Personuppgiftsbiträdesavtal (DPA) Sverige

Personuppgiftsbiträdesavtalet (DPA) i Sverige är ett juridiskt obligatoriskt avtal som reglerar hur ett personuppgiftsbiträde behandlar personuppgifter på uppdrag av en personuppgiftsansvarig, i enlighet med artikel 28 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) och lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Avtalet är inte frivilligt – det är ett krav i lag och saknar avtalade undantag för bransch eller storlek.

En personuppgiftsansvarig är den organisation som bestämmer ändamålen och medlen för behandlingen av personuppgifter, till exempel ett företag som anlitar en IT-leverantör för att driva sitt CRM-system. Personuppgiftsbiträdet är den part som behandlar personuppgifter på uppdrag av den ansvarige utan att ha bestämmanderätt över ändamålen – typiska biträden är hosting-leverantörer (Amazon AWS, Microsoft Azure, Google Cloud), e-postmarknadsföringstjänster (Mailchimp, Klaviyo), betalningsförmedlare, löneadministrationssystem (Visma, Fortnox) och kundtjänstplattformar (Zendesk, Salesforce).

Artikel 28.3 GDPR specificerar åtta obligatoriska innehållspunkter som avtalet måste täcka. Punkt (a) kräver att biträdet behandlar personuppgifter uteslutande på den ansvariges dokumenterade instruktioner. Punkt (b) kräver tystnadsplikt för alla personer som behandlar uppgifterna. Punkt (c) kräver lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR. Punkt (d) reglerar anlitande av underbiträden och kräver den ansvariges godkännande. Punkt (e) kräver att biträdet bistår med att uppfylla registrerades rättigheter (artiklarna 15-22 GDPR). Punkt (f) kräver att biträdet bistår med incidenthantering, konsekvensbedömningar och förhandssamråd. Punkt (g) kräver radering eller retur av uppgifter när avtalstiden löper ut. Punkt (h) kräver att biträdet möjliggör revisioner och inspektioner.

Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) kompletterar GDPR i Sverige. Lagen fastslår att Integritetsskyddsmyndigheten (IMY), tidigare Datainspektionen, är tillsynsmyndighet enligt artikel 51 GDPR och 7 kap. 1 § dataskyddslagen. IMY har befogenhet att begära information, genomföra inspektioner och påföra administrativa sanktionsavgifter. Avsaknad av korrekt personuppgiftsbiträdesavtal är en av de vanligaste bristerna som IMY identifierar vid tillsyn.

Personuppgiftsbiträdesavtalet i Sverige skiljer sig från tre angränsande avtal. Tjänsteavtalet reglerar den kommersiella relationen – pris, leverans, garantier och ansvarsbegränsning – men saknar specifik GDPR-reglering. Sekretessavtalet (NDA) reglerar konfidentialitet om affärsinformation men täcker inte personuppgiftsbehandling enligt artikel 28 GDPR. Underkontraktörsavtalet reglerar underleverantörsrelationen utan det GDPR-specifika ramverket för personuppgiftsbiträden och underbiträden. Personuppgiftsbiträdesavtalet ska finnas på plats innan behandlingen påbörjas, inte i efterhand.

EU-kommissionen har antagit standardiserade avtalsklausuler för personuppgiftsbehandling (Standard Contractual Clauses, SCC) för scenariot personuppgiftsansvarig till personuppgiftsbiträde via beslut (EU) 2021/914 av den 4 juni 2021. Dessa klausuler uppfyller kraven i artikel 28 GDPR och kan användas direkt som personuppgiftsbiträdesavtal. Europeiska dataskyddsstyrelsen (EDPB) har gett vägledning om tolkning av artikel 28 GDPR via yttrande 14/2019. På forms-legal.com finns kompletta mallar för GDPR-relaterade dokument inklusive incidentrapport till IMY och integritetspolicy för Sverige.

Personuppgiftsbiträdesavtalet i Sverige krävs i alla situationer där en organisation anlitar en extern part som behandlar personuppgifter på uppdrag. Nedanstående scenarion är de vanligaste och mest rättsligt kritiska.

