{"id":20797,"date":"2026-06-06T17:22:59","date_gmt":"2026-06-06T17:22:59","guid":{"rendered":"https:\/\/nordialaw.com\/?page_id=20797"},"modified":"2026-06-06T17:40:28","modified_gmt":"2026-06-06T17:40:28","slug":"databehandleravtale-underleverandorer","status":"publish","type":"page","link":"https:\/\/nordialaw.com\/no\/personvern\/databehandleravtale-underleverandorer\/","title":{"rendered":"Databehandleravtaler"},"content":{"rendered":"<div class=\"title-excerpt\">\n\t        <h1 class=\"title-excerpt__title\">Databehandleravtaler<\/h1>\n\t\n\t<\/div>\n\n<div class=\"grid-container small-block-spacing\" >\n    <div class=\"text-area-block grid-x grid-margin-x\">\n        <div class=\"cell large-12 medium-12\">\n\t\t\t\t\n            <p><em>Sist oppdatert 6. juni 2026<\/em><\/p>\n<table style=\"width: 100%;border-collapse: collapse;margin: 0 0 22px\" role=\"presentation\" width=\"100%\" cellspacing=\"0\" cellpadding=\"0\">\n<tbody>\n<tr>\n<td style=\"background-color: #edd3c7;padding: 18px 22px\" bgcolor=\"#EDD3C7\">\n<p style=\"font-family: Georgia,'Times New Roman',serif;color: #00224c;font-weight: bold;font-size: 17px;margin: 0 0 8px\">Kort fortalt<\/p>\n<ul>\n<li>En databehandleravtale etter GDPR artikkel 28 er p\u00e5krevd n\u00e5r en leverand\u00f8r behandler personopplysninger p\u00e5 vegne av virksomheten din. Avtalen m\u00e5 oppfylle bestemte minstekrav.<\/li>\n<li>Bruk av underleverand\u00f8rer (underdatabehandlere) krever tillatelse fra den behandlingsansvarlige, og de samme forpliktelsene skal f\u00f8lge med nedover hele kjeden. Databehandleren forblir fullt ut ansvarlig overfor deg \u2013 men det endelige ansvaret ligger hos den behandlingsansvarlige.<\/li>\n<li>Den viktigste blindsonen: en leverand\u00f8r kan ha dataresidens i E\u00d8S og likevel v\u00e6re underlagt et tredjelands jurisdiksjon. Da kan for eksempel amerikansk lov (CLOUD Act, FISA \u00a7 702) kreve utlevering \u2013 uavhengig av hvor serverne fysisk st\u00e5r.<\/li>\n<li>GDPR artikkel 48 tillater ikke utlevering til en utenlandsk myndighet uten folkerettslig grunnlag, og instruksunntaket i artikkel 28(3)(a) gjelder bare E\u00d8S-rett \u2013 ikke tredjelands lover. Risikoen m\u00e5 derfor inn i leverand\u00f8rvurderingen og overf\u00f8ringsvurderingen, og h\u00e5ndteres med tiltak som kundekontrollerte krypteringsn\u00f8kler.<\/li>\n<\/ul>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Hva er en databehandleravtale \u2013 og n\u00e5r kreves den?<\/h2>\n<p>En databehandleravtale regulerer forholdet mellom en behandlingsansvarlig og en databehandler \u2013 en leverand\u00f8r som behandler personopplysninger p\u00e5 den behandlingsansvarliges vegne. Avtalen er p\u00e5krevd etter personvernforordningen artikkel 28(3) n\u00e5r en slik leverand\u00f8r tas i bruk.<\/p>\n<p>Den behandlingsansvarlige bestemmer form\u00e5let med og midlene for behandlingen, og b\u00e6rer ansvaret for at regelverket f\u00f8lges. Databehandleren behandler bare opplysningene slik den behandlingsansvarlige har instruert. Avtalen skal v\u00e6re bindende og skriftlig (elektronisk form er tilstrekkelig), og den setter den rettslige rammen for hva databehandleren kan og ikke kan gj\u00f8re. Et grunnvilk\u00e5r ligger allerede i artikkel 28(1): den behandlingsansvarlige skal bare bruke databehandlere som gir \u00abtilstrekkelige garantier\u00bb for at behandlingen oppfyller forordningens krav.<\/p>\n<h2>Hva m\u00e5 en databehandleravtale inneholde?