Næsten alle danske virksomheder anvender eksterne tjenester til at behandle persondata — fra hosting og email til lønsystemer og CRM. Hver gang en ekstern leverandør håndterer persondata på dine vegne, kræver GDPR (Europa-Parlamentets og Rådets forordning (EU) 2016/679) at der er en skriftlig databehandleraftale på plads. Uden den risikerer du bøder, tilsynssager og tab af kundernes tillid.
Hvad er en databehandleraftale?
En databehandleraftale (DPA — Data Processing Agreement) er en juridisk bindende aftale mellem en dataansvarlig og en databehandler. Den regulerer, hvordan databehandleren må behandle persondata på den dataansvarliges vegne, og sikrer at behandlingen sker i overensstemmelse med GDPR.
Dataansvarlig vs. databehandler
Forskellen mellem de to roller er afgørende for at forstå, hvem der har hvilke forpligtelser:
- Dataansvarlig: Den virksomhed der bestemmer formålet med og midlerne til behandlingen af persondata. Det er dig, når du indsamler kundedata, medarbejderdata eller brugerdata.
- Databehandler: Den virksomhed der behandler persondata på vegne af den dataansvarlige — f.eks. din hostingudbyder, dit lønbureau eller din email-marketingtjeneste.
GDPR artikel 28: kravene
Artikel 28 i GDPR fastlægger reglerne for databehandlere. Stk. 1 kræver, at den dataansvarlige kun bruger databehandlere, der kan stille tilstrækkelige garantier for overholdelse af GDPR. Stk. 3 kræver, at behandlingen reguleres af en skriftlig kontrakt (eller andet retligt dokument) der indeholder en række specifikke bestemmelser.
Praktisk eksempel: Webshop med hosting og nyhedsbrev
Du driver en dansk webshop. Din hostingudbyder (f.eks. one.com eller Simply.com) lagrer kundedata på sine servere — de er databehandler. Din nyhedsbrevstjeneste (f.eks. Mailchimp eller ActiveCampaign) modtager kunders emailadresser og navne for at sende markedsføring — de er også databehandler. Du skal have en separat databehandleraftale med hver af dem. Hostingudbydere og store SaaS-tjenester tilbyder typisk en standardaftale, men det er dit ansvar at sikre, at aftalen opfylder alle krav i artikel 28 stk. 3.
Hvornår er en databehandleraftale påkrævet?
Hovedreglen er enkel: Hver gang en ekstern part behandler persondata på dine vegne, skal der være en databehandleraftale. Men ikke alle leverandørforhold indebærer databehandling i GDPR-forstand. Hvis leverandøren selv bestemmer formålet med behandlingen, er de selvstændig dataansvarlig — og så er det ikke en DPA men en aftale om fælles dataansvar (artikel 26) eller slet ingen aftale der er nødvendig.
Typiske scenarier
| Leverandør / tjeneste | Databehandleraftale nødvendig? | Begrundelse |
|---|---|---|
| Hostingudbyder (one.com, Simply) | Ja | Lagrer persondata på dine vegne |
| Email-marketing (Mailchimp, ActiveCampaign) | Ja | Modtager og behandler kontaktdata på dine vegne |
| CRM-system (HubSpot, Salesforce) | Ja | Opbevarer kundedata i cloud |
| Lønbureau | Ja | Behandler CPR-numre og lønoplysninger |
| Eksternt bogholderifirma | Ja | Adgang til fakturaer med persondata |
| Google Analytics / Facebook Pixel | Ja | Indsamler brugerdata via cookies |
| Advokat (juridisk rådgivning) | Nej | Advokaten er selvstændig dataansvarlig pga. tavshedspligt |
| Bank (betalingsformidling) | Nej | Banken er selvstændig dataansvarlig iht. finanslovgivning |
| PostNord (pakkelevering) | Nej | PostNord er selvstændig dataansvarlig for leveringsprocessen |
Praktisk eksempel: Marketingbureau
Du hyrer et marketingbureau til at køre Facebook-annoncekampagner. Bureauet modtager kundelister med navne og emailadresser for at oprette "Custom Audiences". Her er bureauet databehandler, fordi de handler på dine instruktioner og behandler data på dine vegne. Du skal have en databehandleraftale — også selvom bureauet "kun" uploader en CSV-fil til Facebook.
De 8 lovpligtige elementer (artikel 28 stk. 3)
GDPR artikel 28 stk. 3 lister de minimumskrav, en databehandleraftale skal indeholde. Mangler blot ét element, er aftalen ikke i overensstemmelse med forordningen — og du risikerer en bøde. Her er de 8 elementer, du skal have med:
Beskriv præcist hvad der behandles, og hvor længe aftalen gælder. Eksempel: "Opbevaring af kunders kontaktdata i forbindelse med webshop-ordrer, gældende fra [dato] og indtil opsigelse."
