Hva er forskjellen på behandlingsansvarlig og databehandler?

Behandlingsansvarlig er virksomheten som bestemmer formålet med og midlene for behandlingen av personopplysninger. Databehandler behandler opplysninger på vegne av og etter instruks fra behandlingsansvarlig. En nettsted-eier er typisk behandlingsansvarlig, mens en analyseplattform, e-postleverandør eller hostingleverandør er databehandler. Behandler tredjeparten data for sine egne formål — som reklamemålretting — er de i stedet en selvstendig behandlingsansvarlig, og da trengs ingen databehandleravtale.

Trenger jeg databehandleravtale med Google Analytics?

Ja, hvis du bruker Google Analytics 4. Google tilbyr en databehandleravtale som inngås via kontoinnstillingene under «Databehandling og personvern». Den er obligatorisk etter GDPR, og å bruke Google Analytics uten den er et brudd på personvernregelverket.

Hva må en databehandleravtale inneholde?

GDPR artikkel 28 nr. 3 lister de obligatoriske elementene: databehandleren skal kun behandle etter dokumenterte instruksjoner fra behandlingsansvarlig, sikre taushetsplikt, gjennomføre sikkerhetstiltak etter artikkel 32, innhente tillatelse for underleverandører, bistå med de registrertes rettigheter, bistå med avviksvarsling og vurdering av personvernkonsekvenser, slette eller returnere opplysningene etter avslutning, og gi tilgang for revisjon.

Hvem er ansvarlig hvis databehandleren bryter GDPR?

Behandlingsansvarlig har det primære ansvaret overfor Datatilsynet og de registrerte. Bryter databehandleren regelverket og det fører til skade, kan begge holdes ansvarlige. Har behandlingsansvarlig valgt en databehandler som ikke oppfyller kravene i artikkel 28, er det behandlingsansvarlig som har et problem. Databehandleravtalen er dermed en forsikring for begge parter.

Kan jeg bruke en standardmal for databehandleravtale?

Ja. Mange store leverandører som Google, Stripe og Mailchimp tilbyr ferdige databehandleravtaler som del av sine vilkår. For egne leverandørforhold kan du bruke en mal, men tilpass den slik at den faktisk beskriver hvilke opplysninger som behandles, til hvilket formål og hvilke instruksjoner som gjelder. En generisk mal som ikke er tilpasset det konkrete forholdet oppfyller ikke lovkravet.

← Blogg

Personvern

Databehandleravtale nettside: hvem trenger du en med?

De fleste nettsteder bruker minst tre tjenester som behandler personopplysninger på vegne av nettstedet: et analyseverktøy, en e-posttjeneste og en betalingsløsning. Alle tre utløser krav om databehandleravtale under GDPR — et krav mange ikke vet at de har.

Publisert 1. juni 20269 min lesing

Redaksjonell illustrasjon med overskriften «Databehandleravtale: Når trenger jeg det?» og underteksten «En praktisk guide til når du trenger databehandleravtale – og hva den må inneholde for å være gyldig». Tre ikon-callouts under: «Krav i GDPR — Art. 28 forklart», «Hva avtalen må inneholde», og «Når du trenger databehandleravtale». Til høyre vises et dokument med tittelen DATABEHANDLERAVTALE og fem nummererte punkter (1. Partene, 2. Behandling av personopplysninger, 3. Sikkerhet, 4. Underleverandører, 5. Sletting og tilbakelevering), en mørkegrønn penn og en grønn notatbok. I høyre underkant et grønt rundstempel med teksten «GDPR — ART. 28» og et skjold-ikon.

Kjøper du hosting, sender nyhetsbrev, bruker Google Analytics eller tar betaling med Stripe? Da behandler andre virksomheter personopplysninger på vegne av nettstedet ditt. GDPR artikkel 28 krever at dette forholdet er regulert i en skriftlig databehandleravtale — en juridisk bindende kontrakt som spesifiserer hva leverandøren kan gjøre med opplysningene, og hva de ikke kan gjøre.

Mangler avtalen, er det du — behandlingsansvarlig — som bryter personvernregelverket. Ikke leverandøren.

Behandlingsansvarlig og databehandler — hva er forskjellen?

GDPR bruker to roller. Behandlingsansvarlig er virksomheten som bestemmer formålet med og midlene for behandlingen av personopplysninger. Databehandler behandler opplysningene på vegne av og etter instruks fra behandlingsansvarlig.

Som nettsted-eier er du behandlingsansvarlig for opplysningene du samler inn. Hostingleverandøren din er databehandler — de lagrer opplysningene på dine vegne. Det samme gjelder analyseverktøy, e-posttjenester og betalingsløsninger som håndterer brukerdata etter din instruks.

Et viktig unntak: hvis en tredjepart behandler opplysninger for sine egne formål — for eksempel til reklamemålretting — er de en selvstendig behandlingsansvarlig. Da trengs ikke en databehandleravtale mellom dere. Du har i stedet et ansvar for å informere brukerne dine om at slik behandling skjer, og sikre at den hviler på gyldig rettslig grunnlag.

