Hva er forskjellen på behandlingsansvarlig og databehandler?

Behandlingsansvarlig (controller) er den som bestemmer hvorfor og hvordan personopplysninger behandles. Det er dere som bedrift når dere behandler kunde- og ansattdata. Databehandler (processor) er den som behandler opplysningene på vegne av den behandlingsansvarlige, etter instruks. Det er typisk SaaS-leverandørene deres: Microsoft, Google, regnskaps-systemet, CRM-et. EDPB Guidelines 07/2020 forklarer skillet i detalj. Hovedregelen er enkel: hvis en leverandør lagrer eller behandler personopplysninger for dere, men ikke bestemmer formålet selv, er de databehandler, og da kreves det en databehandleravtale etter artikkel 28.

Trenger vi databehandleravtale med Microsoft og Google?

Ja. Både Microsoft 365 og Google Workspace behandler store mengder personopplysninger for dere: e-post, dokumenter, kalendere, kontakter. Begge har en standard databehandleravtale (Microsoft kaller den Data Protection Addendum, Google har Cloud Data Processing Addendum) som ligger klar i administrasjons-konsollen. For Microsoft er den ofte allerede akseptert som del av volum-lisensavtalen. For Google må den vanligvis aktiveres manuelt under admin-innstillingene. De fleste bedrifter har avtalen på plass uten å vite det, men dere bør verifisere at den faktisk er akseptert og lagre en kopi i databehandler-registeret.

Hva skjer hvis vi ikke har databehandleravtale?

Manglende databehandleravtale er et brudd på GDPR artikkel 28 i seg selv, uavhengig av om noe galt har skjedd med dataene. Det er også en av de første tingene Datatilsynet ber om i et tilsyn, fordi det er enkelt å verifisere. I praksis ender førstegangs-feil hos en SMB oftere i pålegg om å rette opp enn i gebyr, men manglende avtale med en sentral leverandør teller negativt i en helhetsvurdering hvis det først blir en sak. Datatilsynet ga i 2024 gebyrer i sjiktet 150 000 til 250 000 kr til virksomheter med svikt i leverandør- og databehandling, blant annet Universitetet i Agder (150 000 kr for mangelfull datasikkerhet i Microsoft Teams). Avtalen er gratis å få på plass, så det er lav risiko å lukke.

Må vi godkjenne underleverandører som leverandøren bruker?

Ja. GDPR artikkel 28(2) krever at databehandleren har deres tillatelse til å bruke underleverandører (subprocessors). Tillatelsen kan være spesifikk (dere godkjenner hver enkelt) eller generell (dere godkjenner at leverandøren kan bruke underleverandører, men skal varsles om endringer og kan protestere). De fleste SaaS-leverandører publiserer en liste over underleverandørene sine på nett, typisk skyleverandører som AWS, Azure eller Google Cloud. Dere trenger ikke avtale direkte med underleverandøren, men dere bør ha sett listen, akseptert den, og dokumentert det i registeret.

Holder leverandørens standardavtale, eller trenger vi vår egen mal?

For de fleste etablerte SaaS-leverandører holder deres standardavtale. Store aktører har advokater som har skrevet avtaler som dekker artikkel 28(3), og det er upraktisk å forhandle egen tekst med Microsoft. Vurder deres egen mal i to tilfeller: når dere er behandlingsansvarlig og engasjerer en liten leverandør som ikke har egen avtale, og når dere selv er databehandler for kundene deres. Datatilsynet har en gratis veiledning og en mal på nettsidene sine som dekker minimumskravene. For de fleste SMB er det riktige å akseptere standardavtalen fra store leverandører og bruke Datatilsynets mal mot de små.

Hvordan håndterer vi databehandleravtale for amerikanske SaaS-tjenester etter Schrems II?

Selve databehandleravtalen (artikkel 28) er bare halve jobben. For amerikanske leverandører kommer i tillegg overførings-grunnlaget etter GDPR kapittel 5, fordi data behandles utenfor EØS. Etter Schrems II-dommen i 2020 og det nye EU-US Data Privacy Framework fra 2023 er grunnlaget for amerikanske selskap som er sertifisert under rammeverket på plass, men det er under juridisk press. I avtalen eller et tillegg dokumenterer dere hvilket grunnlag overføringen hviler på: Data Privacy Framework, standard personvernbestemmelser (SCC), eller supplerende tiltak som kryptering der dere holder nøklene. For data dere ikke vil eksportere i det hele tatt, er EU-hostet eller privat løsning alternativet.

