr. 3. Formålet definerer grensene for hva databehandler lovlig kan gjøre med opplysningene, og databehandler kan ikke behandle opplysningene for egne formål uten særskilt avtale.
Instrukser og behandlingens rammer. Databehandler skal etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav a utelukkende behandle personopplysninger etter dokumenterte instrukser fra behandlingsansvarlig. Avtalen bør angi hva instruksene konkret innebærer, og hva databehandler skal gjøre dersom en instruks etter databehandlerens mening er i strid med forordningen.
Taushetsplikt. Databehandler skal sikre at alle som behandler personopplysningene har påtatt seg taushetsplikt eller er underlagt lovbestemt taushetsplikt etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav b. Taushetsplikten gjelder også etter avtalens opphør og er en sentral garanti for at opplysningene ikke misbrukes.
Sikkerhetstiltak. Databehandler skal iverksette egnede tekniske og organisatoriske tiltak etter personvernforordningen (GDPR) artiklene 28 nr. 3 bokstav c og 32. Tiltakene skal tilpasses risikoen og kan omfatte kryptering, pseudonymisering, tilgangskontroll, tofaktorautentisering, sikkerhetskopiering og opplæring. Avtalen bør angi et minimumsnivå for sikkerhetstiltak.
Underdatabehandlere. Engasjement av underdatabehandler krever enten generell eller spesifikk forhåndsgodkjenning fra behandlingsansvarlig etter personvernforordningen (GDPR) artikkel 28 nr. 2. Databehandler skal pålegge underdatabehandleren de samme forpliktelsene og er fullt ut ansvarlig for at underdatabehandleren overholder sine forpliktelser. Avtalen bør angi allerede godkjente underdatabehandlere og prosessen for å varsle om planlagte endringer.
Bistand til behandlingsansvarlig. Databehandler skal bistå behandlingsansvarlig med å oppfylle de registrertes rettigheter etter kapittel 3 og pliktene etter artiklene 32 til 36 etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstavene e og f. Bistanden skal ytes innenfor rimelig tid og kan reguleres med hensyn til vederlag.
Meldeplikt ved avvik. Databehandler skal uten ugrunnet opphold underrette behandlingsansvarlig om brudd på personopplysningssikkerheten etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav f, slik at behandlingsansvarlig kan melde avviket til Datatilsynet innen 72 timer etter artikkel 33. Avtalen bør angi en konkret intern varslingsfrist og innholdet i underretningen. Disse elementene utfyller forms-legal.com bibliotekets maler for personvern.
Revisjon og innsyn. Databehandler skal etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav h stille til rådighet all informasjon som er nødvendig for å påvise overholdelse, og bidra til revisjoner. Avtalen bør angi prosessen for revisjoner og hvem som bærer kostnadene.
Sluttbehandling av personopplysninger. Databehandler skal etter avtalens opphør etter behandlingsansvarliges valg slette eller returnere alle personopplysningene og slette eksisterende kopier, med mindre lagring er påkrevd etter unionsretten eller norsk rett etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav g. Dokumentasjon på utført sletting er viktig.
How to Fill Out Your Data Processing Agreement Norway
Å fylle ut en Databehandleravtale Norge korrekt krever at man følger trinnene nedenfor, slik at avtalen oppfyller kravene i personvernforordningen (GDPR) artikkel 28 og personopplysningsloven (2018).
Trinn 1 — Identifiser partene og avklar rollene. Angi behandlingsansvarligs og databehandlers fulle navn, organisasjonsnummer og kontaktopplysninger. Kontroller at rollefordelingen er korrekt: behandlingsansvarlig bestemmer formålene med og midlene for behandlingen etter personvernforordningen (GDPR) artikkel 4 nr. 7, mens databehandler behandler etter instruksjon. Dersom begge parter bestemmer formålene i fellesskap, er de felles behandlingsansvarlige etter artikkel 26, og en annen avtaleform er nødvendig.
