Deadlinen for at leve op til EU’s databeskyttelsesforordning nærmer sig hastigt, og det får virksomheder af alle størrelser til at intensivere jagten på de obligatoriske databehandleraftaler.
I brancheforeningen IT-Branchen oplever man, at man både i det private og i det offentlige har fået øjnene op for, at aftalen snart skal være på plads. Men hvad der skal stå i den, er langt sværere at svare på:
»De store bøder skræmmer. Og det får folk til at lægge ekstra oven på. Vi har fået aftaler sendt ind, som vi ser på og tænker: ‘Hvad skete der lige der?’,« fortæller Rune Fick Hansen, der er kommunikationschef i IT-Branchen.
»Lige nu har vi fået sendt nogle sager ind, som handler om erstatningsansvar i tilfælde af, at nogen ved et uheld sender persondata et forkert sted hen. Og der er nogen, der gerne vil give databehandleren ansvaret, selvom det i sidste ende var dataejerens skyld.«
Bliver unødigt dyrt
Tendensen til at forsøge at dække sig helt ind gennem databehandleraftalen oplever man også hos Biltorvet, der leverer software til en række bilforhandlere.
Her fremhæver direktør Claus Walsted Nybroe, at GDPR som noget nyt giver mulighed for, at man kan aftale sig til, at databehandler får et større ansvar, end det hidtil har været kutyme.
»Det betyder, at der er blevet åbnet for nogle helt vanvittige forslag til databehandleraftaler fra kundens side,« siger han.
»For eksempel er der nogen, der foreslår, at det er os som databehandler, der ene og alene har ansvar for at følge med i, hvordan lovgivningen udvikler sig. Det betyder underforstået, at hvis dataejer skulle komme til at forbryde sig mod en eller anden datalov efterfølgende, så ville ansvaret ligge hos databehandler.«
Hvis Biltorvet skulle gå med til den slags krav, ville prisen den anden vej være en helt anden, påpeger Claus Walsted Nybroe.
»Jeg kan godt forstå, at man fra juristernes synspunkt er nødt til at gå med livrem og seler. Men så er der altså også risiko for, at man får en unødigt dyr og kompliceret løsning.«
Ikke ét svar
I stedet for at gå med en databehandleraftale, som Claus Walsted Nybroe kalder ensidig, skal man sætte sig ned og tale med kunden om det, vurderer direktøren.
Også i IT-Branchen opfordrer man til dialog. Organisationen anbefaler desuden sine medlemmer at ty til IT-Branchens standardaftale, der er lavet i samarbejde med Dansk Erhverv.
Men der er ikke noget universelt svar på, hvordan aftalen skal skrues sammen, siger Rune Fick Hansen:
»Der er en masse regler, som kan skrives ind på mange måder. Og der er mange om buddet med at udforme aftalerne. Det er gjort i bedste mening, men det gør, at forskelligheden er stor. Så det er en jungle.«