Cloud-tjänster och hosting. Varje gång ett företag lagrar personuppgifter i molntjänster som Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform eller liknande kräver GDPR ett personuppgiftsbiträdesavtal. Dessa leverantörer erbjuder standardiserade DPA-dokument men företaget måste aktivt acceptera dem – tyst godkännande via allmänna villkor är inte tillräckligt. Svenska SME-bolag som använder Office 365, Google Workspace eller liknande produktivitetssviter behöver DPA med Microsoft respektive Google.

CRM-system och marknadsföringsplattformar. Salesforce, HubSpot, Pipedrive och liknande CRM-system behandlar kunduppgifter på uppdrag. E-postmarknadsföringstjänster som Mailchimp, Klaviyo, Campaign Monitor och ActiveCampaign behandlar e-postadresser och beteendedata. Alla dessa kräver DPA. IMY har i tillsynsbeslut konstaterat att svenska företag som saknar DPA med sina marknadsföringsplattformar kan påföras sanktionsavgifter.

Löne- och HR-administration. Lönesystem som Visma Lön, Fortnox Lön, Hogia och liknande behandlar personaluppgifter (personnummer i format ÅÅÅÅMMDD-XXXX, löneinformation, semesteruppgifter, sjukfrånvaro) på uppdrag av arbetsgivare. DPA krävs med dessa leverantörer. Anställningsuppgifter som behandlas av löneadministrationssystem omfattar ofta känsliga uppgifter (sjukfrånvaro = hälsouppgifter enligt artikel 9 GDPR) vilket ställer skärpta krav.

Betalningslösningar och e-handel. Betalningsförmedlare som Klarna, Stripe, Adyen och DIBS/Nets behandlar transaktionsdata på uppdrag av e-handelsföretag. Vid kort-betalning är PCI DSS-standard tillämplig parallellt med GDPR. DPA krävs med samtliga betaltjänstleverantörer. Klarna och Stripe erbjuder standardiserade DPA som kan accepteras digitalt.

Kundtjänst och support. Kundtjänstplattformar som Zendesk, Freshdesk och Intercom behandlar kommunikation och ärenden som innehåller personuppgifter. Chatbotsystem och AI-drivna kundtjänstverktyg behandlar personuppgifter och kräver DPA. Vid outsourcad kundtjänst till extern part (callcenter, BPO-leverantör) krävs DPA och eventuellt underbiträdesskyldigheter.

IT-konsulter och systemutveckling. När IT-konsulter eller systemutvecklare har tillgång till kunduppgifter, databaser eller produktionssystem under uppdrag är de att betrakta som personuppgiftsbiträden. DPA ska upprättas redan i uppdrags- eller konsultavtalet. Bristande DPA vid IT-konsultuppdrag är en vanlig lucka som IMY identifierar vid tillsyn.

Redovisning och revision. Redovisnings- och revisionsbyråer som behandlar bokföringsmaterial innehållande personuppgifter om kunder eller anställda är personuppgiftsbiträden. DPA ska finnas med redovisningsbyrå om de behandlar sådana uppgifter. Vid revisor gäller revisionslagen (1999:1079) parallellt.

Hälso- och sjukvård. Leverantörer av journalsystem, medicinsk utrustning med datauppkoppling och administrativa system till hälso- och sjukvård behandlar känsliga hälsouppgifter enligt artikel 9 GDPR. DPA är obligatorisk och ställer särskilda krav på säkerhetsåtgärder. Patientdatalagen (2008:355) tillämpas parallellt.

Analys och statistik. Analystjänster som Google Analytics, Adobe Analytics, Matomo och liknande behandlar besökardata och kräver DPA. Efter EU-domstolens avgörande i mål C-40/17 (Fashion ID) och EDPB:s riktlinjer om cookies och samtycke krävs aktivt samtycke för analys-cookies. IMY har utfärdat vägledning om Google Analytics och konstaterat att IP-adresser utgör personuppgifter.

Personuppgiftsbiträdesavtalet i Sverige måste innehålla följande obligatoriska element för att uppfylla kraven i artikel 28 GDPR och lag (2018:218). Dessa åtta punkter är inte frivilliga tillägg utan explicita lagkrav.