<\/h2>\n<p>Artikkel 28(3) fastsetter et sett minstekrav. Avtalen skal beskrive behandlingens gjenstand, varighet, art og form\u00e5l, hvilke typer opplysninger og kategorier av registrerte som omfattes, og den behandlingsansvarliges rettigheter og plikter. I tillegg skal den p\u00e5legge databehandleren f\u00f8lgende:<\/p>\n<table style=\"width: 100%;border-collapse: collapse;margin: 0 0 16px;font-size: 14px\" width=\"100%\" cellspacing=\"0\" cellpadding=\"0\">\n<thead>\n<tr>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\">Krav<\/th>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\">Hjemmel<\/th>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\">Kort om<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Behandling bare p\u00e5 dokumenterte instrukser<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Art. 28(3)(a)<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Ogs\u00e5 ved overf\u00f8ring til tredjestat; avvik bare der E\u00d8S-retten krever det<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Konfidensialitet<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Art. 28(3)(b)<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">De som behandler opplysningene er underlagt taushetsplikt<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Sikkerhet<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Art. 28(3)(c)<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Tekniske og organisatoriske tiltak etter artikkel 32<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Vilk\u00e5r for underleverand\u00f8rer<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Art. 28(3)(d)<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Bruk av underdatabehandler krever tillatelse og videref\u00f8ring av forpliktelsene<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Bistand med de registrertes rettigheter<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Art. 28(3)(e)<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Hjelp til innsyn, retting, sletting mv.<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Bistand med sikkerhet, avvik og DPIA<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Art. 28(3)(f)<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Hjelp til \u00e5 oppfylle artikkel 32\u201336<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Sletting eller tilbakelevering<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Art. 28(3)(g)<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Ved opph\u00f8r, etter den behandlingsansvarliges valg<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Revisjon og dokumentasjon<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Art. 28(3)(h)<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Stille dokumentasjon til r\u00e5dighet og tillate revisjoner og inspeksjoner<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Datatilsynet har en praktisk veileder om kravene til innholdet i en databehandleravtale. Et b\u00e6rende prinsipp der er at jo mer omfattende, inngripende eller risikofylt behandlingen er, desto mer konkret m\u00e5 avtalen v\u00e6re \u2013 og desto mer av det som ellers er anbefalinger, blir reelle krav.<\/p>\n<h2>Hvordan reguleres underdatabehandlere?<\/h2>\n<p>En databehandler kan ikke fritt sette ut hele eller deler av behandlingen til en underleverand\u00f8r. Bruk av underdatabehandler (underleverand\u00f8r) krever forh\u00e5ndstillatelse fra den behandlingsansvarlige \u2013 enten en spesifikk tillatelse for den enkelte leverand\u00f8ren, eller en generell tillatelse (artikkel 28(2)).<\/p>\n<p>Ved generell tillatelse skal databehandleren varsle den behandlingsansvarlige om planlagte endringer i kretsen av underleverand\u00f8rer, slik at den behandlingsansvarlige f\u00e5r anledning til \u00e5 motsette seg endringen. De samme personvernforpliktelsene som f\u00f8lger av hovedavtalen, skal p\u00e5legges underleverand\u00f8ren i en egen avtale (artikkel 28(4)). Oppfyller ikke underleverand\u00f8ren forpliktelsene sine, blir databehandleren fullt ut ansvarlig overfor den behandlingsansvarlige.