Forside / Databehandleraftale

GDPR i praksis

Databehandleraftalen skal gøre ansvaret tydeligt

Når Andels Venteliste behandler ventelistedata på vegne af en forening, skal roller, instrukser, sikkerhed og sletning være aftalt klart.

Foreningen er typisk dataansvarlig

Andelsboligforeningen bestemmer normalt formålet med ventelisten: hvem der kan skrives op, hvilke regler der gælder, hvor længe oplysninger gemmes, og hvornår en bolig tilbydes. Derfor er foreningen typisk dataansvarlig for ventelistedata.

Andels Venteliste som databehandler

Andels Venteliste leverer systemet, driften og de tekniske arbejdsgange. Når systemet behandler oplysninger på foreningens vegne, sker det efter foreningens instrukser og med en databehandleraftale som ramme.

Hvad aftalen bør dække

  • Hvilke typer oplysninger systemet behandler, eksempelvis navn, kontaktdata, anciennitet, betaling og status.
  • Hvem der har adgang til oplysningerne, og hvilke roller der kan ændre ventelisten.
  • Hvordan sletning, eksport og tilbagelevering håndteres ved ophør.
  • Hvordan underdatabehandlere, hosting, server og database indgår i driften.
  • Hvordan sikkerhedsbrud, logning og supportadgang håndteres.

Foreningens løbende tilsyn

En databehandleraftale er ikke kun et dokument, der underskrives ved opstart. Den skal også gøre det praktisk for foreningen at forstå, hvordan data behandles, og hvordan foreningen kan følge op på sikkerhed og drift.

Ikke juridisk rådgivning

Denne side er et overblik over, hvordan Andels Venteliste arbejder med rollefordeling. Den erstatter ikke juridisk rådgivning eller foreningens egen vurdering af GDPR-ansvaret.