GDPR-compliant databehandleraftale: Hvad virksomheder skal vide (2026)

# GDPR-compliant databehandleraftale: Hvad virksomheder skal vide (2026)

Bruger din virksomhed et CRM-system, en løntjeneste, en e-mailplatform eller et analyseværktøj? Så er der en god chance for, at du er forpligtet til at indgå en databehandleraftale med leverandøren — og en endnu bedre chance for, at du ikke har gjort det.

Manglende databehandleraftaler er en af de hyppigste årsager til GDPR-bøder fra Datatilsynet. Og det er ikke et problem, der er forbeholdt store virksomheder. Datatilsynet har aktivt håndhævet kravene over for SMV'er og enkeltmandsvirksomheder.

Denne guide forklarer, hvornår en databehandleraftale er lovpligtig, hvad den skal indeholde, og hvad der kendetegner en GDPR-compliant aftale i 2026.

Hvad er en databehandleraftale?

En databehandleraftale (DPA — Data Processing Agreement) er en juridisk bindende kontrakt mellem to parter:

• Den dataansvarlige: Virksomheden der bestemmer formålet med og midlerne til behandling af persondata — typisk dig som virksomhedsejer
• Databehandleren: En tredjepart der behandler persondata på den dataansvarliges vegne — typisk din leverandør

Aftalen regulerer præcist, hvad databehandleren må gøre med persondata, hvilke sikkerhedsforanstaltninger de skal overholde, og hvad der sker ved brud.

Hvornår er en databehandleraftale lovpligtig?

GDPR's artikel 28 kræver en databehandleraftale, hver gang en databehandler behandler persondata på den dataansvarliges vegne. Nøgleordet er "på vegne af": databehandleren handler efter den dataansvarliges instruks, ikke efter egne formål.

Du SKAL have en databehandleraftale med:

Lønbureau eller HR-system

Behandler medarbejdernes lønoplysninger, CPR-numre, sygedage m.m. — alt er persondata.

CRM-system og salgsplatforme

HubSpot, Salesforce, Pipedrive m.fl. gemmer dine kunders kontaktoplysninger, historik og adfærd.

E-mailmarketingplatforme

Mailchimp, ActiveCampaign, Klaviyo — behandler navne, e-mailadresser og adfærdsdata for dine abonnenter.

Cloudhosting og serverudbydere

AWS, Azure, Google Cloud — hvis din database er hostet hos dem og indeholder persondata, er de databehandler.

Bogholderisoftware og regnskabssystemer

Economic, Dinero, Billy m.fl. kan behandle kundedata og transaktioner med persondata.

IT-supportvirksomheder

Har din IT-leverandør adgang til systemer der indeholder persondata? Så er de formentlig databehandler.

Analyse- og sporingsværktøjer

Google Analytics, Hotjar og lignende indsamler besøgsdata der kan udgøre persondata.

Booking- og administrationssystemer

Systemer der håndterer kundeoplysninger, bookinghistorik og betalingsinfo.

Du skal IKKE have en databehandleraftale med:

En leverandør er ikke databehandler, hvis de behandler persondata til egne formål. Eksempel: en bank behandler dine kunders betalingsoplysninger i deres eget regi — de er selvstændig dataansvarlig, ikke din databehandler.

Derudover er leverandørforhold med behandling af anonyme data (ikke-personhenførbare data) heller ikke omfattet.

Opret GDPR-compliant databehandleraftale →

Hvad skal en databehandleraftale indeholde?

GDPR artikel 28, stk. 3 specificerer, hvad en databehandleraftale som minimum skal indeholde. Her er de obligatoriske elementer:

1. Beskrivelse af behandlingen

Aftalen skal beskrive:

• Behandlingens genstand og varighed — hvad behandles, og hvor længe?
• Behandlingens karakter og formål — hvad gør databehandleren med dataene?
• Typen af persondata — hvilke kategorier af data (navn, adresse, helbredsoplysninger m.m.)?
• Kategorierne af registrerede — hvem drejer det sig om (kunder, medarbejdere, brugere)?

2. Behandling kun efter instruks

Databehandleren må kun behandle persondata i overensstemmelse med den dataansvarliges dokumenterede instruks. Afviger databehandleren fra instruksen, overtager de ansvaret som selvstændig dataansvarlig — med fuld GDPR-eksponering.