<\/p>\n<p>I praksis b\u00f8r den behandlingsansvarlige sikres som begunstiget tredjepart i underdatabehandleravtalen, slik at den behandlingsansvarlige kan tre inn og gj\u00f8re rettigheter gjeldende \u2013 for eksempel instruere om sletting \u2013 dersom databehandleren skulle g\u00e5 konkurs.<\/p>\n<h2>Hvor langt ned i kjeden g\u00e5r ansvaret?<\/h2>\n<p>Ansvaret g\u00e5r hele veien ned. I Opinion 22\/2024 (vedtatt 7. oktober 2024) slo EDPB fast at den behandlingsansvarliges plikt til \u00e5 verifisere at leddene gir \u00abtilstrekkelige garantier\u00bb, gjelder hele kjeden av databehandlere og underdatabehandlere \u2013 ikke bare det f\u00f8rste leddet.<\/p>\n<p>Sentrale punkter fra uttalelsen: Den behandlingsansvarlige skal til enhver tid ha tilgjengelig informasjon om identiteten \u2013 navn, adresse og kontaktperson \u2013 til samtlige databehandlere og underdatabehandlere i kjeden, og databehandleren skal opplyse om hele kjeden. Verifikasjonsplikten gjelder uavhengig av risikoen ved behandlingen, men omfanget av kontrollen kan tilpasses risikoen. Den behandlingsansvarlige m\u00e5 ikke systematisk innhente hver enkelt underleverand\u00f8ravtale for \u00e5 kontrollere at forpliktelsene er videref\u00f8rt, men kan basere seg p\u00e5 dokumentasjon og informasjonsutveksling. Det endelige valget av \u2013 og ansvaret for \u2013 en bestemt underleverand\u00f8r ligger likevel hos den behandlingsansvarlige. Verifikasjonen er dessuten en l\u00f8pende plikt, som ved behov omfatter revisjoner og inspeksjoner.<\/p>\n<h2>Dataresidens er ikke det samme som datasuverenitet<\/h2>\n<p>Her ligger den praktiske kjernen. At en leverand\u00f8r lagrer dataene dine i et datasenter i E\u00d8S, beskytter ikke i seg selv mot et tredjelands lover. Det avgj\u00f8rende er ikke hvor serverne st\u00e5r, men hvilken jurisdiksjon leverand\u00f8ren \u2013 eller konsernet leverand\u00f8ren tilh\u00f8rer \u2013 er underlagt.<\/p>\n<p>Den amerikanske CLOUD Act fra 2018 p\u00e5legger amerikanske leverand\u00f8rer, og leverand\u00f8rer under amerikansk kontroll, \u00e5 utlevere data de har i sin \u00abbesittelse, varetekt eller kontroll\u00bb etter gyldig amerikansk p\u00e5legg \u2013 uansett hvor dataene fysisk er lagret, ogs\u00e5 i et europeisk datasenter. Loven f\u00f8lger med andre ord leverand\u00f8rens kontroll, ikke dataenes plassering. P\u00e5 etterretningssiden gir FISA \u00a7 702 og presidentordre 12333 grunnlag for innsamling som rammer ikke-amerikanske personer; dette var nettopp kjernen i Schrems II-dommen.<\/p>\n<p>Det inneb\u00e6rer at \u00absovereign cloud\u00bb- eller \u00abE\u00d8S-residens\u00bb-merking fra en amerikansk-kontrollert leverand\u00f8r kan styrke sikkerheten, men ikke fjerner den underliggende jurisdiksjonskonflikten. Et tilleggsmoment er at amerikanske p\u00e5legg ofte f\u00f8lges av et taushetsp\u00e5legg: leverand\u00f8ren kan v\u00e6re rettslig forhindret fra \u00e5 varsle den europeiske kunden om at innsyn har funnet sted. En kontraktsfestet varslingsplikt er da underordnet leverand\u00f8rens lovp\u00e5lagte plikter.<\/p>\n<h2>Hvorfor l\u00f8ser ikke artikkel 48 og artikkel 28(3)(a) problemet?<\/h2>\n<p>Fordi GDPR forbyr nettopp den utleveringen tredjelandsloven krever \u2013 uten \u00e5 oppheve tredjelandslovens krav til leverand\u00f8ren. Det er denne konflikten som er problemet.<\/p>\n<p>Artikkel 48 fastsetter at en avgj\u00f8relse fra en domstol eller forvaltningsmyndighet i et tredjeland som krever utlevering av personopplysninger, bare kan anerkjennes eller h\u00e5ndheves dersom den bygger p\u00e5 en folkerettslig avtale, typisk en avtale om gjensidig rettslig bistand (MLAT). Et CLOUD Act-p\u00e5legg er ikke en slik avtale. EDPB og EDPS har i en felles uttalelse fra 2019 lagt til grunn at en leverand\u00f8r underlagt E\u00d8S-rett ikke lovlig kan basere utlevering til amerikanske myndigheter p\u00e5 slike p\u00e5legg alene. Leverand\u00f8ren havner dermed i en ekte lovkonflikt.