Angiv formålet med behandlingen. Eksempel: "Behandlingen sker med henblik på udsendelse af nyhedsbreve og markedsføringskommunikation til den dataansvarliges kunder."
Oplist de konkrete datakategorier: navne, emailadresser, adresser, CPR-numre, betalingsoplysninger, sundhedsdata osv. Jo mere præcist, jo bedre.
Hvem er de personer, hvis data behandles? Kunder, medarbejdere, leverandører, hjemmesidebesøgende, nyhedsbrevsabonnenter osv.
Databehandleren må kun behandle persondata efter dokumenterede instruktioner fra den dataansvarlige. Behandleren skal straks informere, hvis en instruktion efter behandlerens opfattelse er i strid med GDPR.
Alle personer hos databehandleren, der har adgang til persondata, skal være underlagt tavshedspligt — enten ved lov eller ved aftale.
Databehandleren skal implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger: kryptering, adgangsstyring, regelmæssig sikkerhedstest, backup-procedurer m.m.
Databehandleren skal bistå den dataansvarlige med at opfylde de registreredes rettigheder (indsigt, sletning, berigtigelse) og med underretningspligten ved databrud (artikel 33 og 34).
Praktisk eksempel: Lønbureau
Dit lønbureau behandler medarbejdernes CPR-numre, lønoplysninger, bankkontonumre og skatteoplysninger. I databehandleraftalen skal du konkret angive: behandlingens formål er "lønberegning og indberetning til SKAT", typerne af persondata er "CPR-nummer, navn, adresse, løndata, bankoplysninger, skatteoplysninger", og de registrerede er "den dataansvarliges medarbejdere". Lønbureauet skal desuden dokumentere, at de har passende sikkerhedsforanstaltninger — f.eks. krypterede forbindelser, adgangsbegrænsning og logning.
Underdatabehandlere — den oversete risiko
En underdatabehandler er en tredjepart, som din databehandler selv anvender til at udføre hele eller dele af behandlingen. GDPR artikel 28 stk. 2 og stk. 4 regulerer dette område — og det er her, mange virksomheder overser en væsentlig risiko.
Artikel 28 stk. 2: Forudgående godkendelse
Databehandleren må ikke anvende en underdatabehandler uden forudgående skriftlig godkendelse fra den dataansvarlige. Godkendelsen kan være:
- Specifik: Du godkender hver enkelt underdatabehandler ved navn.
- Generel: Du giver en generel tilladelse, men databehandleren skal informere dig om ændringer (nye underdatabehandlere), og du skal have mulighed for at gøre indsigelse.
Artikel 28 stk. 4: Kædeansvar
Når din databehandler anvender en underdatabehandler, skal de samme databeskyttelsesforpligtelser pålægges underdatabehandleren via en separat aftale. Og hvis underdatabehandleren ikke opfylder sine forpligtelser, hæfter din databehandler fuldt ud over for dig.
Praktisk eksempel: CRM med AWS som underdatabehandler
Du bruger et CRM-system (f.eks. HubSpot) til at administrere kundedata. HubSpot hoster sine data hos Amazon Web Services (AWS). Her er du dataansvarlig, HubSpot er databehandler, og AWS er underdatabehandler. Din databehandleraftale med HubSpot skal specificere, at HubSpot bruger AWS, og du skal have godkendt dette. HubSpot skal have en separat aftale med AWS, der pålægger AWS de samme forpligtelser. Skifter HubSpot til en ny cloud-udbyder, skal de informere dig — og du skal have mulighed for at gøre indsigelse.
Databrud: 72-timers reglen
Et databrud er enhver sikkerhedshændelse, der fører til utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til persondata. Det er ikke kun hacking — det kan også være:
- En medarbejder sender en kundeliste til den forkerte emailadresse
- En bærbar computer med kundedata bliver stjålet
- Et backup-system fejler, og data går tabt permanent
- En leverandør lækker login-oplysninger via et sikkerhedshul
- En fejlkonfiguration gør persondata offentligt tilgængelig online
Artikel 33: Underretning af Datatilsynet
Ved et databrud skal den dataansvarlige underrette Datatilsynet inden 72 timer efter at have fået kendskab til bruddet — medmindre det er usandsynligt, at bruddet indebærer en risiko for de registreredes rettigheder og frihedsrettigheder.
