USD Finans

Magasinet der gør dig klogere på penge

Erhverv

Sådan udformer du en fortrolighedsaftale (NDA) mellem virksomheder: juridiske krav

0
Sådan udformer du en fortrolighedsaftale (NDA) mellem virksomheder: juridiske krav

En fejlagtigt udfærdiget fortrolighedsaftale kan koste millioner – eller hele dit næste strategiske samarbejde. I en tid, hvor data er det nye guld, stiger risikoen for lækager, industrispionage og bøder for hver fil, du deler med en potentiel partner. Alligevel sender mange virksomheder stadig kopi-paste-skabeloner rundt uden at tænke over GDPR, konkurrenceret eller hvem der faktisk må læse dokumenterne i datarummet. Resultatet? Uoverskuelige konflikter, tabte salgs­muligheder og ødelagte forhandlinger.

Denne artikel er til dig, der vil gøre det rigtigt første gang. Vi viser, hvordan du bygger en NDA, der både holder til domstolen og til den daglige drift – fra de grundlæggende byggeklodser til de avancerede klausuler, som kun de færreste husker at forhandle.

På de næste minutter får du derfor:

  • Overblikket over hvorfor en NDA er kritisk i alt fra M&A-processer til simple salgspitches.
  • Den juridiske tjekliste fra Lov om forretningshemmeligheder til GDPR og eksportkontrol.
  • Konkrete formuleringer, faldgruber – og tricks til at håndhæve aftalen, hvis uheldet er ude.

Smid kaffe i koppen, luk mail-klienten et øjeblik, og lad os sikre, at næste gang du deler din virksomheds kronjuveler, er de beskyttet af mere end blot gode intentioner.

Indholdsfortegnelse

Hvorfor en NDA mellem virksomheder? Formål, anvendelser og risici

En fortrolighedsaftale – ofte kaldet en Non-Disclosure Agreement (NDA) – er en kontrakt, hvor to eller flere virksomheder aftaler at hemmeligholde specifikke oplysninger, de udveksler i forbindelse med et samarbejde eller en potentiel transaktion. Aftalen skaber et klart kontraktretligt værn mod misbrug og uberettiget videregivelse, som supplerer de lovbestemte regler om forretningshemmeligheder.

Typiske situationer, hvor en nda er uundværlig

  1. M&A og due diligence: Køber har behov for at gennemgå sælgers teknik, kundedata og økonomi. Uden NDA risikerer sælger at følsomme oplysninger havner hos en konkurrent, hvis handlen falder til jorden.
  2. Strategiske partnerskaber og fælles udviklingsprojekter (R&D, co-creation): Parterne deler kildekode, algoritmer, produkt-roadmaps og know-how længe før der foreligger en endelig samarbejdsaftale.
  3. Leverandør- og underleverandørforhold: Producenten giver adgang til produktionstegninger og kvalitetskrav; leverandøren fremviser proprietære processer eller prisstrukturer.
  4. Salgspitches og proof-of-concepts: Iværksættere fremviser forretningsidé eller demo til potentielle kunder/investorer, der samtidig kan være konkurrenter.
  5. Outsourcing og cloud-tjenester: Databehandleren får indsigt i kundens it-arkitektur og persondata – en NDA (ofte kombineret med databehandleraftale) afgrænser brugen.
  6. Følsomme forhandlinger om licensaftaler og distributionsaftaler: Prisoplysninger, rabatter og tekniske integrationsdetaljer deles midlertidigt.

Hvilke risici adresserer en nda?

Risikotype Konkrete eksempler Hvordan NDA’en håndterer risikoen
Kommerciel udnyttelse Konkurrent kopierer prisstrategi eller produktdesign; investor starter konkurrerende virksomhed. Klausul om limited purpose og forbud mod reverse engineering eller anvendelse udover aftalt formål.
Tab af konkurrencefordel Patentbare idéer offentliggøres før ansøgning; unik algoritme eller kundeliste lækkes. Streng definition af “fortrolig oplysning” og krav om sikker opbevaring og mærkning.
Brud på lovgivning Videregivelse af persondata uden databehandleraftale; eksport af teknisk data til sanktionerede lande. Indbyggede krav om GDPR-compliance, eksportkontrol og notifikationspligt ved lovkrævet udlevering.
Omdømmerisiko Fortrolig information om produktfejl eller regnskabsproblemer lækkes til presse/SoMe. Bøde- eller erstatningsklausul samt hurtig injunctive relief (fogedforbud) ved brud.
Ansvar over for tredjemand Kundeoplysninger eller samarbejdspartneres IP videregives uden samtykke. Indsættelse af hold harmless-bestemmelser og krav om tilbagelevering/sletning.

Hvorfor er en nda ikke bare “nice to have”?