Identifiering av parterna. Fullständiga namn och organisationsnummer (format XXXXXX-XXXX enligt lag (1974:174) om identitetsbeteckning för juridiska personer) för både personuppgiftsansvarig och personuppgiftsbiträde. Adresser och kontaktuppgifter. Beskrivning av deras respektive roller och det Huvudavtal som DPA kompletterar. Vid internationella biträden anges land, juridisk form och EU-ombud om sådant krävs.

Behandlingens karaktär och ändamål (artikel 28.3). Konkret beskrivning av vilka personuppgifter som behandlas, i vilket syfte, av vilka kategorier av registrerade, vilka operationer som utförs (lagring, bearbetning, överföring, radering) och under vilken tidsperiod. Vaga beskrivningar som 'IT-tjänster' är inte tillräckliga – IMY och EDPB kräver specificitet.

Punkt (a): Dokumenterade instruktioner. Biträdet behandlar personuppgifter uteslutande på den ansvariges dokumenterade instruktioner. Instruktioner kan ges i DPA, i Huvudavtalet eller i separata skriftliga direktiv. Biträdet informerar omedelbart den ansvarige om en instruktion strider mot GDPR eller lag (2018:218).

Punkt (b): Tystnadsplikt. Alla fysiska personer som behandlar personuppgifterna för biträdets räkning är bundna av tystnadsplikt, antingen avtalsmässigt eller lagstadgat. Detta täcker anställda, underkonsulter och eventuella underbiträden.

Punkt (c): Tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR. Beskrivning av konkreta åtgärder anpassade till behandlingens risknivå: kryptering (AES-256 vid lagring, TLS 1.3 vid överföring), pseudonymisering, åtkomstkontroll med minsta behörighet (RBAC), tvåfaktorsautentisering, loggning och spårning, regelbunden säkerhetstestning och penetrationstester, incidentresponsprocesser och säkerhetskopiering med katastrofplan.

Punkt (d): Underbiträden. Lista godkända underbiträden med namn och land. Mekanismen för godkännande av nya underbiträden (specifikt eller generellt godkännande med rätt att invända). Biträdet är fullt ansvarigt för underbiträdenas efterlevnad av DPA. Underbiträden ska bindas av ett avtal med minst samma skyldigheter som biträdet har.

Punkt (e): Bistå med registrerades rättigheter. Biträdet bistår den ansvarige med att svara på begäran om utövande av rättigheter enligt artiklarna 15-22 GDPR: tillgång (registerutdrag), rättelse, radering, begränsning, dataportabilitet, invändning och icke-automatiserat beslutsfattande. Tidsfrist och förfarande för biträdets respons på sådana begäran.

Punkt (f): Bistå med incidenthantering och konsekvensbedömning. Biträdet informerar den ansvarige utan onödigt dröjsmål, senast inom 24 timmar, vid personuppgiftsincident, för att möjliggöra anmälan till IMY inom 72 timmar enligt artikel 33 GDPR. Biträdet bistår med konsekvensbedömningar (DPIA) enligt artikel 35 GDPR och förhandssamråd med IMY enligt artikel 36 GDPR.

Punkt (g): Radering eller retur vid avtalets upphörande. Vid DPA:s upphörande returneras eller raderas alla personuppgifter. Biträdet bekräftar skriftligen att radering har skett. Undantag om lagstadgad skyldighet att bevara uppgifter.

Punkt (h): Revisionsrätt och dokumentation. Biträdet möjliggör och bistår med revisioner, inbegripet inspektioner, genomförda av den ansvarige eller av en auktoriserad revisor. Biträdet håller dokumentation tillgänglig för att visa efterlevnad av GDPR, inklusive register över behandlingsaktiviteter om biträdet uppfyller 250-anställdaströskeln i artikel 30.5 GDPR.

Överföringsregler. Om behandlingen innebär överföring till länder utanför EU/EES: tillämpliga skyddsåtgärder (standardavtalsklausuler beslut (EU) 2021/914, adekvansbeslut artikel 45 GDPR, bindande företagsregler artikel 47 GDPR). På forms-legal.com finns kompletta mallar för DPA, incidentrapport till IMY och relaterade GDPR-dokument.

Ansvarsfördelning och skadestånd. Hur ansvar fördelas vid skada för registrerade enligt artikel 82 GDPR. Biträdets regressrätt och ansvarsbegränsning. Relation till Huvudavtalets ansvarsbegränsningsklausuler.