Datatilsynets veiledning om behandlingsansvarlig og databehandler forklarer grenseoppgangen med konkrete eksempler.

Tjenestene som utløser kravet

Her er de vanligste kategoriene for norske SMB-er, og hva som gjelder for hver av dem.

Analyseverktøy

Google Analytics 4, Plausible, Matomo og lignende verktøy samler informasjon om besøkende på dine vegne. De er databehandlere, og du trenger en databehandleravtale med dem. Google Analytics tilbyr en slik avtale via kontoinnstillingene under «Databehandling og personvern». Bruker du Plausible, inngår avtalen i abonnementsvilkårene.

E-posttjenester og nyhetsbrev

Mailchimp, Brevo, Mailerlite og lignende plattformer lagrer abonnentlistene dine og sender e-post på vegne av deg. De behandler navn og e-postadresser etter din instruks — og er dermed databehandlere. De fleste store plattformer tilbyr en ferdig databehandleravtale du aksepterer i kontoinnstillingene.

Betalingsløsninger

Stripe, Vipps og Klarna behandler betalingsinformasjon og kundeidentitet på dine vegne. Alle tilbyr databehandleravtaler som inngår i plattformens standardvilkår. Sjekk at du faktisk har akseptert disse — det er ikke alltid tydelig i oppsettflyten.

Hosting og skylagring

Hostingleverandøren din lagrer alt du legger på nettstedet, inkludert brukerdata. Vercel, Netlify, AWS, Azure og Google Cloud tilbyr alle databehandleravtaler. Er du usikker, søk på «data processing agreement» kombinert med leverandørnavnet.

Kundesupport og CRM

Intercom, Zendesk, HubSpot og lignende verktøy behandler kundedata etter instruksjonene dine. De er databehandlere, og de har typisk en databehandleravtale tilgjengelig under sikkerhet eller personvern i administrasjonspanelet.

Hva avtalen må inneholde

GDPR artikkel 28 nr. 3 lister åtte obligatoriske elementer. En gyldig databehandleravtale må spesifisere at databehandleren:

Kun behandler personopplysninger etter dokumenterte instruksjoner fra behandlingsansvarlig. Databehandleren kan ikke bruke opplysningene til egne formål.
Sikrer at alle med tilgang til opplysningene har taushetsplikt.
Gjennomfører nødvendige sikkerhetstiltak etter artikkel 32. Det inkluderer kryptering, tilgangskontroll og rutiner for å oppdage og håndtere sikkerhetsbrudd.
Ikke engasjerer underleverandører uten skriftlig godkjenning fra behandlingsansvarlig.
Bistår behandlingsansvarlig med å oppfylle de registrertes rettigheter — innsyn, korrigering, sletting og dataportabilitet.
Bistår behandlingsansvarlig med sikkerhetsarbeid, avviksvarsling til Datatilsynet og vurdering av personvernkonsekvenser.
Sletter eller returnerer alle personopplysninger etter at tjenesten er avsluttet, og sletter eventuelle kopier.
Gir behandlingsansvarlig tilgang til all informasjon som er nødvendig for å dokumentere at kravene er oppfylt, inkludert rett til revisjon og inspeksjon.

I tillegg skal avtalen beskrive selve behandlingen: hva slags opplysninger det dreier seg om, hvilke kategorier av registrerte som er berørt, formålet med behandlingen, og varigheten på oppdraget. Uten disse rammebestemmelsene er avtalen for vag til å oppfylle lovkravet.

Datatilsynet har en veiledning om hvordan du lager en databehandleravtale, med konkrete eksempler på hva hvert punkt bør inneholde.

Underleverandører — et ansvar mange overser

Mange leverandører bruker egne underleverandører. Hostingleverandøren kan bruke en tredjepart for backup. E-posttjenesten kan bruke en annen leverandør for SMS-utsendelse. Betalingsplattformen kan sende data til svindelsikringstjenester.

Disse kalles sub-databehandlere. Hvert ledd i kjeden krever en gyldig avtale. Du som behandlingsansvarlig er juridisk ansvarlig for at alle i kjeden oppfyller GDPR — ikke bare din direkte leverandør.

I praksis håndterer de fleste store plattformer dette selv. De publiserer lister over sine sub-databehandlere og varsler om endringer. Abonnerer du på slike varsler, får du muligheten til å si nei til nye underleverandører. Sjekk at din leverandørs databehandleravtale faktisk gir deg denne retten.

Listen over databehandlere og underleverandører skal dessuten fremgå av personvernerklæringen din. Les mer om hva personvernerklæringen må inneholde i artikkelen om GDPR artikkel 13.

Overføring til land utenfor EØS

Bruker du leverandører med servere utenfor EØS — eller leverandører med morselskap i USA — overfører du trolig personopplysninger til tredjeland. Det utløser et tilleggskrav utover databehandleravtalen.