Trinn 2 — Beskriv behandlingens gjenstand, varighet og formål. Angi konkret hva databehandler skal utføre, for eksempel «drift og vedlikehold av CRM-system» eller «utsendelse av nyhetsbrev». Angi avtalens varighet, enten som en fast periode eller med henvisning til tjenesteavtalen. Beskriv formålene med behandlingen, da disse definerer grensene for hva databehandler lovlig kan gjøre med opplysningene.
Trinn 3 — Angi kategorier av personopplysninger og registrerte. Beskriv de konkrete kategoriene av personopplysninger databehandler håndterer, for eksempel kontaktopplysninger, bestillings- og betalingsopplysninger, IP-adresse og tekniske logger. Angi hvem opplysningene gjelder, for eksempel kunder, ansatte og leverandørers kontaktpersoner. Unngå å oppgi særlige kategorier av personopplysninger etter personvernforordningen (GDPR) artikkel 9 med mindre disse faktisk behandles.
Trinn 4 — Angi godkjente underdatabehandlere. List opp allerede godkjente underdatabehandlere med navn, land og formål. Vanlige underdatabehandlere er skytjenesteleverandører som AWS, Google Cloud og Microsoft Azure, samt e-posttjenester og betalingsleverandører. Angi prosessen for å varsle behandlingsansvarlig om planlagte endringer, slik at det gis mulighet til å protestere etter personvernforordningen (GDPR) artikkel 28 nr. 2.
Trinn 5 — Velg handling ved avtalens opphør. Velg om databehandler skal slette eller returnere personopplysningene ved avtalens opphør etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav g. Husk at plikten til sletting begrenses av lovpålagt oppbevaringsplikt, for eksempel fem år for regnskapsopplysninger etter bokføringsloven (2004) § 13. Krev dokumentasjon på utført sletting.
Trinn 6 — Kontroller at alle obligatoriske elementer er med. Kontroller at avtalen dekker alle kravene i personvernforordningen (GDPR) artikkel 28 nr. 3: instrukser (bokstav a), taushetsplikt (bokstav b), sikkerhetstiltak (bokstav c), underdatabehandlere (bokstav d), bistand med de registrertes rettigheter (bokstav e), bistand med brudd og DPIA (bokstav f), sluttbehandling (bokstav g) og revisjon (bokstav h). Mangler noen av disse, er avtalen ufullstendig.
Trinn 7 — Signer og oppbevar avtalen. Begge parter skal undertegne avtalen med navn, tittel og dato. Avtalen bør oppbevares i hele avtalens løpetid og i minst tre år etter opphør, slik at virksomheten kan dokumentere overholdelse ved kontroll fra Datatilsynet. Krav til dokumentasjon følger av personvernforordningen (GDPR) artikkel 5 nr. 2 (ansvarlighetsprinsippet).
Trinn 8 — Revurder avtalen ved vesentlige endringer. Databehandleravtalen bør gjennomgås og oppdateres ved vesentlige endringer i behandlingen, leverandørens underdatabehandlere eller i regelverket. Dersom databehandler engasjerer nye underdatabehandlere, skal behandlingsansvarlig varsles og gis mulighet til å protestere etter personvernforordningen (GDPR) artikkel 28 nr. 2.
Legal Requirements for Data Processing Agreement Norway
Databehandleravtale Norge omfattes av et regelverk i personvernforordningen (GDPR), personopplysningsloven (2018) og tilgrensende lovgivning som fastsetter kravene til avtalen og konsekvensene av manglende overholdelse.
Obligatorisk krav etter personvernforordningen (GDPR) artikkel 28. Etter personvernforordningen (GDPR) artikkel 28 nr. 3 skal behandling av personopplysninger av en databehandler styres av en kontrakt eller annen rettsakt. Det er et absolutt krav, ikke et valgfritt tiltak. Manglende databehandleravtale er i seg selv et brudd på personvernforordningen (GDPR), uavhengig av om personopplysningene faktisk misbrukes. Datatilsynet kan reagere mot manglende databehandleravtale med overtredelsesgebyr etter artiklene 83 og 84.
Personvernforordningens (GDPR) rekkevidde i Norge. Personvernforordningen (GDPR), Europaparlaments- og rådsforordning (EU) 2016/679, gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018). De samme pliktene gjelder i Norge som i EU-land. Datatilsynet er den nasjonale tilsynsmyndigheten, og Datatilsynets vedtak kan påklages til Personvernnemnda.