Tillämplig lag och tvistlösning. Svensk lag med tillämpning av GDPR och lag (2018:218). IMY som tillsynsmyndighet. Domstol vid tvist (vanligen Stockholms tingsrätt).

Personuppgiftsbiträdesavtalet i Sverige fylls i och tillämpas korrekt enligt följande steg.

Steg 1 - Identifiera biträdessituationen. Avgör om relationen med en extern part innebär biträdesskap. En extern part är biträde om den behandlar personuppgifter på uppdrag av ert företag utan att ha bestämmanderätt över ändamålen. Typiska biträden: molnleverantörer, lönesystem, CRM-system, betaltjänster, IT-konsulter med systemåtkomst. En extern part är inte biträde om den behandlar uppgifter för egna ändamål (bank, advokat med lagstadgad tystnadsplikt, självständig personuppgiftsansvarig).

Steg 2 - Fyll i partsuppgifter. Ange fullständiga juridiska namn och organisationsnummer (XXXXXX-XXXX) för båda parter. Kontrollera uppgifterna mot Bolagsverkets register på bolagsverket.se. Ange registrerade adresser och kontaktpersoner. Hänvisa till Huvudavtalet (avtalsdatum och titel).

Steg 3 - Specificera behandlingens ändamål och karaktär. Beskriv konkret vad biträdet gör med personuppgifterna: 'Drift av CRM-system innehållande kunduppgifter', 'Lagring av personuppgifter i molndatabas', 'Utskick av e-postmarknadsföring', 'Löneberäkning och utbetalning'. Var specifik – vaga beskrivningar är otillräckliga enligt EDPB:s vägledning. Lista kategorier av personuppgifter och kategorier av registrerade.

Steg 4 - Definiera säkerhetsåtgärder. Ange konkreta tekniska och organisatoriska säkerhetsåtgärder anpassade till behandlingens risknivå. Utgå från artikel 32.1 GDPR: pseudonymisering och kryptering, konfidentialitet, integritet, tillgänglighet och motståndskraft, återhämtning, regelbunden testning. Biträdet ska tillhandahålla dokumentation av sina säkerhetsåtgärder på begäran.

Steg 5 - Hantera underbiträden. Lista nuvarande underbiträden med namn och land. Besluta om mekanismen för godkännande av nya underbiträden: specifikt godkännande (varje nytt underbiträde kräver skriftligt godkännande från den ansvarige) eller generellt godkännande (biträdet kan lägga till underbiträden med förhandsinformation och rätt att invända inom 30 dagar). Biträdet ansvarar fullt ut för underbiträdenas efterlevnad.

Steg 6 - Reglera registerrättigheter och incidenthantering. Beskriv förfarandet vid begäran om utövande av registrerades rättigheter (biträdet vidarebefordrar begäran till ansvarige inom X dagar). Ange tidsfrist för biträdets incidentrapportering (rekommenderat max 24 timmar från kännedom). Biträdet bistår med information och dokumentation för ansvariges IMY-anmälan inom 72 timmar.

Steg 7 - Reglera radering vid avtalets slut. Ange vad som sker med personuppgifterna när avtalet upphör: returneras till ansvarige i maskinläsbart format (CSV, JSON) eller raderas säkert med skriftlig bekräftelse inom 30 dagar. Undantag för lagstadgad bevarandeplikt (bokföring sju år, skatteuppgifter, etc.).

Steg 8 - Säkerställ revisionsrätt. Inkludera klausuler om ansvariges rätt till revision och inspektion av biträdets behandling. Biträdet ska hålla dokumentation tillgänglig och möjliggöra tredjepartsrevision. Ange förvarningsperiod (typiskt 30 dagar) och hur kostnader för revisionen fördelas.

Steg 9 - Signera och arkivera. DPA ska signeras av behöriga företrädare för båda parter. Vid digitala underskrifter används BankID eller annan kvalificerad elektronisk underskrift (QES) enligt Europaparlamentets och rådets förordning (EU) nr 910/2014 (eIDAS). Arkivera avtalet i fem år efter behandlingens slut för att visa efterlevnad vid eventuell IMY-granskning.

