Hva du får ut av kurset

På kurset lærer du bl.a.:

• Kunne identifisere roller, behandlingsaktiviteter og dataflyt, og oversette dette til en presis behandlingsbeskrivelse/vedlegg i DPA.
• Ha oversikt over minimumskravene etter GDPR art. 28 og hvordan disse bør formuleres kontraktuelt.
• Kunne kvalitetssikre og forhandle sentrale DPA-klausuler (instruks, sikkerhetstiltak, underdatabehandlere, bistandsplikter, avvik, revisjon/tilsyn).
• Forstå når og hvordan overføringer til tredjeland oppstår (inkl. fjernaksess, support og drift), og hvilke krav dette utløser.
• Identifisere risikobaserte krav til tekniske/organisatoriske tiltak og dokumentasjon (f.eks. logging, kryptering, sertifiseringer, rapporter).
• Vite når en vurdering av geopolitisk og leverandørrelatert risiko skal gjøres.
• Kunne planlegge og kontraktsfeste exit og leverandørbytte (tilbakelevering/sletting, assistanse, format, frister, verifikasjon, backuper).
• Ha en praktisk sjekkliste og “klausulpakke” for vanlige scenarioer (SaaS, sky/outsourcing, kritiske tjenester, høy risiko).

Temaene vi dekker

Kurset gir deltakerne en praktisk metode for å utforme, kvalitetssikre og forhandle databehandleravtaler i tråd med GDPR artikkel 28, med konkrete klausuler og sjekklister som kan tas i bruk umiddelbart. Deltakerne lærer hvordan geopolitisk risiko og overføringer til tredjeland bør håndteres i kontrakt og styring (inkludert samspillet mellom DPA, SCC og TIA). Til slutt får de verktøy for å sikre reell kontroll og handlingsrom gjennom robuste revisjons-, beredskaps- og exit-mekanismer ved leverandørskifte eller endrede rammevilkår.

Hvem kurset er relevant for

• Personvernombud og personvernrådgivere (DPO/privacy)
• Jurister/advokater som jobber med teknologi, kontrakt og compliance
• Innkjøp/procurement og vendor management som forhandler leverandøravtaler
• IT-/sikkerhetsledelse (CISO, IT-ansvarlige, security/compliance) som skal stille krav til tiltak og kontroll
• Ledere/prosjekteiere som anskaffer eller drifter SaaS/outsourcing og må håndtere tredjeland, risiko og exit

Bakgrunn

Bruk av SaaS, sky og outsourcing gjør at stadig flere virksomheter er avhengige av leverandører som behandler personopplysninger på deres vegne, ofte i komplekse leverandørkjeder med underdatabehandlere.Databehandleravtalen er et kjerneverktøy for å oppfylle kravene i GDPR artikkel 28, men brukes i praksis ofte som en “standardmal” uten tilstrekkelig kobling til faktisk behandling, sikkerhetstiltak og operativ oppfølging.Samtidig har den geopolitiske situasjonen økt risikoen knyttet til tredjelandsoverføringer, statlig tilgang, sanksjoner og leverandørkontinuitet, noe som skjerper behovet for robuste kontraktsmekanismer og reell styring.Kurset tar derfor sikte på å gi deltakerne praktiske metoder, klausuler og sjekklister for å etablere databehandleravtaler som både tåler regulatoriske krav og fungerer som risikoverktøy – inkludert planlegging for endringer og e

Undervisningsform

• Kombinasjon av forelesning og praktisk, casebasert gjennomgang av databehandleravtaler
• Interaktive stopp underveis med korte oppgaver (klausulvurdering, “finn risikoen”, forbedre vedlegg/behandlingsbeskrivelse)
• Gruppearbeid
• Plenumspresentasjon og felles diskusjon
• Praktiske verktøy og “takeaways”

Materiale

Du får adgang til kurspresentasjonen og annet relevant materiale gjennom JUCs digitale plattform.