Databehandleraftale gennemgang med AI kontraktreview

Hvad du konkret bør kontrollere i aftalen

Start med behandlingsinstruksen, og læs den, som om du skal kunne forklare den til en leveranceansvarlig i morgen. Instruksen skal være så konkret, at databehandleren ikke kan udvide formålet efter eget skøn, for eksempel via brede formuleringer som “levering og forbedring af services”. Hvis instruksen er uklar, bliver resten af aftalen typisk teoretisk, fordi du mister kontrol over, hvad der egentlig må ske med data.

Dernæst skal formål, datatyper og omfang hænge sammen med sikkerhedsniveauet. Det er ofte her, aftaler “knækker”: Aftalen beskriver måske almindelige kontaktoplysninger, mens der i praksis behandles medarbejderdata, kundeprofiler eller helbredsoplysninger, uden at sikkerhedsbilaget matcher. Kig derfor efter, om bilaget gør det realistisk at vurdere adgangsstyring, logning, kryptering, backup og brudshåndtering på et niveau, der passer til behandlingen.

Ophør og sletning bør være skrevet, så der ikke opstår diskussion, når samarbejdet stopper. Det skal fremgå tydeligt, om data slettes, returneres eller anonymiseres, og inden for hvilken tidsramme. På samme måde skal tilsynsretten være brugbar i praksis; en auditret, der kun giver adgang til generelle politikker, giver sjældent reel indsigt, medmindre den kan omsættes til dokumentation, revisionsrapporter eller anden verificerbar kontrol.

Typiske svagheder: underdatabehandlere, transfers og sikkerhed

De største risici opstår ofte, når leverandøren selv bruger andre leverandører. Underdatabehandlere gør forsyningskæden længere og overblikket mindre, især hvis aftalen tillader løbende tilføjelser uden effektiv varslings- eller indsigelsesret. En stærkere formulering beskriver proceduren klart, så du kan reagere, hvis en ny underdatabehandler ændrer risikobilledet eller flytter behandlingen et sted hen, du ikke kan acceptere.

Tæt forbundet med underdatabehandlere er transfergrundlaget. Hvis data kan tilgås fra eller overføres til tredjelande via hosting, support eller underleverandører, skal det være eksplicit reguleret, og en generel henvisning til GDPR-compliance er ikke nok. Det bør fremgå, om tredjelandsoverførsel som udgangspunkt er forbudt, hvilke lande der kan være relevante, og hvilket lovligt grundlag der anvendes, så ansvaret ikke ender hos jer uden reel kontrol.

“Det er ofte mere effektivt at forhandle i risici og konsekvenser end i paragraffer.”

Sikkerhedsbilaget er det tredje klassiske svage punkt, fordi mange aftaler nøjes med “passende foranstaltninger” uden konkret indhold. Du behøver ikke alle tekniske detaljer, men bilaget skal være operationelt nok til, at du kan vurdere, om foranstaltningerne faktisk matcher behandlingen. I hverdagen kan AI-drevet kontraktgennemgang hjælpe med at finde uklare formuleringer, manglende bilag eller brede rettigheder hurtigt; ClearContracts funktion til kontraktgennemgang er et eksempel på et værktøj, der kan pege på risikopunkter, så dit team kan fokusere på det, der betyder mest.

Key Takeaways

• Vurdér sammenhængen mellem instruks, datatyper, risikoniveau og sikkerhed — ikke kun om aftalen formelt opfylder GDPR.
• Prioritér underdatabehandlere og tredjelandsoverførsler i både review og forhandling, fordi de ofte er formuleret for bredt.
• Krav til sletning/returnering og audit skal være praktisk anvendelige, ellers får du falsk tryghed.
• Brug gennemgangen som dialogværktøj med leverandøren, og oversæt krav til konkrete risici og forretningskonsekvenser.

Næste skridt er at samle aftale, bilag og opfølgning ét sted, så I kan arbejde systematisk med leverandører over tid. Hvis din organisation har mange leverandører, kan værktøjer til kontraktstyring og juridisk assistent understøtte en mere konsekvent praksis. ClearContract bruges netop til at skabe overblik og struktur i komplekse kontraktlandskaber uden at gøre arbejdet tungere; hvis du vil se, hvordan det kan understøtte jeres databehandleraftaler i praksis, kan du booke en demo eller oprette en konto og afprøve platformen i jeres egne workflows.