Steg 10 - Uppdatera löpande. Granska DPA vid byte av IT-leverantör eller system, vid tillägg av underbiträden, vid ändringar i behandlingens karaktär, vid ny lagstiftning (planerad ePrivacy-förordning) eller vid IMY- och EDPB-beslut som påverkar DPA-innehållet. Håll en intern förteckning över alla aktiva DPA kopplade till era personuppgiftsbiträden.

Personuppgiftsbiträdesavtalet i Sverige är underkastat ett preciserat regelverk som en organisation måste efterleva för att undvika sanktioner från Integritetsskyddsmyndigheten (IMY).

Artikel 28 GDPR – kärnkravet. Artikel 28.1 GDPR kräver att personuppgiftsansvarig uteslutande anlitar biträden som ger tillräckliga garantier för att lämpliga tekniska och organisatoriska åtgärder genomförs så att behandlingen uppfyller kraven i GDPR och registrerades rättigheter skyddas. Artikel 28.2 GDPR kräver att biträdet inte anlitar ett annat biträde (underbiträde) utan föregående skriftligt tillstånd. Artikel 28.3 GDPR specificerar de åtta obligatoriska innehållspunkterna som DPA-avtalet måste täcka. Artikel 28.4 GDPR fastslår att underbiträdet ska bindas av ett avtal med minst samma skyldigheter som biträdet.

Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Dataskyddslagen innehåller regler om IMY som tillsynsmyndighet och fastslår att IMY kan påföra administrativa sanktionsavgifter vid överträdelse av GDPR och DPA-krav. IMY:s beslut överklagas till Förvaltningsrätten i Stockholm enligt 7 kap. 4 § dataskyddslagen.

Artikel 32 GDPR – säkerhetsåtgärder. Biträdet ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa en säkerhetsnivå som är lämplig med hänsyn till risken. Åtgärderna ska beakta pseudonymisering och kryptering, möjligheten att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft, återhämtning vid incident, regelbunden testning. EU:s cybersäkerhetsbyrå ENISA publicerar riktlinjer för lämpliga säkerhetsåtgärder som kan ge vägledning.

Artikel 33 GDPR – incidentanmälan 72 timmar. Personuppgiftsansvarig ska anmäla personuppgiftsincidenter till IMY utan onödigt dröjsmål och om möjligt senast 72 timmar efter att ha fått vetskap om incidenten. Biträdet ska informera den ansvarige om incidenter utan onödigt dröjsmål. Praktiskt kräver detta att DPA föreskriver biträdets rapportering till ansvarige inom 24 timmar. IMY:s Incidentportal på imy.se används för anmälan.

Artikel 35 GDPR – konsekvensbedömning (DPIA). Vid behandling som sannolikt leder till hög risk för registrerades rättigheter och friheter ska konsekvensbedömning (DPIA) utföras innan behandlingen påbörjas. Biträdet ska bistå den ansvarige med underlag för DPIA. IMY:s förteckning över behandlingstyper som kräver DPIA finns på imy.se. Exempel inkluderar storskalig systematisk behandling av känsliga uppgifter och automatiserat beslutsfattande med rättsliga följder.

Standardavtalsklausuler beslut (EU) 2021/914. EU-kommissionen antog den 4 juni 2021 nya standardavtalsklausuler för personuppgiftsöverföringar inklusive scenariot ansvarig-till-biträde (Modul 2). Dessa klausuler uppfyller kraven i artikel 28 GDPR och kan användas direkt. Europeiska dataskyddsstyrelsen (EDPB) och Europeiska dataskyddsstyrelsen (EDPS) antog gemensamt yttrande 21/2021 om de nya standardklausulerna.

Administrativa sanktionsavgifter artikel 83.4 GDPR. Överträdelse av kraven på personuppgiftsbiträdesavtal enligt artikel 28 GDPR kan leda till sanktionsavgifter på upp till 10 miljoner euro eller två procent av den globala årsomsättningen enligt artikel 83.4 GDPR. IMY beaktar vid fastställande av sanktionsavgift: om överträdelsen var avsiktlig eller oaktsam, vilka åtgärder som vidtagits för att begränsa skada, samarbete med IMY, om DPA saknades helt eller var bristfällig.