3. Tavshedspligt

Alle medarbejdere hos databehandleren med adgang til persondata skal have pålagt tavshedspligt.

4. Sikkerhedsforanstaltninger

Databehandleren er forpligtet til at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger i henhold til GDPR artikel 32. Aftalen bør specificere:

• Kryptering
• Adgangskontrol
• Regelmæssig sikkerhedsvurdering
• Procedure for brud på persondatasikkerheden

5. Underdatabehandlere

Bruger databehandleren underleverandører (underdatabehandlere) der har adgang til persondata? Det kræver din godkendelse. Aftalen skal specificere:

• Om der bruges underdatabehandlere
• Om godkendelse kræves per underdatabehandler, eller om en generel godkendelse er acceptabel
• At databehandleren er ansvarlig for underdatabehandlerens overholelse

Mange SaaS-leverandører beder om en generel godkendelse og notificerer ved ændringer — det er acceptabelt under GDPR, hvis du har mulighed for at gøre indsigelse.

6. Bistand til den dataansvarlige

Databehandleren skal bistå med at opfylde dine forpligtelser:

• Besvarelse af registreredes rettigheder (adgang, sletning, portabilitet)
• Sikkerhedsforanstaltninger og databrudnotifikation
• Eventuelle DPIA'er (konsekvensanalyser)

7. Sletning eller tilbagelevering efter ophør

Når samarbejdet ophører, skal databehandleren slette eller tilbagelevere alle persondata — med mulighed for den dataansvarlige til at vælge. Databehandleren kan beholde persondata, hvis EU- eller national ret kræver det.

8. Revisionsadgang

Den dataansvarlige (eller en revisor) skal have ret til at gennemføre audits og inspektioner af databehandlerens behandlingsaktiviteter. Databehandleren skal bidrage til og muliggøre sådanne inspektioner.

9. Overførsel til tredjelande

Behandles persondata i lande uden for EU/EØS? Så kræves et overførselsgrundlag:

• Kommissionens standardkontraktbestemmelser (SCC)
• Tilstrækkelighedsbeslutning for det pågældende land (fx USA via EU-US Data Privacy Framework)
• Bindende virksomhedsregler (BCR)

Vigtigt: Brug af amerikanske cloud-tjenester (Google, Microsoft, AWS, Salesforce m.fl.) kræver som udgangspunkt, at der er et gyldigt overførselsgrundlag. Sørg for at dette er dækket i databehandleraftalen.

Hvem skal indgå databehandleraftalen?

Databehandleraftalen indgås mellem:

• Dig (som dataansvarlig) og
• Din leverandør (som databehandler)

I praksis udsteder de fleste store SaaS-leverandører deres egne standardiserede DPA'er — og du accepterer dem som en del af at bruge deres service (typisk i brugeraftalen eller som tillæg). Det er vigtigt at faktisk læse og acceptere disse DPA'er formelt.

For mindre, lokale leverandører bør du selv fremstille eller kræve en DPA.

B2B og databehandleraftalen — særlige hensyn

For virksomheder i B2B-segmentet er databehandleraftaler ikke kun et juridisk krav — de er et konkurrenceparameter.

Dine B2B-kunder kræver det

Større virksomheder og offentlige myndigheder kræver næsten altid en DPA, inden de kan bruge din service. Mangler du en veldokumenteret DPA, mister du kunder.

GDPR-compliance som B2B-salgsargument

Vis, at din virksomhed tager GDPR seriøst: dokumentér dine behandlingsaktiviteter, hav en opdateret privatlivspolitik, og tilbyd en klar, kortfattet DPA. Det signalerer professionel tilgang og reducerer kundernes juridiske risiko.

Tilbyd en DPA-skabelon proaktivt

Mange kunder bruger tid på at evaluere leverandørers DPA'er. Tilbyd din DPA proaktivt — og sørg for at den er let at forstå og tydelig om, hvad du gør med kundens data.

Se databehandleraftale-skabelon (GDPR-compliant) →

Hvad sker der, hvis du ikke har en databehandleraftale?

Bøder fra Datatilsynet

Overtrædelse af GDPR artikel 28 (krav om databehandleraftale) kan give bøder på op til 10 mio. EUR eller 2% af global omsætning — det laveste beløbsniveau under GDPR. Datatilsynet har udstedt bøder til danske virksomheder for manglende DPA'er.