Hvem hos oss skal signere databehandleravtalen?

Databehandleravtalen inngås mellom to virksomheter, ikke to personer, så den signeres av noen med fullmakt til å binde bedriften, typisk daglig leder. For store leverandører der avtalen aksepteres i admin-konsollen er det administratoren som klikker godkjenn, og det bør være avklart internt at vedkommende har lov til det. Det viktige er ikke tittelen, men at noen har ansvaret for at avtalene finnes, vet hvor de ligger, og kan svare hvis Datatilsynet eller en kunde spør. I en bedrift på 5 til 25 ansatte er det typisk daglig leder eller IT-ansvarlig i en deltidsrolle.

Gjelder reglene også hvis vi selv er databehandler for andre?

Ja, og da snur perspektivet. Hvis dere leverer en tjeneste der dere behandler personopplysninger på vegne av kundene deres, er dere databehandler, og kundene er behandlingsansvarlige. Da må dere kunne tilby en databehandleravtale til kundene, holde orden på egne underleverandører, og oppfylle pliktene i artikkel 28(3) overfor kundene: behandle bare etter instruks, ha sikkerhetstiltak på plass, bistå ved innsyn og brudd, og slette eller returnere data ved avtaleslutt. Mange SMB er begge deler samtidig, behandlingsansvarlig for egne ansattdata og databehandler for kundenes data.

Publisert: 28. mai 2026 · Roy Morken, Datafolka

Databehandleravtale: praktisk guide for små bedrifter

To personer signerer en avtale ved et skrivebord med dokumenter og bærbar PC - illustrasjon for databehandleravtale — Foto: 2H Media / Unsplash

Hver gang dere tar i bruk en ny skytjeneste som lagrer kunde- eller ansattdata, krever GDPR artikkel 28 at dere har en databehandleravtale på plass før leverandøren begynner å behandle dataene. Det gjelder Microsoft 365, regnskaps-systemet, CRM-et, nyhetsbrev-verktøyet og AI-assistenten dere nettopp koblet på. Avtalen er gratis å få på plass, men er likevel et av de første dokumentene Datatilsynet ber om når de åpner en sak, og den mangler oftere enn de fleste SMB tror.

De fleste norske bedrifter har et uklart forhold til databehandleravtaler. De vet at GDPR finnes, de har en personvernerklæring de aldri har lest grundig, og de antar at leverandøren «ordner det selv». Noen ganger stemmer det, store leverandører har avtalen klar i admin-konsollen, men den må ofte aktivt aksepteres, og for mindre leverandører finnes det ingen automatikk i det hele tatt. Denne guiden går gjennom hva en databehandleravtale faktisk er, hva den må inneholde, når dere trenger den, hvordan dere håndterer underleverandører og amerikanske tjenester, og hvor dere finner gratis mal.

Alt i denne artikkelen bygger på GDPR artikkel 28, Datatilsynets veiledning om databehandleravtaler, og EDPB Guidelines 07/2020 om behandlingsansvarlige og databehandlere. Ingen anonymiserte kundecase, ingen «vi har sett-historier». Bare lov-tekst og offentlig veiledning oversatt til praktisk språk for norske SMB.

Hva en databehandleravtale er (og hva den ikke er)

En databehandleravtale er en juridisk bindende avtale mellom en behandlingsansvarlig og en databehandler som regulerer hvordan databehandleren skal behandle personopplysninger på vegne av den behandlingsansvarlige. Kravet står i GDPR artikkel 28(3), og innholdet er ikke valgfritt: forordningen lister opp åtte ting avtalen som et minimum må inneholde.

For å forstå avtalen må dere kjenne tre roller:

Behandlingsansvarlig (controller). Den som bestemmer hvorfor og hvordan personopplysninger behandles. Det er dere som bedrift, for kunde- og ansattdataene deres.
Databehandler (processor). Den som behandler opplysningene på vegne av den behandlingsansvarlige, etter instruks. Det er SaaS-leverandørene deres.
Underdatabehandler (subprocessor). Databehandlerens egne leverandører, typisk skyleverandører som AWS, Azure eller Google Cloud, som behandler data lengre ned i kjeden.

