Databehandleravtaler ved dokumentoverføring — hva krever GDPR artikkel 28?
Databehandleravtaler ved dokumentoverføring — hva krever GDPR artikkel 28?
Når en organisasjon bruker en tredjepartstjeneste for å overføre dokumenter med personopplysninger, er organisasjonen behandlingsansvarlig og tjenesten er databehandler. GDPR artikkel 28 krever at forholdet reguleres i en skriftlig avtale.
Kravene er konkrete. Og Datatilsynet håndhever dem.
Når trenger du en databehandleravtale?
Svaret er enkelt: når en annen aktør behandler personopplysninger på dine vegne. «Behandler» er bredt definert og omfatter lagring, overføring, organisering og enhver annen operasjon med personopplysninger.
Bruker du en skytjeneste? Databehandleravtale. En e-posttjeneste? Databehandleravtale. En kryptert overføringstjeneste? Databehandleravtale — selv om tjenesten aldri kan se innholdet.
De 8 obligatoriske punktene i art. 28 nr. 3
GDPR artikkel 28 nr. 3 lister hva avtalen minst må inneholde:
a) Kun etter instruks. Databehandleren skal kun behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige. Karnov-kommentaren presiserer at instruksene bør være tydelige allerede ved avtaleinngåelsen.
b) Taushetsplikt. Personell som behandler opplysningene skal være bundet av taushetsplikt. Dette kan sikres gjennom taushetserklæringer eller ansettelsesavtaler.
c) Sikkerhetstiltak. Databehandleren skal treffe alle tiltak som kreves etter artikkel 32 — kryptering, tilgangskontroll, gjenoppretting og testing.
d) Underdatabehandlere. Databehandleren kan ikke engasjere en underdatabehandler uten forhåndstillatelse fra den behandlingsansvarlige. Underdatabehandlere må pålegges de samme forpliktelsene.
e) Bistand ved registrertes rettigheter. Databehandleren skal bistå den behandlingsansvarlige med å svare på forespørsler fra registrerte — innsyn, sletting, dataportabilitet.
f) Bistand ved sikkerhet og DPIA. Databehandleren skal bistå den behandlingsansvarlige med å overholde pliktene i artikkel 32–36, inkludert varsling ved brudd og vurdering av personvernkonsekvenser.
g) Sletteplikt. Etter avtalens slutt skal databehandleren slette eller tilbakelevere alle personopplysninger og slette kopier, med mindre annet følger av lov.
h) Revisjon og dokumentasjon. Databehandleren skal gi den behandlingsansvarlige tilgang til all informasjon som er nødvendig for å vise at forpliktelsene oppfylles, og muliggjøre revisjoner og inspeksjoner.
Avtalen skal være skriftlig, herunder elektronisk (nr. 9).
Hva PVN-praksis viser
PVN-2021-21: OUS — pålegg om DPA
Oslo universitetssykehus (OUS) utleverte helseopplysninger til utenlandske laboratorier uten formalisert databehandleravtale. Datatilsynet påla sykehuset å regulere forholdet i egne DPA-er etter artikkel 28. Personvernnemnda bekreftet kravet.
Saken viser at DPA-kravet gjelder også for etablerte samarbeidsforhold — og at helselovgivningens særregler ikke fritar fra GDPR-kravene.
PVN-2024-17: NAV — mangelfull dokumentasjon
NAV fikk pålegg for brudd på personvernforordningen. Nemnda understreket at kravene til konkretisering og dokumentasjon er strenge, særlig i inngripende saker.
Zero-knowledge og artikkel 28
Når en tjenesteleverandør bruker zero-knowledge-arkitektur — der serveren aldri kan se innholdet i dokumentene — endrer det risikoprofilen dramatisk.
Databehandleravtale er fortsatt nødvendig, fordi tjenesten teknisk sett behandler personopplysninger (lagring, overføring). Men risikovurderingen etter artikkel 32 vil vise at risikoen for konfidensialitetsbrudd er minimal, fordi tjenesteleverandøren aldri har tilgang til klartekst.
For den behandlingsansvarlige betyr dette enklere compliance: DPA-en kan dokumentere at databehandleren aldri kan se innholdet, at krypteringsnøklene aldri når serveren, og at et eventuelt databrudd hos databehandleren ikke kompromitterer innholdet.
Artikkel 28 nr. 10: Når databehandleren blir behandlingsansvarlig
En viktig bestemmelse som ofte overses: Dersom databehandleren selv fastsetter formål og midler for behandlingen, anses vedkommende som behandlingsansvarlig for den behandlingen.
For en kryptert overføringstjeneste er dette avgjørende: Tjenesten bestemmer ikke hva som sendes, til hvem, eller hvorfor. Det gjør avsenderen. Tjenesten er derfor korrekt klassifisert som databehandler — ikke behandlingsansvarlig.
Overføring til tredjestat
Hvis databehandleren eller underdatabehandlere behandler data utenfor EØS, må vilkårene i GDPR kapittel V oppfylles (art. 44, 46). DPA-en må reflektere hvilke overføringsgrunnlag som brukes.
For organisasjoner som velger tjenester med databehandling utelukkende innenfor EØS, er dette en compliance-fordel som bør dokumenteres i DPA-en.
Sjekkliste for din DPA
Gjenstand, varighet, art og formål for behandlingen — er det beskrevet?
Typen personopplysninger og kategorier av registrerte — er de spesifisert?
Instruksbasert behandling (a) — er det dokumentert?
Taushetsplikt for personell (b) — er det bekreftet?
Sikkerhetstiltak (c) — er de beskrevet konkret, inkludert kryptering?
Underdatabehandlere (d) — er de listet med forhåndstillatelse?
Bistand ved registrertes rettigheter (e) — er prosedyren beskrevet?
Bistand ved sikkerhet/DPIA (f) — inkludert varsling ved brudd?
Sletteplikt (g) — er tidsramme og metode beskrevet?
Revisjonsrett (h) — er den avtalt?
Overføring til tredjestat — er overføringsgrunnlag dokumentert?
Rettskilder brukt i denne artikkelen
- GDPR art. 24, 28, 29, 30, 32, 44, 46
- Personopplysningsloven § 26
- PVN-2021-21 (OUS, databehandleravtale)
- PVN-2024-17 (NAV, pålegg)
- Innføring og oppgavesamling i personvernrett kap. 7.3
- Karnov lovkommentar til art. 28
Relaterte artikler
- GDPR og dokumentoverføring: Hva artikkel 32 betyr i praksis
- Det juridiske rammeverket for sikker digital dokumentoverføring
- Zero-knowledge-arkitektur
Håkon Haugen er praktiserende verge og grunnlegger av envei.no.
Håkon Haugen
Praktiserende verge og grunnlegger av envei.no
Trenger du å sende dokumenter sikkert?
Prøv envei gratis →