Databehandleraftale

En databehandleraftale (DPA) er et lovpligtigt dokument, der regulerer forholdet mellem en dataansvarlig og en databehandler – altså en tredjepart, som behandler personoplysninger på den dataansvarliges vegne.

Typiske databehandlere:

• Cloududbydere (fx AWS, Google Cloud)
• Eksterne lønsystemer og CRM-systemer
• Email marketing-platforme

En databehandleraftale skal bl.a. indeholde:

• Behandlingens karakter, varighed og formål
• Sikkerhedsforanstaltninger
• Tavshedspligt og underdatabehandlere
• Krav til dokumentation og audit

For virksomheder og investorer:
Manglende eller utilstrækkelig DPA er en typisk GDPR-overtrædelse og kan føre til bøder. Det er også en del af standardkrav i M&A og investeringsdue diligence.