Kravene til avtalens innhold etter personvernforordningen (GDPR) artikkel 28 nr. 3. Avtalen skal fastsette at databehandler: (a) bare behandler etter dokumenterte instrukser; (b) sikrer taushetsplikt; (c) iverksetter sikkerhetstiltak etter artikkel 32; (d) respekterer reglene om underdatabehandlere etter nr. 2 og 4; (e) bistår med de registrertes rettigheter; (f) bistår med pliktene etter artiklene 32 til 36; (g) sletter eller returnerer data; og (h) legger til rette for revisjon. Et unntak fra instruksregelen i bokstav a gjelder der behandling er pålagt etter unionsretten eller norsk rett.
Sikkerhetskrav etter personvernforordningen (GDPR) artikkel 32. Både behandlingsansvarlig og databehandler er forpliktet til å iverksette egnede tekniske og organisatoriske tiltak for et sikkerhetsnivå som er egnet for risikoen. Tiltakene kan omfatte pseudonymisering, kryptering, evne til å sikre konfidensialitet og integritet, evne til å gjenopprette tilgjengeligheten, og regelmessig testing. Artikkel 32 nr. 4 slår fast at databehandler skal sikre at ansatte som behandler opplysningene, bare gjør det etter instruks fra behandlingsansvarlig.
Meldeplikt ved avvik etter personvernforordningen (GDPR) artiklene 33 og 34. Behandlingsansvarlig skal melde brudd på personopplysningssikkerheten til Datatilsynet uten ugrunnet opphold og senest innen 72 timer etter artikkel 33. Databehandleravtalen skal sikre at databehandler varsler behandlingsansvarlig innen en kortere intern frist, slik at behandlingsansvarlig kan overholde meldeplikten. Ved høy risiko skal de registrerte varsles etter artikkel 34.
Underdatabehandlere etter personvernforordningen (GDPR) artikkel 28 nr. 2 og 4. Databehandler kan ikke engasjere underdatabehandler uten forhåndsgodkjenning fra behandlingsansvarlig. Databehandler er ansvarlig for underdatabehandlerens overholdelse av forordningen. Underdatabehandleravtalen skal pålegge de samme forpliktelsene som databehandleravtalen. En underdatabehandleravtale som gir underdatabehandleren svakere forpliktelser enn databehandleravtalen, er ikke i samsvar med forordningen.
Ansvar og sanksjoner etter personvernforordningen (GDPR) artiklene 82 til 84 og personopplysningsloven (2018). Behandlingsansvarlig er ansvarlig for all behandling i henhold til forordningen, inkludert behandlingen en databehandler utfører. Datatilsynet kan ilegge overtredelsesgebyr på inntil 10 millioner euro eller 2 prosent av global årlig omsetning for brudd på artikkel 28, etter det høyeste av beløpene. Den registrerte har rett til erstatning etter artikkel 82. Databehandleren kan holdes ansvarlig i den utstrekning den har handlet uten instrukser fra behandlingsansvarlig eller i strid med forordningen.
Forhold til annen norsk lovgivning. Databehandleravtalen regulerer personvern, men suppleres av andre lover. Bokføringsloven (2004) § 13 pålegger fem års oppbevaring av regnskapsopplysninger, noe som begrenser sletteretten. Arkivloven (1992) gjelder for offentlige virksomheter. Sikkerhetsloven (2018) gjelder ved behandling av skjermingsverdig informasjon. Arbeidsmiljøloven (2005) og arbeidsgiverinstruksen regulerer ansattes plikter og taushetsplikt.
Common Mistakes to Avoid in Your Data Processing Agreement Norway
Vanlige feil ved utforming av Databehandleravtale Norge kan medføre at avtalen ikke oppfyller kravene i personvernforordningen (GDPR) artikkel 28, noe som i seg selv er et brudd som Datatilsynet kan reagere mot.