  • Den afsætter spillereglerne tidligt i forløbet – uklarhed om hemmeligholdelse kan forsinke eller stoppe forhandlinger.
  • Den fungerer som bevisgrundlag, hvis der senere skal dokumenteres misligholdelse; uden NDA skal man bevise både hemmeligholdelsespligt og tabsopgørelse alene via loven om forretningshemmeligheder.
  • Den skræddersyr værneting og lovvalg, så parterne undgår dyre jurisdiktionskonflikter ved grænseoverskridende samarbejder.
  • Den kan indeholde konventionalboder, som ofte virker mere præventivt end almindelige erstatningskrav.
  • Den letter intern governance – medarbejdere og rådgivere kender de konkrete sikkerheds- og delingsprocedurer.

Kort sagt: En robust NDA er et centralt risikostyringsværktøj, der beskytter både immaterielle aktiver og parternes forhandlingsposition, samtidig med at den understøtter compliance med det stadig mere komplekse regulatoriske landskab.

Den juridiske ramme i Danmark og EU

Den danske Lov om forretningshemmeligheder (LFH) implementerer EU-direktiv 2016/943 og fastlægger de minimumsrettigheder, enhver virksomhed har, når dens hemmelige knowhow bliver misbrugt – også selv uden en NDA. En kontraktuel aftale kan dog:

  • skærpe beviskravene (f.eks. ved at definere, hvad der er fortroligt),
  • forlænge beskyttelsestiden,
  • fastsætte konventionalbod eller andre sanktioner,
  • pålægge modparten aktive sikkerhedsforanstaltninger.

Det er derfor afgørende, at NDA’en præciserer, at alle fortrolige oplysninger udgør “forretningshemmeligheder” i LFH’s forstand og beskriver rimelige skridt til beskyttelse (adequate steps).

2. Aftaleloven & markedsføringsloven – Rimelige vilkår og god skik

Regel Relevans for NDA
Aftalelovens § 36 Ugyldiggør eller tilpasser urimelige eller ubillige vilkår. Eksempler: Urimeligt lange varigheder (fx “evigheds-NDA’er”) eller disproportional bod.
Markedsføringslovens § 3 Kræver god markedsføringsskik og forbyder illoyal erhvervsadfærd – et supplement til LFH ved misbrug af erhvervshemmeligheder.

Når du forhandler en NDA, bør du derfor balancere parternes rettigheder og sanktioner for at undgå, at aftalen kan tilsidesættes helt eller delvist.

3. Gdpr & databehandleraftaler – Persondata skal have egen “mini-nda”

Udveksler parterne personoplysninger, gælder GDPR uafhængigt af NDA’en:

  1. Identificér, om modparten er dataansvarlig eller databehandler.
  2. Indgå en databehandleraftale (DPA), hvis der sker behandling på vegne af den anden part – NDA’en kan ikke erstatte kravene i art. 28.
  3. Sørg for lovligt overførselsgrundlag ved tredjelands­overførsler (SCC, IDTA, TIA osv.).
  4. Indarbejd tekniske og organisatoriske sikkerhedsforanstaltninger (kryptering, adgangsstyring).

GDPR-bøder kan overstige værdiansættelsen i selve NDA’en, så integrér compliance-krav tidligt.

4. Konkurrenceretten – Følsomme data og clean teams

Art. 101 TFEU og den danske konkurrencelov forbyder udveksling af konkurrencefølsomme oplysninger mellem potentielle eller faktiske konkurrenter (prislister, rabatter, fremtidsplaner). For at minimere risikoen:

  • Afgræns tydeligt formålet med delingen.
  • Benyt clean teams eller eksterne rådgivere, når data deles i M&A-processer.
  • Indføj en non-disclosure & use-limitation-klausul med “need-to-know”.

5. Eidas & digitale signaturer – Gyldig accept

Efter eIDAS-forordningen (nr. 910/2014) er en kvalificeret elektronisk signatur (QES) juridisk ligestillet med håndskrevne underskrifter i hele EU. I Danmark anbefales:

  • MitID Erhverv eller andre QES-løsninger til høj sikringsgrad.
  • Standard elektroniske signaturer (SES) kan accepteres ved lav risikoprofil, men dokumentér autentifikation (f.eks. NemID-log).

6. Eksportkontrol & sanktionsregler

NDA’en bør forpligte begge parter til at overholde:

  • EU’s dual-use-forordning (2021/821) – kræver licens ved overførsel af visse teknologier.
  • Internationale sanktions-forordninger (fx mod Rusland, Iran). Indføj en sanctions clause, der giver ret til opsigelse ved brud.

Gør eksport-screening til en prækondition for al data-deling.