Erstatningskrav fra registrerede

Lider en person skade som følge af ulovlig behandling, kan vedkommende kræve erstatning — fra dig som dataansvarlig.

Tab af kundeforhold

Kunder og samarbejdspartnere (særligt i B2B) vil afvise at arbejde med dig, hvis du ikke har styr på dine DPA'er.

Skade på omdømme

Et databrud eller et tilsynspåbud er offentligt. Datatilsynets afgørelser offentliggøres på datatilsynet.dk.

Praktisk: Kortlæg dine databehandlere

Det første skridt er at kortlægge, hvem der behandler persondata for dig. Lav en simpel oversigt:

Gennemgå listen og sørg for en DPA med alle leverandører der markeres som databehandlere.

Registrering af behandlingsaktiviteter (ROPA)

En DPA er kun én del af GDPR-compliance. Ud over DPA'en bør din virksomhed have en fortegnelse over behandlingsaktiviteter (Record of Processing Activities — ROPA), jf. GDPR artikel 30.

ROPA-fortegnelsen dokumenterer:

• Hvilke persondata du behandler
• Til hvilket formål
• Hvem der har adgang
• Hvilke databehandlere du bruger
• Hvornår data slettes

Virksomheder med under 250 medarbejdere er som udgangspunkt kun forpligtet til at føre ROPA for behandlinger der udgør en risiko — men i praksis anbefales det for alle virksomheder.

Ofte stillede spørgsmål om databehandleraftaler

Skal jeg have en DPA med alle mine leverandører?

Nej — kun med leverandører der behandler persondata på dine vegne. En leverandør der kun leverer fysiske varer uden adgang til persondata er ikke databehandler og kræver ikke en DPA.

Min leverandør er stor (Google, Microsoft, Mailchimp) — hvad gør jeg?

Store SaaS-leverandører tilbyder standardiserede DPA'er som en del af deres servicevilkår. Typisk accepterer du DPA'en som en del af oprettelsesprocessen. Sørg for at dette faktisk er sket, og gem dokumentation.

Kan vi bruge en standardiseret DPA-skabelon?

Ja. En standardiseret DPA-skabelon fra LegalDock dækker GDPR's minimumskrav. Tilpas bilag A (behandlingsbeskrivelse) til det konkrete aftaleforhold.

Hvad er forskellen på en databehandleraftale og en privatlivspolitik?

En privatlivspolitik informerer dine kunder og brugere om, hvordan du behandler deres persondata. En databehandleraftale regulerer, hvad dine leverandører må gøre med persondata, du overlader dem. De to er komplementære — ikke det ene i stedet for det andet.

Hvad sker der, hvis min databehandler har et databrud?

Databehandleren skal orientere dig uden unødigt ophold og senest inden 72 timer. Du har derefter pligt til at vurdere, om bruddet skal anmeldes til Datatilsynet og/eller de berørte personer. DPA'en bør regulere notifikationsprocessen præcist.

Kan vi indgå en DPA mundtligt?

Nej. GDPR kræver eksplicit, at databehandleraftalen foreligger skriftligt — herunder i elektronisk form.

Gælder GDPR for min virksomhed, selv om vi er en lille SMV?

Ja. GDPR gælder for alle virksomheder, uanset størrelse, der behandler persondata om EU-borgere. Der er ingen SMV-undtagelse, men omfanget af kravene er skaleret til virksomhedens aktiviteter.

Konklusion

En GDPR-compliant databehandleraftale er ikke et bureaukratisk krav for at afkrydse en compliance-boks — det er en konkret beskyttelse af din virksomhed, dine kunder og dig selv. Med de bøder Datatilsynet har udstedt, og med B2B-kunders stigende krav til dokumenteret GDPR-compliance, er en klar, korrekt DPA et forretningsmæssigt must.

Kortlæg dine databehandlere, sørg for en DPA med dem alle, og brug en opdateret skabelon der dækker GDPR artikel 28's krav.

---

Indholdet i denne artikel er vejledende og udgør ikke juridisk rådgivning. GDPR-reglerne og Datatilsynets praksis udvikler sig løbende. Kontakt en juridisk rådgiver for specifik GDPR-compliance rådgivning.