Feil 1 — Ingen databehandleravtale med tredjepart. Den vanligste feilen er å bruke IT-leverandører, skytjenester, regnskapsbyråer og markedsføringsplattformer uten å ha inngått en databehandleravtale. Plikten følger av personvernforordningen (GDPR) artikkel 28 og gjelder uavhengig av størrelse. Løsning: kartlegg alle tredjeparter som behandler personopplysninger på virksomhetens vegne, og inngå databehandleravtaler med alle.
Feil 2 — Alminnelig tjenesteavtale uten GDPR-bestemmelser. Å tro at en alminnelig tjenesteavtale er tilstrekkelig, er feil. Etter personvernforordningen (GDPR) artikkel 28 nr. 3 kreves en kontrakt eller annen rettsakt med de spesifikke elementene som er listet i artikkelen. Løsning: sørg for at avtalen uttrykkelig inneholder alle elementene etter artikkel 28 nr. 3 bokstavene a til h, enten som et eget dokument eller som et databehandlingskapittel i tjenesteavtalen.
Feil 3 — Ingen regulering av underdatabehandlere. En avtale som ikke adresserer underdatabehandlere, er ufullstendig. Mange databehandlere bruker underdatabehandlere, for eksempel skyinfrastruktur. Løsning: angi allerede godkjente underdatabehandlere og prosessen for å varsle om planlagte endringer, og sørg for at databehandler pålegger underdatabehandleren de samme forpliktelsene etter personvernforordningen (GDPR) artikkel 28 nr. 4.
Feil 4 — Mangelfull regulering av avviksmeldeplikt. En avtale uten tydelig intern varslingsfrist for avviksmelding risikerer at behandlingsansvarlig ikke kan overholde 72-timersfristen etter personvernforordningen (GDPR) artikkel 33. Løsning: angi en konkret intern varslingsfrist, for eksempel 24 timer, og spesifiser innholdet i varselets informasjon.
Feil 5 — Uklar sluttbehandling. Uten tydelig regulering av hva som skjer med personopplysningene etter avtalens opphør risikerer virksomheten at opplysningene forblir hos databehandleren. Løsning: angi uttrykkelig om data skal slettes eller returneres, og krev dokumentasjon på utført sletting etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav g; husk at lovpålagt oppbevaringsplikt etter bokføringsloven (2004) begrenser sletteretten.
Feil 6 — Manglende gjennomgang ved leverandørskifte. Å bytte IT-leverandør eller skytjeneste uten å inngå ny databehandleravtale er et brudd. Løsning: gjennomgå og oppdater databehandleravtaler ved leverandørskifte og ved vesentlige endringer i tjenestene.
Feil 7 — Uklar rollefordeling mellom behandlingsansvarlig og felles ansvarlige. Å inngå databehandleravtale med en part som i realiteten er en felles behandlingsansvarlig, gir feil rettslig struktur. Løsning: avklar om parten er databehandler (handler etter instruksjon) eller felles behandlingsansvarlig (bestemmer formålene i fellesskap); sistnevnte krever en avtale om felles behandlingsansvarlige etter personvernforordningen (GDPR) artikkel 26.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Data Processing Agreement Norway (Norway) [Legal document template]. Forms Legal. https://forms-legal.com/norge/business/policies/data-processing-agreement-norway
"Data Processing Agreement Norway (Norway)." Forms Legal, 2026, https://forms-legal.com/norge/business/policies/data-processing-agreement-norway.
@misc{formslegal-data-processing-agreement-norway,
author = {{Forms Legal}},
title = {Data Processing Agreement Norway (Norway)},
year = {2026},
howpublished = {\url{https://forms-legal.com/norge/business/policies/data-processing-agreement-norway}},
note = {Free legal document template}
}Also available for these jurisdictions:
Frequently Asked Questions
En databehandleravtale er en bindende kontrakt mellom en behandlingsansvarlig og en databehandler som regulerer behandling av personopplysninger på vegne av behandlingsansvarlig. Avtalen er obligatorisk etter personvernforordningen (GDPR) artikkel 28 nr. 3 for alle virksomheter som overlater behandling av personopplysninger til en ekstern part. Databehandler er etter personvernforordningen (GDPR) artikkel 4 nr. 8 den som behandler personopplysninger på vegne av behandlingsansvarlig uten selv å bestemme formålene. Typiske databehandlere er IT-leverandører, skytjenester, regnskapsbyråer, lønnssystemer, e-postutsendingssystemer og markedsføringsplattformer. Plikten til å inngå databehandleravtale gjelder uavhengig av virksomhetens størrelse; det er overleveringen av personopplysninger til en ekstern part som utløser plikten. Manglende databehandleravtale er i seg selv et brudd på personvernforordningen (GDPR) som Datatilsynet kan reagere mot med overtredelsesgebyr.
