Databehandleraftale: Krav, indhold og skabelon (GDPR 2026)

# Databehandleraftale: Krav, indhold og skabelon (GDPR 2026)

Bruger din virksomhed en løntjeneste, et CRM-system, en e-mailplatform eller en cloudleverandør — og behandler de persondata på dine vegne? Så er du forpligtet til at indgå en databehandleraftale (DPA). Det er ikke valgfrit. Det er et lovkrav under GDPR — og manglende DPA er en af de hyppigste årsager til bøder fra Datatilsynet.

Hvad er en databehandleraftale?

En databehandleraftale (DPA — Data Processing Agreement) er en juridisk bindende aftale mellem en dataansvarlig og en databehandler, der specificerer vilkårene for, hvordan databehandleren må behandle persondata på den dataansvarliges vegne.

Dataansvarlig vs. databehandler

Eksempler på databehandlere:

• Lønbureauer (behandler medarbejderdata)
• Cloudhosting (gemmer persondata for dig)
• E-mailsystemer som Mailchimp, HubSpot (behandler kundedata)
• IT-supportvirksomheder (med adgang til systemer med persondata)
• Bogholderisoftware (kan behandle kundedata)

Hvis leverandøren kan tilgå persondata — er de sandsynligvis din databehandler.

Hvornår er en DPA lovpligtig?

GDPR Artikel 28 kræver, at du har en DPA inden du overlader persondata til en databehandler. Det gælder uanset:

• Virksomhedens størrelse (ingen minimumsgrænse)
• Om databehandleren er i Danmark, EU eller tredjelande
• Om mængden af data er lille eller stor

Eksisterer der ingen DPA, kan Datatilsynet bødelægge både den dataansvarlige og databehandleren.

Hvad skal en databehandleraftale indeholde?

GDPR Artikel 28, stk. 3 opregner præcis, hvad en DPA skal indeholde:

1. Formål og art af behandlingen

Beskriv præcist:

• Hvad behandles der for? ("Håndtering af lønudbetalinger til den dataansvarliges medarbejdere")
• Hvilken type behandling udføres? (Lagring, overførsel, sletning m.fl.)

2. Kategorier af registrerede

Hvem er de personer, hvis data behandles?

• Kunder
• Medarbejdere
• Leverandørers kontaktpersoner
• Brugere af hjemmeside

3. Typer af personoplysninger

Hvilken type data behandles?

• Navn, adresse, e-mail
• CPR-numre (særligt følsomme)
• Helbredsoplysninger (særligt følsomme)
• Finansielle oplysninger
• Tekniske data (IP-adresser, cookies)

Særlig kategori-data (helbredsinformation, faglig tilhørsforhold, race m.m.) kræver særlige forholdsregler.

4. Instruktioner fra den dataansvarlige

Databehandleren må kun behandle persondata efter den dataansvarliges dokumenterede instruktioner. Eventuelle afvigelser skal rapporteres.

5. Fortrolighed

Databehandleren — og alle medarbejdere med adgang til data — er forpligtet til fortrolighed.

6. Sikkerhedsforanstaltninger (GDPR Art. 32)

Databehandleren skal implementere passende tekniske og organisatoriske foranstaltninger, herunder:

• Kryptering af data under transport og lagring
• Adgangskontrol
• Procedurer for gendannelse ved datatab
• Regelmæssig test af sikkerhedsforanstaltninger

7. Underdatabehandlere

Anvender databehandleren selv underleverandører (underdatabehandlere), kræver dette:

• Den dataansvarliges generelle eller specifikke godkendelse
• At underdatabehandlere er underlagt samme forpligtelser

De fleste DPA'er bruger en generel godkendelsesmodel, der kræver forudgående underretning ved ændringer.

8. Bistand til den dataansvarlige

Databehandleren skal bistå den dataansvarlige med at:

• Besvare anmodninger fra registrerede (indsigt, sletning, dataportabilitet)
• Efterleve GDPR's øvrige forpligtelser (konsekvensanalyse, sikkerhedsbrud m.fl.)

9. Sletning eller tilbagelevering af data

Ved aftalens ophør skal databehandleren:

• Slette eller tilbagelevere alle persondata
• Bekræfte sletningen skriftligt

10. Revision og audit

Den dataansvarlige har ret til at inspicere og auditere databehandlerens aktiviteter — enten direkte eller via tredjepartsmandater.