<\/p>\n<p>Instruksunntaket i artikkel 28(3)(a) hjelper heller ikke. En databehandler kan bare fravike den behandlingsansvarliges instruks n\u00e5r det kreves \u00abi henhold til unionsretten eller medlemsstatenes nasjonale rett\u00bb. Et tredjelands lov \u2013 som CLOUD Act \u2013 omfattes ikke av dette unntaket. En underleverand\u00f8r som utleverer opplysninger fordi amerikansk lov krever det, handler alts\u00e5 verken etter en gyldig instruks eller innenfor et anerkjent unntak. P\u00e5 siden av personopplysningsretten har EU bygget et ekstra lag gjennom Data Act (forordning (EU) 2023\/2854), som fra september 2025 krever at skytjenesteleverand\u00f8rer iverksetter tiltak for \u00e5 hindre ulovlig tredjelands myndighetstilgang \u2013 men de bestemmelsene gjelder f\u00f8rst og fremst ikke-personopplysninger, mens personopplysninger fortsatt styres av GDPR.<\/p>\n<h2>Slik vurderer du risikoen ved underleverand\u00f8rer i praksis<\/h2>\n<p>En forsvarlig vurdering kombinerer leverand\u00f8rvurderingen etter artikkel 28(1), overf\u00f8ringsvurderingen etter Schrems II og sikkerhetskravet i artikkel 32. Konkret b\u00f8r du:<\/p>\n<ol>\n<li>Kartlegge hele kjeden: hvilke databehandlere og underdatabehandlere behandler opplysningene, hva behandler de, og hvor \u2013 inkludert fjerntilgang fra utlandet.<\/li>\n<li>Identifisere kontrollpunktene: hvilke ledd er underlagt et tredjelands jurisdiksjon, enten direkte eller gjennom eierskap og konserntilknytning. Sp\u00f8rsm\u00e5let er hvem som kontrollerer leverand\u00f8ren, ikke bare hvor dataene ligger.<\/li>\n<li>Vurdere innsynsrisikoen: hvor sannsynlig og hvor inngripende er en lovp\u00e5lagt tredjelands tilgang, sett opp mot opplysningenes art og de registrertes rettigheter.<\/li>\n<li>Iverksette tilleggstiltak der risikoen krever det, og dokumentere b\u00e5de vurderingen og tiltakene.<\/li>\n<li>Forhandle inn kontraktsvern: varslingsplikt s\u00e5 langt loven tillater, plikt til \u00e5 bestride p\u00e5legg, revisjonsrett og rett til \u00e5 motsette seg nye underleverand\u00f8rer.<\/li>\n<li>Etablere l\u00f8pende oppf\u00f8lging: kjeden endrer seg, og verifikasjonsplikten er kontinuerlig. For s\u00e6rlig sensitive eller kritiske behandlinger b\u00f8r E\u00d8S-kontrollerte alternativer vurderes.<\/li>\n<\/ol>\n<p>Tilleggstiltakene har ulik effekt \u2013 og ulike begrensninger. Det er viktig \u00e5 v\u00e6re \u00e6rlig om hva hvert tiltak faktisk l\u00f8ser:<\/p>\n<table style=\"width: 100%;border-collapse: collapse;margin: 0 0 16px;font-size: 14px\" width=\"100%\" cellspacing=\"0\" cellpadding=\"0\">\n<thead>\n<tr>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\">Tiltak<\/th>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\">Effekt<\/th>\n<th style=\"background-color: #00224c;color: #ffffff;font-family: Georgia,'Times New Roman',serif;font-weight: bold;text-align: left;padding: 9px 12px;border: 1px solid #00224C\" align=\"left\" bgcolor=\"#00224C\">Begrensning<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Kundekontrollerte krypteringsn\u00f8kler (kunden holder n\u00f8klene)<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Leverand\u00f8ren kan ikke utlevere lesbart innhold<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Forutsetter at tjenesten fungerer uten at leverand\u00f8ren har tilgang til klartekst; ikke alltid mulig for SaaS som m\u00e5 prosessere innholdet<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">E\u00d8S-dataresidens<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Styrer fysisk plassering og noen tilgangsformer<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Endrer