Både myndigheder, virksomheder og leverandører kæmper for at få alle databehandleraftaler på plads, inden det nye GDPR-regime træder i kraft 25. maj.
De fleste af IT-Branchens medlemmer har oplevet at skulle kæmpe med kunderne, om det er leverandøren eller kunden, der definerer, hvad der står i databehandleraftalen.
Hvem blinker først og underskriver den andens kontrakt?
Standardaftaler vinder frem
IT-Branchen har en standard databehandleraftale, som vi anbefaler vores medlemmer at bruge. Du kan finde IT-Branchens Databehandleraftale her, (få kodeordet via sekretariatet).
Organisationer som f.eks. Datatilsynet, Kombit og KL har også deres egne standardiserede databehandleraftaler. Og ligesom man også ser det hos større private kunder, kan de have opbygget egne regimer og regler, som deres it- eller legalafdeling insisterer på følges.
Standardaftalerne vinder frem, da flere har forholdt sig til alle de krav, der direkte følger af persondataforordningen.
Men hvad gør du lige nu, når du møder en kunde, der ligesom dig har en databehandleraftale med?
For her hjælper lovgivningen ikke. Den stiller blot krav om, at der findes en databehandleraftale, samt hvilken minimumsregulering der skal være indeholdt deri.
Men lovgivningen siger ikke noget om, hvem der har lov til at definere det konkrete indhold i databehandleraftalen. Kun at parterne skal være enige herom, så begge vil tiltræde aftalens vilkår.
IT-Branchens gode råd:
1. Kom først
Send din databehandleraftale til kunden med oplysning om at dét er aftalegrundlaget fremover. Det accepterer mange.
Nogle af IT-Branchens medlemmer, der var meget tidligt ude med deres databehandleraftaler til kunderne, har, selvom de har 100 vis af kunder, fået aftalerne elektronisk underskrevet af over 98% af kunderne allerede. Så det kan lade sig gøre.
Hvis din egen databehandleraftale ikke er helt på plads, så oplys kunderne om, at den er på vej, og hvornår den ca. kan forventes.
Det er ikke et krav, at databehandleraftalen fysisk underskrives. Det er alene et krav, at den er udtryk for parternes aftale. Det betyder i praksis, at begge parter i en eller anden udstrækning skal tilkendegive positivt, at de accepterer aftalevilkårene. Dette kan naturligvis være med en underskrift, et ”klik” i en acceptboks eller en mail med et ”ok”.
Fordelen ved en skriftlig accept er at den er lettere at dokumentere efterfølgende.
2. Hold fast i din standard
Individuelle tilpasninger med den enkelte kunde er et helvede at administrere i driften. Så lad være med at åbne op for det, hvis du kan undgå det.
Et godt argument er, at du som leverandør har 100 eller 1.000 vis af kunder, hvor databehandlerforholdet både kontraktligt og processuelt er ens håndteret. Det gælder naturligvis særligt, hvis din løsning/service og dit sikkerhedsniveau til kunden er standardiseret.
En typisk virksomhed eller myndighed har trods alt færre forskellige leverandører. Derfor er der en vis logik i, at det kontraktlige udgangspunkt for databehandleraftalen bør være leverandørens.
I praksis vil det også være sådan, at mange aftaler og på forskellige vilkår øger risikoen for fejl og omkostninger til administration. Omkostninger og risici som det i sidste instans er kunden, der skal dække.
3. Gør det let for kunden at blive tryg
Når kunden insisterer på egen aftale, kan det også bare skyldes, at de ikke har ressourcer til at sætte sig ind i din aftale. Her kan du med fordel gøre det let for dem at få indsigt i og tillid til din databehandleraftale.
Du kan fremhæve, at hvis du bruger IT-Branchens skabelon, så er din databehandleraftale baseret på en branchestandard, der sikrer svar på de forhold, en aftale SKAL indeholde, jf. lovgivningen. Det betrygger mange.
Du kan med inspiration fra IT-Branchens standardaftale i din databehandleraftale, markerer minimumskravene fra Databeskyttelsesforordningen med én farve, så kunden let kan se, hvad der direkte følger af lovkravene til datanbehandleraftalen, og med en anden farve angive passager der er udtryk for dine egne tilpasninger eller kommercielle vilkår.
Hvis der herudover er særlige forhold, kunden skal vide besked om før accept af aftalen, kan de stille specifikke spørgsmål, du kan svare på, hvordan er håndteret i jeres aftale.
4. Vær parat til at sige nej tak til kunden
Vurder hvor langt du vil gå. Er omkostningerne ved afvigelser fra din standardaftale så komplekse og dyre at håndtere, at det bedre kan betale sig for dig at sige nej til kunden og afbryde samarbejdet, hvis I ikke kan nå til enighed?
For det kan naturligvis være konsekvensen, hvis I ikke finder en fælles accepteret løsning.
Som eksempel kan nævnes, at nogle kunder stiller krav om, at kunden én gang om året vil have en revisionserklæring – enten generelt eller præcis i forhold til kundens individuelle aftale. Omkostningerne hertil kan overstige omsætningen på kunden, eller kan være uproportionel i forhold til de ydelser der leveres, herunder typen og antallet af oplysninger, der behandles.
Du kan altid få hjælp
Har du spørgsmål er du som medlem af IT-Branchen velkommen til at ringe til vores rådgivere, der kan svare telefonisk på spørgsmål om bl.a. GDPR. Ring i hverdage på 33 74 64 00.
Har du brug for hjælp til skriftlig udarbejdelse af svar, skriftlig kommentering af kontrakter mm. kan du bruge Dahl advokater, hvor du som medlem af IT-Branchen får 20 % rabat. Læs mere her.