Databehandleravtaler
Sist oppdatert 6. juni 2026
|
Kort fortalt
|
Hva er en databehandleravtale – og når kreves den?
En databehandleravtale regulerer forholdet mellom en behandlingsansvarlig og en databehandler – en leverandør som behandler personopplysninger på den behandlingsansvarliges vegne. Avtalen er påkrevd etter personvernforordningen artikkel 28(3) når en slik leverandør tas i bruk.
Den behandlingsansvarlige bestemmer formålet med og midlene for behandlingen, og bærer ansvaret for at regelverket følges. Databehandleren behandler bare opplysningene slik den behandlingsansvarlige har instruert. Avtalen skal være bindende og skriftlig (elektronisk form er tilstrekkelig), og den setter den rettslige rammen for hva databehandleren kan og ikke kan gjøre. Et grunnvilkår ligger allerede i artikkel 28(1): den behandlingsansvarlige skal bare bruke databehandlere som gir «tilstrekkelige garantier» for at behandlingen oppfyller forordningens krav.
Hva må en databehandleravtale inneholde?
Artikkel 28(3) fastsetter et sett minstekrav. Avtalen skal beskrive behandlingens gjenstand, varighet, art og formål, hvilke typer opplysninger og kategorier av registrerte som omfattes, og den behandlingsansvarliges rettigheter og plikter. I tillegg skal den pålegge databehandleren følgende:
| Krav | Hjemmel | Kort om |
|---|---|---|
| Behandling bare på dokumenterte instrukser | Art. 28(3)(a) | Også ved overføring til tredjestat; avvik bare der EØS-retten krever det |
| Konfidensialitet | Art. 28(3)(b) | De som behandler opplysningene er underlagt taushetsplikt |
| Sikkerhet | Art. 28(3)(c) | Tekniske og organisatoriske tiltak etter artikkel 32 |
| Vilkår for underleverandører | Art. 28(3)(d) | Bruk av underdatabehandler krever tillatelse og videreføring av forpliktelsene |
| Bistand med de registrertes rettigheter | Art. 28(3)(e) | Hjelp til innsyn, retting, sletting mv. |
| Bistand med sikkerhet, avvik og DPIA | Art. 28(3)(f) | Hjelp til å oppfylle artikkel 32–36 |
| Sletting eller tilbakelevering | Art. 28(3)(g) | Ved opphør, etter den behandlingsansvarliges valg |
| Revisjon og dokumentasjon | Art. 28(3)(h) | Stille dokumentasjon til rådighet og tillate revisjoner og inspeksjoner |
Datatilsynet har en praktisk veileder om kravene til innholdet i en databehandleravtale. Et bærende prinsipp der er at jo mer omfattende, inngripende eller risikofylt behandlingen er, desto mer konkret må avtalen være – og desto mer av det som ellers er anbefalinger, blir reelle krav.
Hvordan reguleres underdatabehandlere?
En databehandler kan ikke fritt sette ut hele eller deler av behandlingen til en underleverandør. Bruk av underdatabehandler (underleverandør) krever forhåndstillatelse fra den behandlingsansvarlige – enten en spesifikk tillatelse for den enkelte leverandøren, eller en generell tillatelse (artikkel 28(2)).
Ved generell tillatelse skal databehandleren varsle den behandlingsansvarlige om planlagte endringer i kretsen av underleverandører, slik at den behandlingsansvarlige får anledning til å motsette seg endringen. De samme personvernforpliktelsene som følger av hovedavtalen, skal pålegges underleverandøren i en egen avtale (artikkel 28(4)). Oppfyller ikke underleverandøren forpliktelsene sine, blir databehandleren fullt ut ansvarlig overfor den behandlingsansvarlige.
I praksis bør den behandlingsansvarlige sikres som begunstiget tredjepart i underdatabehandleravtalen, slik at den behandlingsansvarlige kan tre inn og gjøre rettigheter gjeldende – for eksempel instruere om sletting – dersom databehandleren skulle gå konkurs.
Hvor langt ned i kjeden går ansvaret?
