Visitor Analytics
Skip to main content

Databehandlingsavtale (DPA)

TL;DR

Databehandlingsavtalen, eller DPA for kort, er en juridisk bindende kontrakt mellom en bedrift og en tredjeparts databehandler, ment å regulere personvernet i forhold til GDPR-overholdelse.

Hva er databehandlingsavtalen (DPA)?

Enhver virksomhet som har en online tilstedeværelse er avhengig av tredjeparter for å fungere ordentlig. Disse tredjepartene kan være alt fra en e-postleverandør til et nettstedanalyseverktøy eller et chatteverktøy, etc; i utgangspunktet ethvert verktøy som behandler brukerens personlige data. En databehandlingsavtale må signeres mellom den virksomheten (kontrolløren) og hver tredjepart (behandleren) som sørger for at dataene lagres riktig og ikke blir misbrukt, solgt eller sårbare for angrep. Dette er et av de mest grunnleggende trinnene mot å være GDPR-kompatibel.

De fleste av disse tredjepartsverktøyene gjør DPA-er tilgjengelige på deres nettsteder for å lastes ned og signeres. Den signerte DPA-en kan vanligvis også bes om via e-post.

I tilfelle du trenger å opprette din egen databehandlingsavtale, kan den offisielle malen lastes ned fra https://gdpr.eu/data-processing-agreement/. Alle organisasjoner kan bruke dette dokumentet for å være i samsvar med GDPR og for å unngå dyre bøter.

Databehandlingsavtalen gjelder for virksomheter som lagrer og/eller behandler data fra EU og tar for seg følgende problemer i forhold til prosessoren:

  • tilstrekkelig informasjonssikkerhet må være på plass;
  • ingen underbehandlere har lov til å bruke dataene uten samtykke fra behandlingsansvarlig;
  • samarbeid med datatilsyn skal gis når det er nødvendig;
  • datainnbrudd må rapporteres umiddelbart til behandlingsansvarlig;
  • journaler over alle behandlingsaktiviteter må oppbevares;
  • overholdelse av EUs regler for dataoverføring;
  • assistanse for behandlingsansvarlig ved håndtering av mulige datainnbrudd.

Mer detaljert informasjon om dette finner du her: https://gdpr.eu/article-28-processor/.