Databehandleraftale i 2026

Hvad er en databehandleraftale?

En databehandleraftale er en kontrakt mellem den dataansvarlige (din virksomhed) og en databehandler (den eksterne part, der behandler persondata for dig). Aftalen fastlægger rammerne for, hvordan databehandleren må håndtere personoplysningerne, og hvilke sikkerhedsforanstaltninger der skal overholdes.

Den dataansvarlige er den virksomhed, der bestemmer formålet med og midlerne til behandlingen af persondata. Databehandleren er den part, der behandler data på vegne af den dataansvarlige. Dit regnskabsprogram, din hostingudbyder og din e-mail-tjeneste er typiske databehandlere.

Hvornår har du brug for en databehandleraftale?

Du skal indgå en databehandleraftale, hver gang du overlader behandling af personoplysninger til en ekstern part. Typiske situationer:

• Regnskabsprogram: Dinero, e-conomic, Billy mv. behandler kundernes navne, adresser og fakturadata
• Hosting og cloud: Din webhost opbevarer data fra kontaktformularer, ordrer mv.
• Nyhedsbreve: Mailchimp, ActiveCampaign mv. behandler e-mailadresser
• CRM-systemer: HubSpot, Pipedrive mv. behandler kundedata
• Lønbureau: Et eksternt lønbureau behandler medarbejdernes persondata
• IT-support: En ekstern IT-leverandør med adgang til dine systemer

Du behøver ikke en databehandleraftale med din bank eller SKAT, da de behandler data som selvstændige dataansvarlige, ikke som dine databehandlere.

Hvad skal databehandleraftalen indeholde?

GDPR artikel 28 stiller krav om, at databehandleraftalen som minimum dækker:

• Formål og instruks: Databehandleren må kun behandle persondata efter dokumenteret instruks fra dig
• Fortrolighed: Medarbejdere hos databehandleren skal være underlagt tavshedspligt
• Sikkerhedsforanstaltninger: Databehandleren skal implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger
• Underdatabehandlere: Regler for brug af underdatabehandlere (kræver din godkendelse)
• Registreredes rettigheder: Databehandleren skal bistå dig med at opfylde de registreredes rettigheder (indsigt, sletning mv.)
• Sletning: Ved aftalens ophør skal data slettes eller returneres
• Audit: Du skal have ret til at føre tilsyn med databehandlerens overholdelse
• Overførsel til tredjelande: Regler for overførsel af data til lande uden for EU/EØS

Datatilsynets standardkontraktbestemmelser

Datatilsynet har udarbejdet et sæt standardkontraktbestemmelser, som du kan bruge som skabelon for din databehandleraftale. Skabelonen opfylder minimumskravene i GDPR artikel 28 og er gratis at bruge.

For de fleste mindre virksomheder er standardkontraktbestemmelserne tilstrækkelige. Hvis du har komplekse databehandlingsforhold eller overfører data til lande uden for EU, bør du få aftalen tilpasset af en jurist.

Underdatabehandlere: Hvad er reglerne?

En underdatabehandler er en tredjepart, som din databehandler bruger til at behandle persondata. Fx kan dit regnskabsprogram bruge en cloud-udbyder som Amazon Web Services til at opbevare dine data. I den situation er cloud-udbyderen en underdatabehandler.

Ifølge GDPR skal din databehandler have din forudgående godkendelse til at bruge underdatabehandlere. Databehandleraftalen skal regulere, hvordan denne godkendelse gives (enten specifik eller generel med mulighed for indsigelse).

Overførsel af data til tredjelande

Hvis din databehandler overfører persondata til lande uden for EU/EØS (fx USA), gælder der særlige regler. Overførslen kræver et gyldigt overførselsgrundlag, som fx:

• EU-Kommissionens tilstrækkelighedsafgørelse (fx EU-US Data Privacy Framework)
• Standardkontraktbestemmelser (SCC)
• Binding Corporate Rules (BCR)

Mange populære cloud-tjenester som Google, Microsoft og Amazon har servere i EU, men bruger stadig underdatabehandlere i USA. Tjek altid, hvor dine data opbevares, og om der er et gyldigt overførselsgrundlag.

Konsekvenser ved manglende databehandleraftale

Manglende databehandleraftale er en direkte overtrædelse af GDPR og kan medføre:

• Bøder: Datatilsynet kan udstede bøder for manglende overholdelse
• Påbud: Krav om at bringe forholdet i orden inden en fastsat frist
• Omdømmetab: Et databrud uden databehandleraftale kan skade din virksomheds omdømme

Sørg for at have styr på alle dine databehandleraftaler. Opbevar dem samlet og gennemgå dem mindst en gang om året. Hold styr på dine leverandører og udgifter via dit regnskabsprogram og din erhvervskonto. Skal du oprette et ApS, er det vigtigt at have GDPR-dokumenterne klar fra start. Se også vores oversigt over virksomhedsformer.