Ansvaret går hele veien ned. I Opinion 22/2024 (vedtatt 7. oktober 2024) slo EDPB fast at den behandlingsansvarliges plikt til å verifisere at leddene gir «tilstrekkelige garantier», gjelder hele kjeden av databehandlere og underdatabehandlere – ikke bare det første leddet.
Sentrale punkter fra uttalelsen: Den behandlingsansvarlige skal til enhver tid ha tilgjengelig informasjon om identiteten – navn, adresse og kontaktperson – til samtlige databehandlere og underdatabehandlere i kjeden, og databehandleren skal opplyse om hele kjeden. Verifikasjonsplikten gjelder uavhengig av risikoen ved behandlingen, men omfanget av kontrollen kan tilpasses risikoen. Den behandlingsansvarlige må ikke systematisk innhente hver enkelt underleverandøravtale for å kontrollere at forpliktelsene er videreført, men kan basere seg på dokumentasjon og informasjonsutveksling. Det endelige valget av – og ansvaret for – en bestemt underleverandør ligger likevel hos den behandlingsansvarlige. Verifikasjonen er dessuten en løpende plikt, som ved behov omfatter revisjoner og inspeksjoner.
Dataresidens er ikke det samme som datasuverenitet
Her ligger den praktiske kjernen. At en leverandør lagrer dataene dine i et datasenter i EØS, beskytter ikke i seg selv mot et tredjelands lover. Det avgjørende er ikke hvor serverne står, men hvilken jurisdiksjon leverandøren – eller konsernet leverandøren tilhører – er underlagt.
Den amerikanske CLOUD Act fra 2018 pålegger amerikanske leverandører, og leverandører under amerikansk kontroll, å utlevere data de har i sin «besittelse, varetekt eller kontroll» etter gyldig amerikansk pålegg – uansett hvor dataene fysisk er lagret, også i et europeisk datasenter. Loven følger med andre ord leverandørens kontroll, ikke dataenes plassering. På etterretningssiden gir FISA § 702 og presidentordre 12333 grunnlag for innsamling som rammer ikke-amerikanske personer; dette var nettopp kjernen i Schrems II-dommen.
Det innebærer at «sovereign cloud»- eller «EØS-residens»-merking fra en amerikansk-kontrollert leverandør kan styrke sikkerheten, men ikke fjerner den underliggende jurisdiksjonskonflikten. Et tilleggsmoment er at amerikanske pålegg ofte følges av et taushetspålegg: leverandøren kan være rettslig forhindret fra å varsle den europeiske kunden om at innsyn har funnet sted. En kontraktsfestet varslingsplikt er da underordnet leverandørens lovpålagte plikter.
Hvorfor løser ikke artikkel 48 og artikkel 28(3)(a) problemet?
Fordi GDPR forbyr nettopp den utleveringen tredjelandsloven krever – uten å oppheve tredjelandslovens krav til leverandøren. Det er denne konflikten som er problemet.
Artikkel 48 fastsetter at en avgjørelse fra en domstol eller forvaltningsmyndighet i et tredjeland som krever utlevering av personopplysninger, bare kan anerkjennes eller håndheves dersom den bygger på en folkerettslig avtale, typisk en avtale om gjensidig rettslig bistand (MLAT). Et CLOUD Act-pålegg er ikke en slik avtale. EDPB og EDPS har i en felles uttalelse fra 2019 lagt til grunn at en leverandør underlagt EØS-rett ikke lovlig kan basere utlevering til amerikanske myndigheter på slike pålegg alene. Leverandøren havner dermed i en ekte lovkonflikt.
Instruksunntaket i artikkel 28(3)(a) hjelper heller ikke. En databehandler kan bare fravike den behandlingsansvarliges instruks når det kreves «i henhold til unionsretten eller medlemsstatenes nasjonale rett». Et tredjelands lov – som CLOUD Act – omfattes ikke av dette unntaket. En underleverandør som utleverer opplysninger fordi amerikansk lov krever det, handler altså verken etter en gyldig instruks eller innenfor et anerkjent unntak. På siden av personopplysningsretten har EU bygget et ekstra lag gjennom Data Act (forordning (EU) 2023/2854), som fra september 2025 krever at skytjenesteleverandører iverksetter tiltak for å hindre ulovlig tredjelands myndighetstilgang – men de bestemmelsene gjelder først og fremst ikke-personopplysninger, mens personopplysninger fortsatt styres av GDPR.