Artikel 34: Underretning af de registrerede
Hvis databruddet sandsynligvis vil medføre en høj risiko for de berørte personers rettigheder og frihedsrettigheder, skal du også underrette de registrerede direkte. Det gælder f.eks. ved læk af CPR-numre, sundhedsdata eller finansielle oplysninger.
Praktisk eksempel: Ransomware hos hostingudbyder
Din hostingudbyder rammes af ransomware, og alle servere krypteres — inklusiv din webshops kundedatabase. Hostingudbyderen opdager det fredag kl. 14 og informerer dig lørdag kl. 10. Dine 72 timer begynder lørdag kl. 10. Du skal nu vurdere risikoen: Har hackerne fået adgang til persondata (navne, adresser, ordrer)? Hvis ja, underret Datatilsynet inden tirsdag kl. 10. Var der tale om følsomme data (CPR, sundhed), skal du også informere de berørte kunder direkte.
Bøder og konsekvenser
GDPR artikel 83 stk. 4 fastsætter bødeniveauet for overtrædelse af artikel 28 (databehandleraftaler): op til 10 mio. EUR eller 2 % af den globale årsomsætning — det højeste beløb gælder. For de fleste danske SMV'er er det en potentielt virksomhedsdræbende bøde.
Datatilsynets praksis i Danmark
Datatilsynet har i praksis udstedt bøder og alvorlige kritik for manglende databehandleraftaler. Tilsynet har gjort det klart, at manglende DPA er en selvstændig overtrædelse — uanset om der faktisk er sket et databrud. I flere tilsynssager har Datatilsynet påpeget, at virksomheder slet ikke havde identificeret deres databehandlere, endsige indgået aftaler med dem.
| Overtrædelse | Mulig sanktion |
|---|---|
| Manglende databehandleraftale | Bøde op til 10 mio. EUR / 2 % af omsætning + påbud |
| DPA mangler lovpligtige elementer | Alvorlig kritik + påbud om rettelse + evt. bøde |
| Uautoriseret brug af underdatabehandler | Bøde + påbud om ophør af behandling |
| Manglende underretning ved databrud (72 timer) | Bøde op til 10 mio. EUR / 2 % af omsætning |
| Utilstrækkelige sikkerhedsforanstaltninger | Bøde + påbud + evt. midlertidigt behandlingsforbud |
Praktisk eksempel: Dansk virksomhed uden DPA
Datatilsynet udfører et rutinetilsyn hos en dansk e-handelsvirksomhed med 50 ansatte. Tilsynet konstaterer, at virksomheden bruger 12 cloud-tjenester til behandling af kundedata — men kun har databehandleraftaler med 3 af dem. Resultatet: alvorlig kritik for overtrædelse af artikel 28, påbud om at bringe alle leverandørforhold i orden inden 30 dage, og en politianmeldelse med indstilling til bøde.
Tjekliste: Har du styr på dine databehandleraftaler?
Brug denne tjekliste til at sikre, at din virksomhed overholder GDPR artikel 28:
- ☐ Du har kortlagt alle leverandører der behandler persondata på dine vegne
- ☐ Du har en skriftlig databehandleraftale med hver databehandler
- ☐ Hver aftale indeholder alle 8 lovpligtige elementer fra artikel 28 stk. 3
- ☐ Aftalerne specificerer de konkrete typer persondata og kategorier af registrerede
- ☐ Du har godkendt alle underdatabehandlere (eller har en generel godkendelsesordning)
- ☐ Dine databehandlere er forpligtet til at underrette dig om databrud inden 24 timer
- ☐ Du har en intern procedure for 72-timers underretning til Datatilsynet
- ☐ Dine aftaler kræver, at databehandleren sletter eller returnerer data ved ophør
- ☐ Du gennemgår dine databehandleraftaler mindst en gang årligt
- ☐ Du har dokumentation for, at databehandlerne har passende sikkerhedsforanstaltninger
Opret din databehandleraftale med LovBot
LovBot genererer en komplet databehandleraftale der overholder GDPR artikel 28 — inklusiv alle 8 lovpligtige elementer. Kombiner med privatlivspolitik og cookiepolitik til en samlet GDPR-pakke.
Relaterede guides
- Komplet guide til GDPR og privatlivspolitik – Alt om GDPR-compliance for danske virksomheder
- Fortrolighedsaftale (NDA): Beskyt fortrolige oplysninger – Sikr at samarbejdspartnere behandler data fortroligt
- Forretningsbetingelser: Guide – Hvad din virksomhed skal have på plads juridisk
- Ansættelseskontrakt: Opret sikkert – GDPR-krav ved ansættelse og behandling af medarbejderdata
Denne artikel er informativ og bør ikke erstatte juridisk rådgivning. Ved vigtige juridiske spørgsmål, kontakt en advokat.