Denne engelske versjonen av mal databehandleravtale er utarbeidet av det danske Datatilsynet. Malen har vært lagt frem for Personvernrådet i EU som gått gjennom og godkjent den etter personvernforordningen (GDPR). Malen er derfor offisielt godkjent til bruk innen EU,EØS og Norge.

Her er lenker til personvernforordningen (GDPR) på norsk, dansk og engelsk.

Hvis en virksomhet setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, benyttes det såkalte databehandlere. Forholdet mellom en behandlingsansvarlig virksomhet og databehandleren skal være regulert i en avtale databehandleravtale. Dette reguleres av personopplysningsloven.

En databehandleravtale kan være en frittstående avtale mellom partene, eller en integrert del av annet avtaleverk. En databehandler kan ikke behandle personopplysninger på en annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. For mer informasjon, se Datatilsynets temasidene om internkontroll og informasjonssikkerhet.

Behandling av sensitive personopplysninger vil antagelig kreve en mer detaljert avtale enn en avtale om et enkeltstående faktureringsoppdrag. Videre vil detaljeringsgraden variere fra helt grunnleggende krav til klart spesifiserte tiltak for eksempel når det gjelder informasjonssikkerhet.

En veiledning til å utarbeide en databehandleravtale finner du på Datatilsynets nettsider.