EDPB-vägledning. Europeiska dataskyddsstyrelsen (EDPB) har publicerat riktlinjer 07/2020 om begreppen personuppgiftsansvarig och personuppgiftsbiträde och yttrande 14/2019 om det utkast till standardkontraktsklausuler för DPA-relationer. EDPB:s riktlinjer är inte bindande men tolkas av tillsynsmyndigheter och domstolar.

Personuppgiftsbiträdesavtal i Sverige uppvisar återkommande brister som kan leda till sanktioner från Integritetsskyddsmyndigheten (IMY) eller civilrättsliga anspråk.

Misstag 1 - Saknat DPA trots biträdesrelation. Det vanligaste felet är att anlita IT-leverantörer, lönesystem, CRM-plattformar eller marknadsföringstjänster utan att upprätta DPA överhuvudtaget. Många SME-bolag tror felaktigt att leverantörens allmänna villkor ersätter ett DPA. IMY:s tillsyn avslöjar regelbundet saknade DPA. Lösning: kartlägg alla externa parter med tillgång till personuppgifter och säkerställ DPA med varje biträde.

Misstag 2 - Otillräcklig specificitet i behandlingsbeskrivning. DPA med vaga formuleringar som 'tillhandahålla IT-tjänster' eller 'driva plattformen' uppfyller inte kravet på dokumenterade instruktioner och specifik behandlingsbeskrivning. Artikel 28.3 GDPR och EDPB:s riktlinjer kräver konkreta kategorier av personuppgifter, registrerade och ändamål. IMY har vid tillsyn underkänt DPA med alltför allmänna beskrivningar.

Misstag 3 - Ingen hantering av underbiträden. Biträdet anlitar ofta egna underbiträden (leverantörer av hosting, SMS-tjänster, analysverktyg) utan att DPA reglerar detta. Artikel 28.2 GDPR kräver att den ansvarige ger tillstånd, antingen specifikt per underbiträde eller generellt med rätt att invända. Saknad underbiträdeslista och godkännandemekanism är en vanlig brist.

Misstag 4 - Bristfällig incidentrapporteringskedja. DPA specificerar inte biträdets tidsfrist för att rapportera incidenter till den ansvarige. IMY kräver att den ansvarige anmäler till IMY inom 72 timmar enligt artikel 33 GDPR – detta kräver att biträdet rapporterar till ansvarige betydligt snabbare. Rekommenderad tidsfrist är 24 timmar. Saknad incidentklausul i DPA skapar risk för fördröjd IMY-anmälan.

Misstag 5 - Ingen reglering av radering vid avtalets slut. DPA reglerar inte vad som händer med personuppgifterna när avtal sägs upp eller löper ut. Artikel 28.3.g GDPR kräver explicit reglering av radering eller retur. Biträden som behåller personuppgifter efter avtalets slut utan rättslig grund bryter mot GDPR. Lösning: specificera radering eller retur inom angiven tid (30-60 dagar) med skriftlig bekräftelse.

Misstag 6 - Otillräckliga säkerhetsåtgärder. DPA listar generiska säkerhetsåtgärder ('branschstandard säkerhet') utan specificitet. Artikel 32 GDPR kräver lämpliga åtgärder anpassade till behandlingens risknivå. IMY och ENISA kräver konkret specificitet: krypteringsstandard (AES-256, TLS 1.3), åtkomstkontrollmodell (RBAC, minsta behörighet), säkerhetskopieringsfrekvens och katastrofplan. Generiska beskrivningar ger inte tillräcklig dokumentation.

Misstag 7 - Felaktig rättslig klassificering. En extern part klassificeras som biträde när den i realiteten är gemensamt ansvarig (joint controller) eller självständigt ansvarig. Gemensamt ansvar uppstår när båda parter bestämmer ändamål och medel gemensamt. Självständigt ansvar uppstår när parten behandlar uppgifter för egna ändamål (bank, advokat, myndighet). Felaktig klassificering leder till felaktig avtalsstruktur och rättslig exponering.

Misstag 8 - DPA inte uppdaterat vid förändringar. Befintliga DPA uppdateras inte vid byte av IT-system, tillägg av nya underbiträden, ändrade behandlingsändamål eller ny lagstiftning. DPA ska spegla faktisk behandling vid varje tidpunkt. Periodisk granskning (minst årligen och vid förändringar) är nödvändig.