Etter personvernforordningen (GDPR) artikkel 28 nr. 3 skal en databehandleravtale fastsette at databehandler: (a) bare behandler personopplysninger etter dokumenterte instrukser fra behandlingsansvarlig; (b) sikrer at alle som behandler opplysningene, har taushetsplikt; (c) iverksetter egnede sikkerhetstiltak etter artikkel 32; (d) ikke engasjerer underdatabehandler uten forhåndsgodkjenning fra behandlingsansvarlig, og pålegger underdatabehandleren de samme forpliktelsene; (e) bistår behandlingsansvarlig med å oppfylle de registrertes rettigheter etter kapittel 3; (f) bistår med pliktene etter artiklene 32 til 36, herunder sikkerhetsplikt, avviksmelding og vurdering av personvernkonsekvenser; (g) sletter eller returnerer alle personopplysningene etter avtalens opphør; og (h) stiller til rådighet informasjon som er nødvendig for å påvise overholdelse, og bidrar til revisjoner. Avtalen bør også angi gjenstand, varighet, art og formål med behandlingen, typene av personopplysninger og kategoriene av registrerte.
Behandlingsansvarlig er etter personvernforordningen (GDPR) artikkel 4 nr. 7 den fysiske eller juridiske personen som alene eller sammen med andre bestemmer formålene med og midlene for behandlingen av personopplysninger. Det er behandlingsansvarlig som har det overordnede ansvaret for at behandlingen skjer i samsvar med personvernforordningen (GDPR). Databehandler er etter personvernforordningen (GDPR) artikkel 4 nr. 8 den som behandler personopplysninger på vegne av behandlingsansvarlig, det vil si at databehandleren ikke selv bestemmer formålene med behandlingen, men handler etter instrukser fra behandlingsansvarlig. Skillet er avgjørende for å fastslå hvem som har hvilke forpliktelser og hvilket ansvar. Behandlingsansvarlig er ansvarlig for all behandling, inkludert behandlingen databehandleren utfører, og er pliktig til å inngå databehandleravtale. Databehandleren er ansvarlig for å overholde sine forpliktelser etter avtalen og forordningen. Dersom to parter bestemmer formålene i fellesskap, er de felles behandlingsansvarlige etter artikkel 26, og en annen avtaleform er nødvendig.
Ja, i mange tilfeller kan standardavtalevilkår fra en leverandør benyttes som databehandleravtale, dersom disse oppfyller kravene i personvernforordningen (GDPR) artikkel 28 nr. 3. EU-kommisjonen har utarbeidet standardkontraktsbestemmelser for databehandlere (standard contractual clauses, SCC) som kan brukes. Mange store leverandører som AWS, Google Cloud og Microsoft tilbyr egne databehandleravtaler som i store trekk oppfyller kravene. Det er imidlertid viktig å kontrollere at leverandørens standardavtale faktisk dekker alle elementene i artikkel 28 nr. 3 bokstavene a til h, og at den er tilpasset den konkrete behandlingen. Noen elementer, som godkjenning av spesifikke underdatabehandlere og valg av handling ved avtalens opphør, kan kreve tilpasning. Det er behandlingsansvarlig som har ansvaret for å sikre at databehandleravtalen oppfyller kravene, uavhengig av hvem som utarbeider avtalen. Dersom leverandørens standardavtale er mangelfull, bør det forhandles om tilleggsvilkår.