geografi, ikke jurisdiksjon; l\u00f8ser ikke kontrollsp\u00f8rsm\u00e5let alene<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">E\u00d8S-kontrollert \/ suveren leverand\u00f8r<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Tar leverand\u00f8ren ut av tredjelands jurisdiksjon<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Kan gi mindre funksjonalitet; \u00absuveren sky\u00bb fra en amerikansk leverand\u00f8r fjerner ikke n\u00f8dvendigvis konsernkontrollen<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Avtalefestet varsling og plikt til \u00e5 bestride p\u00e5legg<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Gir innsyn og mulighet for rettslig pr\u00f8ving<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #f6f4f2\" bgcolor=\"#F6F4F2\">Underordnet leverand\u00f8rens lovp\u00e5lagte plikter; taushetsp\u00e5legg kan hindre varsling<\/td>\n<\/tr>\n<tr>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Dataminimering og pseudonymisering<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Reduserer hva som faktisk kan utleveres<\/td>\n<td style=\"padding: 8px 12px;border: 1px solid #D9D5D1;background-color: #ffffff\" bgcolor=\"#FFFFFF\">Reduserer ikke risikoen for det som likevel m\u00e5 behandles i klartekst<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Der det foreligger en overf\u00f8ring til tredjeland, m\u00e5 risikovurderingen suppleres med et gyldig overf\u00f8ringsgrunnlag og en overf\u00f8ringsvurdering. Det behandler vi n\u00e6rmere p\u00e5 v\u00e5r side om <a href=\"https:\/\/nordialaw.com\/no\/overforing-til-tredjeland\/\">overf\u00f8ring til tredjeland<\/a>.<\/p>\n<table style=\"width: 100%;border-collapse: collapse;margin: 26px 0 10px\" role=\"presentation\" width=\"100%\" cellspacing=\"0\" cellpadding=\"0\">\n<tbody>\n<tr>\n<td style=\"background-color: #f6f4f2;border-top: 3px solid #00224C;padding: 18px 22px\" bgcolor=\"#F6F4F2\">\n<p style=\"font-family: Georgia,'Times New Roman',serif;color: #00224c;font-weight: bold;font-size: 18px;margin: 0 0 8px\">Slik kan Nordia bist\u00e5<\/p>\n<p style=\"margin: 0 0 10px;font-size: 15px\">Nordia bist\u00e5r virksomheter i hele Norden med databehandleravtaler og leverand\u00f8rkjeder \u2013 fra utforming og gjennomgang av databehandler- og underdatabehandleravtaler, til leverand\u00f8rvurderinger etter artikkel 28, kartlegging av tredjelandseksponering og overf\u00f8ringsvurderinger etter Schrems II, og r\u00e5dgivning om tilleggstiltak som kundekontrollert kryptering. Vurderingen inng\u00e5r ogs\u00e5 i v\u00e5rt strukturerte AI-klar-rammeverk for virksomheter som tar i bruk sky- og AI-tjenester.<\/p>\n<p style=\"margin: 0;font-size: 15px\"><a href=\"https:\/\/nordialaw.com\/no\/people\/kjell-steffner\/\">Ta kontakt med v\u00e5rt personvernteam<\/a> \u00a0\u00b7\u00a0 <a href=\"https:\/\/nordialaw.com\/no\/personvern\/\">Se hele personverntilbudet v\u00e5rt<\/a><\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>Kilder:<\/strong> GDPR artikkel 28, 32 og 48 samt kapittel V; <a href=\"https:\/\/www.datatilsynet.no\/rettigheter-og-plikter\/virksomhetenes-plikter\/hvordan-lage-en-databehandleravtale\/\">Datatilsynets veileder om databehandleravtaler<\/a>; <a href=\"https:\/\/www.edpb.europa.eu\/system\/files\/2024-10\/edpb_opinion_202422_relianceonprocessors-sub-processors_en.pdf\">EDPB Opinion 22\/2024<\/a>; EDPB Guidelines 07\/2020 (behandlingsansvarlig og databehandler); EDPB Recommendations 01\/2020; EDPB og EDPS\u2019 felles uttalelse om CLOUD Act (2019); US CLOUD Act (2018); FISA \u00a7 702; EU-domstolen sak C-311\/18 (Schrems II); Data Act (forordning (EU) 2023\/2854).