GDPRscanner

5. juli 2026

Databehandleraftale (DPA) — hvornår, med hvem og hvad skal den indeholde?

Guide til databehandleraftaler for danske virksomheder: hvornår kræves en DPA, hvilke leverandører skal have en, og hvor du finder Datatilsynets skabelon.

Den aftale, næsten alle virksomheder mangler et par af

Databehandleraftale, eller DPA efter det engelske data processing agreement, er et af de ord i GDPR, der lyder mere kompliceret, end det er. Bag ordet gemmer sig en ret enkel idé: når en anden virksomhed håndterer personoplysninger for dig, skal I have skrevet ned, hvad de må og ikke må. Problemet er sjældent, at aftalerne er svære at få fat på. Det er, at de fleste virksomheder ikke har overblik over, hvor mange leverandører der egentlig behandler data på deres vegne.

Denne guide gennemgår, hvad forskellen er på en dataansvarlig og en databehandler, hvornår GDPR kræver en aftale, hvad den skal indeholde, hvor du finder Datatilsynets gratis skabelon, og hvilke faldgruber der oftest fanger små virksomheder.

Dataansvarlig eller databehandler — hvem er hvem?

Rollefordelingen afgør, hvem der har hvilket ansvar, så det er værd at få styr på først. Den dataansvarlige er den, der bestemmer, hvorfor og hvordan personoplysninger behandles. Databehandleren er den, der udfører behandlingen efter den dataansvarliges instruks, uden selv at bestemme formålet.

I praksis er du som virksomhed næsten altid den dataansvarlige for dine egne kunders og medarbejderes oplysninger. Dine leverandører er databehandlere, når de håndterer de oplysninger for dig. Nogle eksempler gør det konkret:

  • Mailudbyderen, der hoster din firma-mail, opbevarer indholdet af korrespondancen med dine kunder. Databehandler.
  • Bogføringssystemet, hvor kundernes navne og fakturaoplysninger ligger. Databehandler.
  • Hjemmeside-bureauet, der har adgang til din server og de henvendelser, kontaktformularen samler ind. Databehandler.
  • Hosting-leverandøren, hvor hele websitet og dets database fysisk ligger. Databehandler.

Bemærk, at en leverandør sagtens kan være dataansvarlig for sin egen del samtidig. Din revisor er for eksempel selvstændigt dataansvarlig for sin lovpligtige rådgivning, ikke din databehandler. Er du i tvivl om en konkret leverandør, hjælper det at spørge: bestemmer de selv formålet, eller følger de din instruks?

Rollefordelingen er ikke bare en formalitet. Den afgør, hvem der bærer ansvaret for hvad. Som dataansvarlig står du med det overordnede ansvar for, at behandlingen sker lovligt, og det er typisk dig, en klage eller en henvendelse fra Datatilsynet lander hos. Databehandleren har samtidig sit eget selvstændige ansvar efter artikel 28 og de sikkerhedskrav, der følger med. Derfor er aftalen god for begge parter: den gør det tydeligt, hvem der gør hvad, hvis noget går galt.

Hvornår kræver GDPR en aftale?

Svaret står i artikel 28: så snart en databehandler behandler personoplysninger på vegne af en dataansvarlig, skal forholdet være reguleret af en skriftlig aftale. Der er ingen bagatelgrænse for, hvor mange oplysninger der skal til, og ingen undtagelse for små virksomheder. Behandler leverandøren personoplysninger for dig, kræver reglerne en aftale på plads.

Det gælder også, selv om leverandøren "bare" har teknisk adgang og aldrig kigger i dataene. En hosting-leverandør, der opbevarer din database, behandler personoplysninger, uanset om et menneske hos dem nogensinde åbner den. Den afgørende linje går ikke ved, om nogen aktivt læser oplysningerne, men ved, om leverandøren har adgang til at behandle dem på dine vegne.

Aftalen skal være skriftlig, men den behøver ikke være et fysisk papir med underskrift. En elektronisk aftale, du accepterer i leverandørens portal, tæller også, så længe indholdet er dokumenteret og kan findes frem igen. Det vigtige er, at der findes en aftale, at den dækker de rette punkter, og at du kan pege på den, hvis nogen spørger.

Hvad skal aftalen indeholde?