EDPB Guidelines 07/2020 bruker mye plass på akkurat dette skillet, fordi det avgjør hvem som har hvilke plikter. Hovedregelen er grei: hvis en leverandør lagrer eller behandler personopplysninger for dere, men ikke bestemmer formålet selv, er de databehandler, og da trengs det en avtale etter artikkel 28.

En databehandleravtale er ikke det samme som en personvernerklæring (som retter seg mot de registrerte), ikke det samme som en vanlig kjøps- eller lisensavtale (som regulerer pris og leveranse), og ikke et engangs-dokument dere kan glemme. Den skal oppdateres når leverandøren endrer underleverandører eller når dere endrer hva slags data som behandles.

De åtte obligatoriske punktene i artikkel 28(3)

GDPR artikkel 28(3) lister opp hva avtalen som et minimum skal regulere. Dette er kjernen i enhver databehandleravtale, og det dere kontrollerer mot når dere vurderer en leverandørs mal.

Punkt (art. 28(3))	Hva det betyr i praksis
a) Dokumentert instruks	Databehandler skal bare behandle data etter deres skriftlige instruks, ikke til egne formål.
b) Taushetsplikt	De som har tilgang til dataene hos leverandøren skal være underlagt taushetsplikt.
c) Sikkerhetstiltak (art. 32)	Egnede tekniske og organisatoriske tiltak: kryptering, tilgangsstyring, robusthet.
d) Underleverandører	Vilkår for bruk av underdatabehandlere, med deres godkjenning og samme plikter videre.
e) Bistand med rettigheter	Leverandøren skal hjelpe dere å svare på innsyn, retting, sletting og dataportabilitet.
f) Bistand ved brudd og DPIA	Hjelp med sikkerhet, varsling av brudd, og personvernkonsekvensvurdering (art. 32-36).
g) Sletting eller retur	Ved avtaleslutt skal data slettes eller returneres, etter deres valg.
h) Innsyn og revisjon	Leverandøren skal gi dere informasjon og tillate revisjon for å vise etterlevelse.

Det punktet som oftest skaper friksjon i praksis er d) og h). Mindre leverandører har gjerne en avtale som dekker a) til c), men er vage om underleverandører og motvillige til full revisjonsrett. Store leverandører dekker alle åtte, men erstatter fysisk revisjon med tredjeparts-sertifiseringer (ISO 27001, SOC 2) som dokumentasjon, noe som er akseptert praksis.

Når dere vurderer en leverandørs mal, er det disse åtte dere leter etter. Mangler ett av dem, er avtalen ikke i samsvar med artikkel 28, uansett hvor profesjonell den ser ut.

Når trenger dere en databehandleravtale - og med hvem

Tommelfingerregelen: hver leverandør som behandler personopplysninger på vegne av dere, skal ha en databehandleravtale. I praksis er det flere leverandører enn de fleste SMB tror. Her er de typiske, og hva slags avtale de har:

Tjeneste	Hva de behandler	Avtale
Microsoft 365	E-post, dokumenter, kontakter, Teams	Data Protection Addendum i lisensavtalen
Google Workspace	E-post, Drive, kalender	Cloud Data Processing Addendum (aktiveres i admin)
Tripletex / Visma / PowerOffice	Lønn, ansatt- og kundedata	Standard databehandleravtale fra leverandøren
Slack / Microsoft Teams	Intern kommunikasjon, filer	Dekkes av plattformens hovedavtale
HubSpot / annet CRM	Kunde- og prospekt-data	Egen DPA, ofte signert digitalt
Zendesk / support-verktøy	Kunde-henvendelser, kontaktinfo	Egen DPA
Stripe / betalingstjeneste	Betalings- og kundedata	Egen DPA (ofte også egen behandlingsansvarlig-rolle)
Notion / fildeling	Dokumenter som kan inneholde persondata	Egen DPA, aksepteres på konto-nivå

Et viktig unntak: Stripe og enkelte betalingstjenester opptrer ofte som selvstendig behandlingsansvarlig for deler av databehandlingen (for eksempel svindel-forebygging), ikke bare som databehandler. Da gjelder andre regler enn artikkel 28. Les hva avtalen faktisk sier om rollen deres, og ikke anta at alt er en ren databehandler-relasjon.

