En databehandleraftale (DPA) er et lovpligtigt dokument, der regulerer forholdet mellem en dataansvarlig og en databehandler – altså en tredjepart, som behandler personoplysninger på den dataansvarliges vegne.
Typiske databehandlere:
- Cloududbydere (fx AWS, Google Cloud)
- Eksterne lønsystemer og CRM-systemer
- Email marketing-platforme
En databehandleraftale skal bl.a. indeholde:
- Behandlingens karakter, varighed og formål
- Sikkerhedsforanstaltninger
- Tavshedspligt og underdatabehandlere
- Krav til dokumentation og audit
For virksomheder og investorer:
Manglende eller utilstrækkelig DPA er en typisk GDPR-overtrædelse og kan føre til bøder. Det er også en del af standardkrav i M&A og investeringsdue diligence.
