GDPR-kontrakt-tjekliste til sikker compliance

Trin 1: Kortlæg behandlingsaktiviteter

Start med at få et fuldt overblik over, hvilke persondata der håndteres i dine kontrakter. Dette skaber grundlaget for korrekt dokumentation og sikrer gennemsigtighed.

1. Identificér hvilke personoplysninger der behandles, fx kunder og ansatte.
2. Klassificér datatyper: almindelige, følsomme eller relateret til strafbare forhold.
3. Notér formål og behandlingsgrundlag (aftale, samtykke, lovkrav).
4. Kortlæg interne og eksterne modtagere af data.
5. Dokumentér eksisterende slette- og arkiveringspolitik.

Trin 2: Tjek databehandleraftalen (DPA)

Hvis en ekstern part behandler persondata for din virksomhed, skal du sikre, at der foreligger en gyldig databehandleraftale (GDPR art. 28).

1. Kontrollér at aftalen beskriver emne, varighed, formål, typer af persondata og kategorier af registrerede.
2. Bekræft at der foreligger klare instrukser fra den dataansvarlige.
3. Sikr at brug af underdatabehandlere er reguleret.
4. Tjek krav om passende tekniske og organisatoriske sikkerhedsforanstaltninger.
5. Verificér at aftalen indeholder revisionsret, pligt til sletning eller returnering af data ved ophør, samt underretning ved ulovlige instruktioner.

Du kan anvende et digitalt værktøj til struktureret gennemgang, fx AI Contract Review, som hjælper med at identificere manglende GDPR-klausuler.

Trin 3: Definér opbevaringsperioder

Fastlæg klare og dokumenterede opbevaringsperioder for alle datatyper, så du overholder princippet om dataminimering (GDPR art. 5(1)(e)).

1. Angiv konkrete opbevaringsperioder for hver datatype, fx “5 år efter kundeforholdets ophør”.
2. Indsæt perioder direkte i kontrakten eller som bilag.
3. Dokumentér slettepolitikken i interne procedurer.
4. Sørg for automatiseret sletning, hvor det er muligt.

Trin 4: Sikr registreredes rettigheder

Kontrakten skal understøtte, at virksomheden kan håndtere forespørgsler fra registrerede og overholde oplysningsforpligtelser.

1. Bekræft at databehandleren hjælper med indsigtsanmodninger, sletning og dataportabilitet.
2. Kontrollér at oplysningspligten er dækket: identitet på dataansvarlig, formål, modtagere, opbevaringsperiode og klageret.
3. Sikr at svarfrister (typisk 1 måned) kan overholdes.

Trin 5: Vurder risici og sikkerhed

Reducer risikoen for brud på persondatasikkerheden ved at udføre risikovurderinger og sikre passende tekniske foranstaltninger.

1. Vurder om behandlingen indebærer høj risiko for de registrerede.
2. Udfør en konsekvensanalyse (DPIA), hvis nødvendigt.
3. Tjek at kontrakten beskriver håndtering af databrud.
4. Bekræft at der er en proces til anmeldelse af databrud inden for 72 timer.

Trin 6: Dokumentér og opdatér løbende

GDPR kræver dokumenteret ansvarlighed. Sørg derfor for løbende revision og central dokumentation af alle kontrakter.

1. Gem alle kontrakter og vurderinger centralt.
2. Opdatér kontrakter ved ændringer i behandling eller lovgivning.
3. Gennemfør årlige audits af databehandlere.
4. Opsæt påmindelser for genforhandling og opfølgning.

Et struktureret setup med Contract Management gør det nemmere at bevare overblik over versioner, fornyelser og compliance-status.

Almindelige problemer & hurtige løsninger

• Manglende opbevaringsperiode: Tilføj konkrete tidsfrister pr. datatype.
• Uklare roller: Præcisér hvem der er dataansvarlig versus databehandler.
• Passivt samtykke: Skift til aktivt, eksplicit og dokumenteret samtykke.
• Ingen brudlog: Opret en simpel log med dato, type, risiko og handling.

Opsummering og næste skridt

• Du kan hurtigt finde en DPA for hver leverandør med persondataadgang.
• Alle kontrakter indeholder klare og målbare opbevaringsperioder.
• Virksomheden kan besvare indsigts- og sletningsanmodninger effektivt.
• Dokumentationen er klar, hvis Datatilsynet beder om indsigt.
• Planlæg en årlig GDPR-kontraktgennemgang som fast rutine.