Artikel 28 opremser en række punkter, som aftalen skal dække. Du behøver ikke skrive dem fra bunden — de går igen i stort set alle standardaftaler — men det hjælper at kende dem, så du kan tjekke, at en aftale, du får forelagt, faktisk er komplet. Kernen er:

  • Instruks. Databehandleren må kun behandle oplysningerne efter din dokumenterede instruks, ikke til egne formål.
  • Fortrolighed. De personer hos databehandleren, der har adgang, skal være underlagt tavshedspligt.
  • Sikkerhed. Databehandleren skal træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger, jævnfør artikel 32.
  • Underdatabehandlere. Bruger databehandleren selv underleverandører, skal det fremgå, og du skal kunne gøre indsigelse mod nye.
  • Bistand. Databehandleren skal hjælpe dig med at opfylde dine pligter, for eksempel når en kunde beder om indsigt eller sletning.
  • Sletning eller tilbagelevering. Når samarbejdet slutter, skal oplysningerne slettes eller leveres tilbage efter dit valg.
  • Audit. Databehandleren skal kunne dokumentere, at aftalen overholdes, og gøre det muligt for dig at føre kontrol.

Er alle syv områder dækket, har aftalen det, den skal indeholde efter artikel 28. Mangler et af dem, er det værd at bede leverandøren om en opdateret version.

Datatilsynets skabelon findes gratis

Du behøver ikke betale en advokat for at få en brugbar databehandleraftale. Datatilsynet har udarbejdet et sæt standardkontraktsbestemmelser, som Det Europæiske Databeskyttelsesråd har godkendt, og som du frit kan bruge, og som dækker artikel 28-kravene. Det er et solidt udgangspunkt, især for en lille virksomhed, der bare skal have en ordentlig aftale på plads med en leverandør, der ikke selv leverer en.

Du finder den ved at søge efter "standardkontraktsbestemmelser databehandleraftale" på datatilsynet.dk. Vi linker med vilje ikke direkte til dokumentet, fordi den slags dybe links på myndighedssider har det med at flytte sig med tiden — en søgning finder altid den aktuelle version. I praksis vil de fleste større leverandører allerede have deres egen aftale klar, og så er din opgave at læse den igennem og gemme den. Skabelonen er der til de tilfælde, hvor leverandøren ikke selv har en.

Typiske faldgruber

Selv virksomheder, der har gjort arbejdet, falder ofte i de samme huller. Her er dem, vi oftest støder på.

Gamle aftaler, der ikke er blevet opdateret. En aftale underskrevet for år tilbage passer måske ikke længere med, hvad leverandøren rent faktisk gør i dag, eller med de underdatabehandlere, de er begyndt at bruge. Aftaler er ikke et engangsarbejde. Kig dem igennem, når et samarbejde ændrer sig væsentligt.

Manglende overblik over underdatabehandlere. Din leverandør bruger typisk selv underleverandører — en cloud-udbyder, et supportværktøj, en analyseplatform. Kæden kan blive lang, og du har krav på at vide, hvem der er med i den. Bed om leverandørens liste over underdatabehandlere, og læg mærke til, hvor i verden de ligger.

US-leverandører og overførsel til tredjelande. Ligger en underdatabehandler uden for EU og EØS, gælder der ekstra krav til, hvordan oplysningerne må overføres, og det er et område, hvor reglerne har flyttet sig flere gange. Mange populære værktøjer er amerikanske, og det kræver, at overførselsgrundlaget er på plads. Vi går i dybden med, hvad du skal være opmærksom på, i artiklen om Schrems II og amerikanske tjenester.

Aftalen findes, men ingen kan finde den. En databehandleraftale er kun noget værd, hvis du kan lægge hånden på den, når det gælder. Aftaler, der ligger spredt i forskellige kollegers indbakker eller i en leverandørportal, ingen husker loginet til, er i praksis lige så gode som ingen aftale. Saml dem ét sted, gerne i en simpel oversigt med leverandør, dato og hvor aftalen ligger. Så har du overblikket, den dag det bliver relevant.

Start med at finde ud af, hvem I egentlig bruger

Den sværeste del af databehandleraftaler er som regel ikke aftalen selv. Det er at få et komplet billede af, hvilke leverandører der overhovedet behandler data for jer. Marketingafdelingen har måske tilmeldt et nyhedsbrevsværktøj, en kollega har koblet et chatværktøj på hjemmesiden, og bureauet har tilføjet et par integrationer, uden at det står noteret nogen steder.

Hjemmesiden er et godt sted at begynde, fordi den ofte afslører de tredjeparts-tjenester, I reelt bruger. En gratis GDPR-scan gennemgår, hvilke eksterne tjenester din side indlæser — analytics, fonte, indlejrede videoer, chat-widgets og lignende — og giver dig dermed en konkret liste at holde op mod dine aftaler. Så ved du, hvor der mangler en databehandleraftale, i stedet for at gætte.