Dere trenger ikke databehandleravtale med leverandører som ikke behandler personopplysninger for dere: en strømleverandør, en maskinvare-forhandler dere kjøper en server av, eller en konsulent som leverer et anonymt analyse-oppdrag. Skillet går på om de behandler personopplysninger på deres vegne, ikke på om dere har et leverandørforhold.

Person som arbeider med kontrakter og dokumenter på en bærbar PC - illustrasjon for gjennomgang av databehandleravtaler — Foto: Austin Distel / Unsplash

Underleverandører: kjeden dere lett glemmer

Nesten ingen SaaS-leverandører driver alt selv. De bruker skyleverandører i bunnen, ofte AWS, Microsoft Azure eller Google Cloud, og kanskje støttetjenester for e-post, analyse eller support. Disse er underdatabehandlere, og GDPR artikkel 28(2) krever at dere har godkjent bruken av dem.

Godkjenningen kan være på to måter. Spesifikk godkjenning betyr at dere godkjenner hver enkelt underleverandør. Generell godkjenning betyr at dere godkjenner at leverandøren kan bruke underleverandører, mot at de varsler dere om endringer slik at dere kan protestere. De fleste moderne SaaS-avtaler bruker den generelle modellen, og publiserer en oppdatert liste over underleverandører på nett.

Praktisk for dere: finn leverandørens subprocessor-liste (søk på leverandørnavn pluss «subprocessors» eller «underdatabehandlere»), se gjennom hvor de databehandler, og dokumenter at dere har akseptert listen. Hvis en underleverandør behandler data utenfor EØS, henger det sammen med Schrems II-spørsmålet i neste seksjon.

Schrems II og amerikanske SaaS-tjenester

Databehandleravtalen etter artikkel 28 regulerer hvordan data behandles. Den sier ingenting om hvor data lagres. For leverandører som behandler personopplysninger utenfor EØS, typisk i USA, kommer det et ekstra lag: overførings-grunnlaget etter GDPR kapittel 5.

Bakgrunnen er Schrems II-dommen fra 2020, der EU-domstolen kjente det daværende EU-USA-personvernskjoldet ugyldig. Begrunnelsen var at amerikansk lovgivning (blant annet FISA 702) gir amerikanske myndigheter tilgang til data hos amerikanske leverandører på en måte som ikke er forenlig med GDPR. Erstatningen, EU-US Data Privacy Framework fra 2023, gir et formelt grunnlag for overføring til sertifiserte amerikanske selskap, men rammeverket er fortsatt under juridisk press og kan falle slik forgjengerne gjorde.

For databehandleravtalen betyr det at dere skal kunne dokumentere hvilket grunnlag hver tredjelands-overføring hviler på. I praksis er det ett av tre:

Data Privacy Framework. Leverandøren er sertifisert under rammeverket. Sjekk om de står på den offisielle DPF-listen. Enkelt, men avhengig av at rammeverket består.
Standard personvernbestemmelser (SCC). Standardiserte kontraktsvilkår godkjent av EU-kommisjonen, ofte vedlagt databehandleravtalen for amerikanske leverandører.
Supplerende tiltak. Tekniske tiltak som kryptering der dere kontrollerer nøklene, slik at leverandøren ikke kan lese innholdet selv om de blir pålagt å utlevere det.

For data dere ikke vil eksportere i det hele tatt, er alternativet en EU-hostet eller privat løsning. Det er særlig relevant for AI-tjenester, der det er fristende å lime inn kundedata i en åpen ChatGPT eller Copilot. Datafolka bygger og driver Privat AI-løsninger for SMB som vil ha AI-fordelen uten å sende kundedata ut av EØS. Det er ikke nødvendig for alle, men en reell vurdering når dere behandler sensitive data jevnlig.

Mal: hvor dere finner en gratis databehandleravtale

Dere trenger sjelden å skrive en databehandleravtale fra bunnen. Det finnes gode gratis maler, og for store leverandører er avtalen allerede skrevet.