<\/p>\n\n        <\/div>\n    <\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"","protected":false},"author":12,"featured_media":0,"parent":20007,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"content-type":"","footnotes":""},"class_list":["post-20797","page","type-page","status-publish","hentry"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.8 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Databehandleravtale og underleverand\u00f8rer: risiko og krav<\/title>\n<meta name=\"description\" content=\"En databehandleravtale m\u00e5 oppfylle GDPR artikkel 28 \u2013 og E\u00d8S-residens beskytter ikke mot tredjelands innsyn. Slik vurderer du risikoen ved underleverand\u00f8rer.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/nordialaw.com\/no\/personvern\/databehandleravtale-underleverandorer\/\" \/>\n<meta property=\"og:locale\" content=\"nb_NO\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Databehandleravtale og underleverand\u00f8rer: risiko og krav\" \/>\n<meta property=\"og:description\" content=\"En databehandleravtale m\u00e5 oppfylle GDPR artikkel 28 \u2013 og E\u00d8S-residens beskytter ikke mot tredjelands innsyn. Slik vurderer du risikoen ved underleverand\u00f8rer.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/nordialaw.com\/no\/personvern\/databehandleravtale-underleverandorer\/\" \/>\n<meta property=\"og:site_name\" content=\"Nordia Law\" \/>\n<meta property=\"article:modified_time\" content=\"2026-06-06T17:40:28+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Ansl. lesetid\" \/>\n\t<meta name=\"twitter:data1\" content=\"7 minutter\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/nordialaw.com\\\/no\\\/personvern\\\/databehandleravtale-underleverandorer\\\/\",\"url\":\"https:\\\/\\\/nordialaw.com\\\/no\\\/personvern\\\/databehandleravtale-underleverandorer\\\/\",\"name\":\"Databehandleravtale og underleverand\u00f8rer: risiko og krav\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/nordialaw.com\\\/#website\"},\"datePublished\":\"2026-06-06T17:22:59+00:00\",\"dateModified\":\"2026-06-06T17:40:28+00:00\",\"description\":\"En databehandleravtale m\u00e5 oppfylle GDPR artikkel 28 \u2013 og E\u00d8S-residens beskytter ikke mot tredjelands innsyn. Slik vurderer du risikoen ved underleverand\u00f8rer.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/nordialaw.com\\\/no\\\/personvern\\\/databehandleravtale-underleverandorer\\\/#breadcrumb\"},\"inLanguage\":\"nb-NO\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/nordialaw.com\\\/no\\\/personvern\\\/databehandleravtale-underleverandorer\\\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/nordialaw.com\\\/no\\\/personvern\\\/databehandleravtale-underleverandorer\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/nordialaw.com\\\/no\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Personvern\",\"item\":\"https:\\\/\\\/nordialaw.com\\\/no\\\/personvern\\\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Databehandleravtaler\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/nordialaw.com\\\/#website\",\"url\":\"https:\\\/\\\/nordialaw.com\\\/\",\"name\":\"Nordia Law\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\\\/\\\/nordialaw.com\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/nordialaw.com\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"nb-NO\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/nordialaw.com\\\/#organization\",\"name\":\"Nordia Law\",\"url\":\"https:\\\/\\\/nordialaw.com\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"nb-NO\",\"@id\":\"https:\\\/\\\/nordialaw.com\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/nordialaw.com\\\/wp-content\\\/uploads\\\/2021\\\/09\\\/Layer-1.svg\",\"contentUrl\":\"https:\\\/\\\/nordialaw.com\\\/wp-content\\\/uploads\\\/2021\\\/09\\\/Layer-1.svg\",\"width\":197,\"height\":45,\"caption\":\"Nordia Law\"},\"image\":{\"@id\":\"https:\\\/\\\/nordialaw.com\\\/#\\\/schema\\\/logo\\\/image\\\/\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Databehandleravtale og underleverand\u00f8rer: risiko og krav","description":"En databehandleravtale m\u00e5 oppfylle GDPR artikkel 28 \u2013 og E\u00d8S-residens beskytter ikke mot tredjelands innsyn. Slik vurderer du risikoen ved underleverand\u00f8rer.