Hent databehandleraftale-skabelon →

Overførsel af data til tredjelande

Befinder din databehandler sig uden for EU/EØS (f.eks. USA, Indien, etc.), gælder særlige regler:

• Overførslen skal ske på lovligt grundlag (f.eks. EU's standardkontraktbestemmelser / SCC)
• Transfer Impact Assessment (TIA) anbefales
• GDPR Kapitel V regulerer dette

Vigtigt: Datatilsynet hjemsender løbende klager over ulovlig overførsel til tredjelande. Brug leverandører der er EU-DPA-kompatible, eller sørg for korrekte SCC.

Hvad sker der, hvis du ikke har en DPA?

Datatilsynet har udstedt bøder til virksomheder der:

• Slet ikke havde en DPA
• Havde en DPA der ikke levede op til GDPR Art. 28
• Valgte databehandlere uden tilstrækkelige garantier

Bøder kan udgøre op til 4% af global omsætning eller 20 mio. EUR — hvad der er størst.

Udover bøder medfører manglende DPA:

• Reputationsrisiko
• Erstatningsansvar over for registrerede
• Muligt forbud mod databehandling

Databehandleraftale eller fælles dataansvarlige?

Nogle situationer er ikke databehandler/dataansvarlig, men fælles dataansvarlige. Det sker, når to parter i fællesskab bestemmer formål og midler for databehandlingen.

Eksempel: To virksomheder, der i fællesskab deler et CRM-system og begge bestemmer, hvilke data der registreres og til hvilke formål — er fælles dataansvarlige og kræver en anden type aftale.

Hvad er en registerfortegnelse?

Virksomheder med mere end 250 ansatte — og alle virksomheder, der behandler særlig kategori-data — er forpligtet til at føre en fortegnelse over behandlingsaktiviteter (Artikel 30). Fortegnelsen dokumenterer bl.a.:

• Behandlingens formål
• Kategorier af registrerede og data
• Databehandlere
• Eventuelle overførsler til tredjelande

Fortegnelsen er intern dokumentation og skal ikke indsendes til Datatilsynet — men kan fremvises ved kontrol.

Opret din databehandleraftale nu →

Ofte stillede spørgsmål

Behøver jeg en DPA med min revisor?

Ja, hvis din revisor håndterer persondata (fx medarbejder- eller kundedata) på dine vegne. De fleste revisorer har standardiserede DPA'er.

Kan jeg bruge leverandørens DPA?

Mange databehandlere (Google Workspace, Microsoft, Mailchimp etc.) har standardiserede DPA'er du kan acceptere. Gennemgå dem for at sikre GDPR-overholdelse, inden du accepterer.

Hvad er forskellen på DPA og NDA?

En DPA regulerer behandling af persondata i henhold til GDPR. En NDA (fortrolighedsaftale) regulerer hemmeligholdelse af forretningsinformation. Begge kan være relevante i et leverandørforhold, men de tjener forskellige formål.

Hvor lang tid skal en DPA opbevares?

GDPR kræver ikke en specifik opbevaringsperiode for DPA'er, men dokumentation for at have overholdt reglerne bør opbevares i mindst 5 år eller under eventuelle undersøgelsesprocedurer.

Hvem er ansvarlig, hvis en databehandler laver en fejl?

Begge parter kan stilles til ansvar. Databehandleren hæfter direkte over for registrerede og tilsynsmyndigheder, hvis de handler i strid med GDPR eller DPA'en. Den dataansvarlige hæfter for at have valgt en utilstrækkelig databehandler.

Konklusion

En databehandleraftale er ikke en formalitet — det er et juridisk krav, der beskytter dig, dine kunder og dine medarbejdere. Gennemgå alle dine leverandører der har adgang til persondata, og sørg for at have gyldige DPA'er på plads. Med LegalDock kan du oprette og underskrive DPA'er digitalt — hurtigt og i overensstemmelse med GDPR.

---

Indholdet i denne artikel er vejledende og udgør ikke juridisk rådgivning. Konsulter en advokat eller databeskyttelsesrådgiver (DPO) for rådgivning om din specifikke situation.