Slik vurderer du risikoen ved underleverandører i praksis
En forsvarlig vurdering kombinerer leverandørvurderingen etter artikkel 28(1), overføringsvurderingen etter Schrems II og sikkerhetskravet i artikkel 32. Konkret bør du:
- Kartlegge hele kjeden: hvilke databehandlere og underdatabehandlere behandler opplysningene, hva behandler de, og hvor – inkludert fjerntilgang fra utlandet.
- Identifisere kontrollpunktene: hvilke ledd er underlagt et tredjelands jurisdiksjon, enten direkte eller gjennom eierskap og konserntilknytning. Spørsmålet er hvem som kontrollerer leverandøren, ikke bare hvor dataene ligger.
- Vurdere innsynsrisikoen: hvor sannsynlig og hvor inngripende er en lovpålagt tredjelands tilgang, sett opp mot opplysningenes art og de registrertes rettigheter.
- Iverksette tilleggstiltak der risikoen krever det, og dokumentere både vurderingen og tiltakene.
- Forhandle inn kontraktsvern: varslingsplikt så langt loven tillater, plikt til å bestride pålegg, revisjonsrett og rett til å motsette seg nye underleverandører.
- Etablere løpende oppfølging: kjeden endrer seg, og verifikasjonsplikten er kontinuerlig. For særlig sensitive eller kritiske behandlinger bør EØS-kontrollerte alternativer vurderes.
Tilleggstiltakene har ulik effekt – og ulike begrensninger. Det er viktig å være ærlig om hva hvert tiltak faktisk løser:
| Tiltak | Effekt | Begrensning |
|---|---|---|
| Kundekontrollerte krypteringsnøkler (kunden holder nøklene) | Leverandøren kan ikke utlevere lesbart innhold | Forutsetter at tjenesten fungerer uten at leverandøren har tilgang til klartekst; ikke alltid mulig for SaaS som må prosessere innholdet |
| EØS-dataresidens | Styrer fysisk plassering og noen tilgangsformer | Endrer geografi, ikke jurisdiksjon; løser ikke kontrollspørsmålet alene |
| EØS-kontrollert / suveren leverandør | Tar leverandøren ut av tredjelands jurisdiksjon | Kan gi mindre funksjonalitet; «suveren sky» fra en amerikansk leverandør fjerner ikke nødvendigvis konsernkontrollen |
| Avtalefestet varsling og plikt til å bestride pålegg | Gir innsyn og mulighet for rettslig prøving | Underordnet leverandørens lovpålagte plikter; taushetspålegg kan hindre varsling |
| Dataminimering og pseudonymisering | Reduserer hva som faktisk kan utleveres | Reduserer ikke risikoen for det som likevel må behandles i klartekst |
Der det foreligger en overføring til tredjeland, må risikovurderingen suppleres med et gyldig overføringsgrunnlag og en overføringsvurdering. Det behandler vi nærmere på vår side om overføring til tredjeland.
|
Slik kan Nordia bistå Nordia bistår virksomheter i hele Norden med databehandleravtaler og leverandørkjeder – fra utforming og gjennomgang av databehandler- og underdatabehandleravtaler, til leverandørvurderinger etter artikkel 28, kartlegging av tredjelandseksponering og overføringsvurderinger etter Schrems II, og rådgivning om tilleggstiltak som kundekontrollert kryptering. Vurderingen inngår også i vårt strukturerte AI-klar-rammeverk for virksomheter som tar i bruk sky- og AI-tjenester. Ta kontakt med vårt personvernteam · Se hele personverntilbudet vårt |
Kilder: GDPR artikkel 28, 32 og 48 samt kapittel V; Datatilsynets veileder om databehandleravtaler; EDPB Opinion 22/2024; EDPB Guidelines 07/2020 (behandlingsansvarlig og databehandler); EDPB Recommendations 01/2020; EDPB og EDPS’ felles uttalelse om CLOUD Act (2019); US CLOUD Act (2018); FISA § 702; EU-domstolen sak C-311/18 (Schrems II); Data Act (forordning (EU) 2023/2854).