Datatilsynets veiledning og mal. Datatilsynet har en egen side om databehandleravtaler med gratis veiledning som dekker minimumskravene i artikkel 28(3). Bruk den som utgangspunkt når dere er behandlingsansvarlig og engasjerer en mindre leverandør.
Leverandørens standardavtale. For Microsoft, Google og andre etablerte SaaS-aktører er avtalen skrevet, juridisk gjennomgått og dekker alle åtte punktene. Aksepter den og lagre en kopi.
Bransje-maler. Enkelte bransjeforeninger og leverandørorganisasjoner har egne maler tilpasset typiske oppdrag.

Det viktige er ikke hvor malen kommer fra, men at den faktisk dekker de åtte punktene, at den er signert av begge parter, og at dere har den lagret et sted dere finner den igjen. Datafolka hjelper gjerne med å sette opp en utvidet mal og et databehandler-register tilpasset oppsettet deres, tilgjengelig på forespørsel som del av en IT-rådgivnings-gjennomgang .

Hva skjer hvis dere ikke har databehandleravtale

Manglende databehandleravtale er et brudd på GDPR artikkel 28 i seg selv, uavhengig av om noe galt har skjedd med dataene. Det betyr ikke at dere automatisk får gebyr, men det betyr at dere har en åpenbar feil som blir registrert hvis det først blir en sak.

Databehandleravtalen er også et av de første dokumentene Datatilsynet ber om i et tilsyn, nettopp fordi det er enkelt å verifisere. Datatilsynets vedtaksregister for 2024 viser at virksomheter med svikt i datasikkerhet og leverandørbehandling fikk gebyrer i sjiktet 150 000 til 250 000 kr. Universitetet i Agder fikk 150 000 kr for mangelfull datasikkerhet i Microsoft Teams. Eidskog og Grue kommune fikk hver 250 000 kr for henholdsvis manglende rettslig grunnlag og konfidensialitetsbrudd. For private SMB er det mer sannsynlig at en førstegangs-sak ender i pålegg om å rette opp enn i gebyr, men manglende avtale teller negativt i helhetsvurderingen.

Den nøkterne konklusjonen: risikoen for et stort gebyr er reell, men lav for en SMB som rydder opp når den blir bedt om det. Risikoen for å stå uten et grunnleggende dokument den dagen en kunde eller Datatilsynet spør, er derimot høy hvis dere aldri har satt det opp. Og siden malen er gratis og jobben tar noen dager, er dette en av de billigste compliance-oppgavene dere kan lukke.

Neste steg

Start med kartleggingen i seks-stegs-listen over. De fleste SMB bruker 3 til 5 dager fordelt over et par uker på å få oversikt over databehandlerne, hente inn avtalene, og samle alt i et register. Etter det er det løpende vedlikehold: ingen ny SaaS-leverandør tas i bruk før avtalen er på plass.

Hvis dere ønsker en sparringspartner som kan lede en personvern- og leverandør-gjennomgang på 1 til 2 dager, kan vi hjelpe. Det er typisk en kombinasjon av IT-rådgivning og IT-sikkerhets-vurdering der vi går gjennom databehandlerne, kontrollerer avtalene mot de åtte punktene, og setter opp registeret sammen med dere.

Send en e-post til Roy.Morken@Datafolka.no , så avtaler vi en samtale.

Beslektet lesing på datafolka.no: Datatilsynet 2026 - hva små bedrifter må vite , GDPR og personvern for små bedrifter og Privat AI uten datalekkasje .

Kilder

GDPR personvernforordningen artikkel 28 (databehandler) og artikkel 30, 32: lovdata.no/personopplysningsloven
Datatilsynet - databehandleravtale (veiledning): datatilsynet.no/databehandleravtale
EDPB Guidelines 07/2020 on the concepts of controller and processor: edpb.europa.eu/guidelines-07-2020
Datatilsynet avgjørelser 2024 - Vedtaksregister: datatilsynet.no/avgjorelser-2024
Schrems II (C-311/18) og EU-US Data Privacy Framework: commission.europa.eu/eu-us-data-transfers

Roy Morken, medgrunnlegger i Datafolka. Artikkelen er bygget på GDPR artikkel 28, Datatilsynets veiledning om databehandleravtaler, EDPB Guidelines 07/2020 og Datatilsynets vedtaksregister, og oversatt til praktisk språk for norske SMB. Ingen kundedata eller anonymiserte case er brukt. Sist oppdatert 28. mai 2026.