Hvorfor sætter du databehandleren til at behandle data? Det kan for eksempel være for at kunne udbetale korrekt løn til medarbejderne.
Præcis hvilke personoplysninger lader du databehandleren tage hånd om? Kategori(er) af oplysninger er ikke nok, der skal klare betegnelser på, som for eksempel CPR-nummer.
Hvilke persongruppers data gælder databehandleraftalen?
Hvor længe varer behandlingen, og hvad skal der ske med data, når behandlingen slutter? Leveres data tilbage til dig, eller hvordan er proceduren for sletning?
Hvem har adgang til persondataene, mens du "låner" dem ud til din databehandler? Aftalen skal tydeligt beskrive forholdene omkring eventuel videregivelse af data - for eksempel til underdatabehandlere, hvilke restriktioner der er, og hvilken fortrolighed du er garanteret (og hvordan).
Hvilke "passende, tekniske og organisatoriske" foranstaltninger gør databehandleren for at GDPR overholdes? "Passende" fastlægges ud fra en konkret risikovurdering (jvf. den behandlingssikkerhed du skal sikre inden for virksomhedens egne fire vægge). "Tekniske" foranstaltninger handler om it-sikkerhed, og "organisatoriske" dækker både over den fysiske sikkerhed, og hvilke personer/arbejdsfunktioner, der faktisk har adgang til data.