Overføringen må ha et selvstendig rettslig grunnlag. Det vanligste er EUs standardkontraktsvilkår (SCC) eller at leverandøren er sertifisert under EU-US Data Privacy Framework. Mange store leverandører som Stripe, Google og Mailchimp har dette på plass. Men du kan ikke bare stole på at de har ordnet det — du må sjekke at det faktisk er dokumentert.

Noen norske virksomheter bytter til europeiske alternatiever nettopp for å unngå kompleksiteten. Andre beholder amerikanske tjenester, men sørger for at overføringen har gyldig grunnlag og er dokumentert i personvernerklæringen. Begge veier er gyldige — men «vi visste ikke om det» er ikke.

Tre vanlige feil

Avtalen er ikke inngått i det hele tatt

Det vanligste bruddet. Mange virksomheter har integrert Google Analytics, betalingsplattform og nyhetsbrevtjeneste uten å inngå noen databehandleravtale. Leverandørene tilbyr den gjerne, men den aktiveres ikke automatisk ved opprettelse av konto. Du må finne den og akseptere den eksplisitt.

Avtalen er generisk og beskriver ikke det konkrete forholdet

En mal som ikke er tilpasset beskriver ikke hva slags opplysninger som faktisk behandles, til hvilket formål, eller hvilke instruksjoner som gjelder. En slik avtale oppfyller trolig ikke lovkravet — og gir deg lite beskyttelse hvis noe går galt.

Behandlingsansvarlig er feil identifisert

Avtalen skal inngås mellom riktige juridiske parter. Har du byttet selskapsnavn, omorganisert eller delt virksomheten, kan gamle avtaler peke på feil entitet. Sjekk at behandlingsansvarlig i avtalen samsvarer med organisasjonsnummeret som faktisk drifter nettstedet.

Kartlegg dine databehandlere på fem steg

List alle tredjeparter nettstedet kommuniserer med. Åpne nettleseren, gå til nettstedet ditt og åpne Utviklerverktøy → Nettverk. Se hvilke domener det sendes forespørsler til. Alternativt: gå gjennom alle integrasjoner du har aktivert i CMS, e-handelsplattform eller administrasjonspanel.
Skil mellom databehandlere og selvstendige behandlingsansvarlige. Spørsmålet er om leverandøren behandler opplysningene etter din instruks, eller for sine egne formål. Analyseverktøy og nyhetsbrevtjenester er nesten alltid databehandlere. Sosiale medier-plattformer er det sjelden.
Sjekk om du allerede har inngått databehandleravtale. Søk i kontoinnstillingene hos hver leverandør etter «data processing agreement», «DPA» eller «databehandleravtale». For Google-tjenester: gå til Personvern og sikkerhet i kontoinnstillingene.
Inngå avtalene som mangler. Mange leverandører har ferdige avtaler klare for aksept. Mangler de det, ta kontakt og be om en — alle seriøse databehandlere er forpliktet til å inngå denne avtalen etter artikkel 28 nr. 3.
Legg avtalene i et sentralt register. GDPR krever ikke et formelt register over databehandleravtaler, men du bør kunne fremlegge dem ved et eventuelt tilsyn. En mappe i skylagringen med PDF-versjon og dato for inngåelse er tilstrekkelig.

Databehandleravtalen og personvernerklæringen henger sammen

Databehandleravtalen er den interne, juridiske kontrakten mellom deg og leverandøren. Personvernerklæringen er den offentlige kommunikasjonen til de registrerte — der du forklarer hvem som behandler data på dine vegne, og hva de brukes til.

Disse to dokumentene skal være konsistente. Personvernerklæringen skal liste databehandlerne du bruker. Endrer du leverandør, må begge oppdateres. Legger du til en ny integrasjon, utløser det krav om databehandleravtale og oppdatering av personvernerklæringen på én gang.

Artikkelen om personvernerklæring og GDPR artikkel 13 går gjennom de tolv obligatoriske punktene erklæringen må dekke — inkludert hvordan databehandlerne skal presenteres for de registrerte.

Bruker nettstedet ditt cookies fra tredjepart — sporingspiksler, analysescript eller innebygde videospillere — er det også cookieregler å forholde seg til. Det dekkes i pillar-artikkelen om cookie-samtykke i Norge.

Videre lesning

Personvernerklæring mal: slik dekker du GDPR artikkel 13 riktig — de tolv obligatoriske punktene i en personvernerklæring, inkludert hvordan databehandlerne skal presenteres for de registrerte.
Samtykke til cookies i Norge: krav, vanlige feil og bøter — cookie-regelverket som lever ved siden av databehandlerkravene.
Vordrs personvernerklæring — slik vi har listet databehandlere og underleverandører, generert fra en automatisk skanning av vordr.no.
Datatilsynets veiledning om behandlingsansvarlig og databehandler — myndighetens egen gjennomgang av rollene og når kravet om databehandleravtale oppstår.