Etter personvernforordningen (GDPR) artikkel 28 nr. 3 bokstav g skal databehandler etter avtalens opphør etter behandlingsansvarligs valg enten slette alle personopplysningene og eksisterende kopier, eller returnere alle personopplysningene til behandlingsansvarlig og deretter slette eksisterende kopier. Plikten til å slette er begrenset av lovpålagt oppbevaringsplikt etter unionsretten eller norsk rett. For eksempel skal regnskapsopplysninger oppbevares i fem år etter bokføringsloven (2004) § 13. Databehandler skal dokumentere at slettingen er utført, og behandlingsansvarlig bør kreve slik dokumentasjon. Valget mellom sletting og retur bør gjøres eksplisitt i databehandleravtalen, og fristen for gjennomføringen bør angis. Behandlingsansvarlig bør planlegge overgangen til ny leverandør i god tid, slik at opplysningene er sikret før den gamle leverandørens tilgang opphører.
Etter personvernforordningen (GDPR) artikkel 28 nr. 2 kan ikke databehandler engasjere en underdatabehandler uten enten en spesifikk eller en generell skriftlig forhåndsgodkjenning fra behandlingsansvarlig. Ved generell godkjenning skal databehandler informere behandlingsansvarlig om planlagte endringer av underdatabehandlere, slik at behandlingsansvarlig gis mulighet til å protestere. Etter artikkel 28 nr. 4 skal databehandler pålegge underdatabehandleren de samme forpliktelsene om databeskyttelse som følger av databehandleravtalen mellom behandlingsansvarlig og databehandler. Dette innebærer at underdatabehandleravtalen skal dekke de samme elementene som databehandleravtalen, herunder sikkerhetstiltak, taushetsplikt, meldeplikt ved avvik og sluttbehandling. Databehandleren er fullt ut ansvarlig overfor behandlingsansvarlig for at underdatabehandleren overholder sine forpliktelser. Dersom underdatabehandleren behandler personopplysninger i land utenfor EØS, kreves et gyldig overføringsgrunnlag etter personvernforordningen (GDPR) artiklene 44 til 49, for eksempel EU–US Data Privacy Framework eller EU-kommisjonens standard personvernbestemmelser.
Datatilsynet er tilsynsmyndigheten etter personvernforordningen (GDPR) artikkel 51 og personopplysningsloven (2018), og fører tilsyn med at kravene til databehandleravtaler overholdes. Ved brudd kan Datatilsynet etter personvernforordningen (GDPR) artikkel 58 gi advarsler og irettesettelser, pålegge virksomheten å bringe behandlingen i samsvar med forordningen, midlertidig eller permanent forby behandling, og ilegge overtredelsesgebyr. For brudd på artikkel 28, herunder manglende databehandleravtale, kan overtredelsesgebyr ilegges med inntil 10 millioner euro eller 2 prosent av total global årlig omsetning for virksomheten i foregående regnskapsår, etter det høyeste av beløpene, etter personvernforordningen (GDPR) artikkel 83 nr. 4. Datatilsynets vedtak kan påklages til Personvernnemnda etter personopplysningsloven (2018). I tillegg kan den registrerte kreve erstatning direkte fra behandlingsansvarlig eller databehandler etter personvernforordningen (GDPR) artikkel 82. En korrekt og oppdatert databehandleravtale er et sentralt tiltak for å demonstrere samsvar med personvernforordningen (GDPR) etter ansvarlighetsprinsippet i artikkel 5 nr. 2.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Personvernerklæring Norge
Personvernerklæring for nettsteder og virksomheter etter personvernforordningen (GDPR) artiklene 13 og 14, personopplysningsloven (2018) og ekomloven. Beskriver behandlingsansvarlig, kategorier av opplysninger, rettslige grunnlag, lagringstid, de registrertes rettigheter, informasjonskapsler og klage til Datatilsynet.
Personvernavvik melding Norge
Melding om brudd på personopplysningssikkerheten (personvernavvik) til Datatilsynet etter personvernforordningen (GDPR) artikkel 33 og personopplysningsloven (2018). Meldeplikt innen 72 timer fra avviket oppdages. Varsling av registrerte etter artikkel 34 ved høy risiko.