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/nordialaw.com\/no\/personvern\/databehandleravtale-underleverandorer\/","og_locale":"nb_NO","og_type":"article","og_title":"Databehandleravtale og underleverand\u00f8rer: risiko og krav","og_description":"En databehandleravtale m\u00e5 oppfylle GDPR artikkel 28 \u2013 og E\u00d8S-residens beskytter ikke mot tredjelands innsyn. Slik vurderer du risikoen ved underleverand\u00f8rer.","og_url":"https:\/\/nordialaw.com\/no\/personvern\/databehandleravtale-underleverandorer\/","og_site_name":"Nordia Law","article_modified_time":"2026-06-06T17:40:28+00:00","twitter_card":"summary_large_image","twitter_misc":{"Ansl. lesetid":"7 minutter"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/nordialaw.com\/no\/personvern\/databehandleravtale-underleverandorer\/","url":"https:\/\/nordialaw.com\/no\/personvern\/databehandleravtale-underleverandorer\/","name":"Databehandleravtale og underleverand\u00f8rer: risiko og krav","isPartOf":{"@id":"https:\/\/nordialaw.com\/#website"},"datePublished":"2026-06-06T17:22:59+00:00","dateModified":"2026-06-06T17:40:28+00:00","description":"En databehandleravtale m\u00e5 oppfylle GDPR artikkel 28 \u2013 og E\u00d8S-residens beskytter ikke mot tredjelands innsyn. Slik vurderer du risikoen ved underleverand\u00f8rer.","breadcrumb":{"@id":"https:\/\/nordialaw.com\/no\/personvern\/databehandleravtale-underleverandorer\/#breadcrumb"},"inLanguage":"nb-NO","potentialAction":[{"@type":"ReadAction","target":["https:\/\/nordialaw.com\/no\/personvern\/databehandleravtale-underleverandorer\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/nordialaw.com\/no\/personvern\/databehandleravtale-underleverandorer\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/nordialaw.com\/no\/"},{"@type":"ListItem","position":2,"name":"Personvern","item":"https:\/\/nordialaw.com\/no\/personvern\/"},{"@type":"ListItem","position":3,"name":"Databehandleravtaler"}]},{"@type":"WebSite","@id":"https:\/\/nordialaw.com\/#website","url":"https:\/\/nordialaw.com\/","name":"Nordia Law","description":"","publisher":{"@id":"https:\/\/nordialaw.com\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/nordialaw.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"nb-NO"},{"@type":"Organization","@id":"https:\/\/nordialaw.com\/#organization","name":"Nordia Law","url":"https:\/\/nordialaw.com\/","logo":{"@type":"ImageObject","inLanguage":"nb-NO","@id":"https:\/\/nordialaw.com\/#\/schema\/logo\/image\/","url":"https:\/\/nordialaw.com\/wp-content\/uploads\/2021\/09\/Layer-1.svg","contentUrl":"https:\/\/nordialaw.com\/wp-content\/uploads\/2021\/09\/Layer-1.svg","width":197,"height":45,"caption":"Nordia Law"},"image":{"@id":"https:\/\/nordialaw.com\/#\/schema\/logo\/image\/"}}]}},"_links":{"self":[{"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/pages\/20797","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/comments?post=20797"}],"version-history":[{"count":2,"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/pages\/20797\/revisions"}],"predecessor-version":[{"id":20801,"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/pages\/20797\/revisions\/20801"}],"up":[{"embeddable":true,"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/pages\/20007"}],"wp:attachment":[{"href":"https:\/\/nordialaw.com\/no\/wp-json\/wp\/v2\/media?parent=20797"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}