7. Valg af lov og værneting – Undgå dyre overraskelser

I grænseoverskridende samarbejder bør NDA’en altid indeholde:

  1. Lovvalg (typisk dansk ret eller et neutralt alternativ som engelsk ret).
  2. Værneting/voldgift – overvej DIF/CCI, ICC eller Danske Domstole. Voldgift giver fortrolighed, men er dyrere.
  3. Service of process og værdiansættelse af bodskrav for at lette håndhævelsen.

Ved electronically executed NDAs skal jurisdiktionsklausulen rumme Rome I-forordningens regler, så den anerkendes i hele EU.

Bottom line: En NDA er kun så stærk som dens lovmæssige fundament. Kender du reglerne ovenfor og inkorporerer dem konsistent, kan du både beskytte dine forretningshemmeligheder og undgå dyre tvister.

Kerneelementer i en robust NDA

En NDA består i praksis af en håndfuld uundværlige byggeklodser. De bør altid optræde – uanset om du bruger en standard­skabelon eller forhandler aftalen fra bunden – og de bør være skræddersyet til det konkrete samarbejde og den gældende lovgivning (Forretnings­hemmelighedsloven, Aftaleloven § 36 m.fl.).

  1. Parter og koncernforbundne enheder
    Angiv fuldt juridisk navn, CVR-nr. og adresse på alle primære parter. Hvis viden deles på tværs af et koncern­netværk, skal det tydeligt fremgå, om
    • koncernforbundne virksomheder er omfattet automatisk, eller
    • hver enhed først skal tiltræde NDA’en via joinder.

    Det mindsker risikoen for, at oplysninger flyder ud i uregulerede selskaber.

  2. Definition af fortrolige oplysninger
    Definer bredt, men præcist: “alle oplysninger af teknisk, kommerciel eller organisatorisk karakter, uanset form (skriftlig, mundtlig, elektronisk), som er mærket, identificeret eller rimeligvis burde forstås som fortrolige.”

    Inkludér eksempler (kildekode, kundelister, POC’er) for at undgå tvivl, og henvis til Forretnings­hemmelighedslovens § 2 for minimumskravene til hemmeligholdelse.

  3. Formål og tilladt brug (need-to-know)
    Aftalen skal afspejle hvorfor data udveksles (f.eks. due diligence, fælles udviklingsprojekt). Fortrolige oplysninger må kun bruges:
    • til det specificerede formål, og
    • af personer der har et sagligt behov (need-to-know-princippet).

    Indsæt et udtrykkeligt forbud mod anden brug, herunder reverse engineering, benchmark-test eller markedsføring.

  4. Beskyttelsesstandard og sikkerhedskrav
    Forpligt modparten til at beskytte oplysningerne “mindst med samme omhu som egne tilsvarende informationer” – dog aldrig lavere end en erhvervsmæssigt rimelig standard. Overvej at specificere:
    • kryptering & adgangskontrol,
    • ISO 27001-lignende politikker,
    • fysisk sikring og logning.

    Ved persondata skal GDPR-rollen (dataansvarlig/databehandler) samt reference til separat databehandleraftale fremgå.

  5. Repræsentanter, rådgivere og underleverandører
    Parterne hæfter normalt for egne medarbejdere, men bør også adressere:
    • eksterne rådgivere (advokater, revisorer, investeringsbanker),
    • cloud- og IT-leverandører,
    • midlertidigt personale.

    Krav: De skal være bundet af fortrolighed på mindst samme niveau, og parten skal sikre kontraktlig flow-down.

  6. Undtagelser fra fortroligheds­pligten
    Undtagelse Typisk formulering
    Offentligt kendt “som er eller bliver offentligt tilgængelig uden brud på denne aftale”
    Uafhængigt udviklet “udviklet autonomt uden brug af den anden parts fortrolige oplysninger”
    Allerede lovligt kendt “var i modtagerens besiddelse før modtagelsen, dokumenteret ved skriftligt bevis”
    Lovpligtig videregivelse “krævet af lov, domstol eller tilsyns­myndighed, forudsat forudgående skriftlig varsel”
  7. Varighed og overlevelses­klausuler
    To tidspunkter skal afklares:
    1. Hvornår udvekslings­perioden slutter (f.eks. 12 mdr. efter underskrift), og
    2. hvor længe fortroligheds­pligten varer herefter (typisk 3-5 år; “så længe oplysningerne er fortrolige” for trade secrets).

    Vurder om særligt følsom IP kræver en længere eller ubegrænset periode.

  8. Tilbagelevering og sletning
    Indsæt en klar proces, der kan aktiveres:
    • ved aftalens ophør,
    • efter anmodning fra den oplysende part, eller
    • når oplysningerne ikke længere er nødvendige.

    Kræv skriftlig bekræftelse på, at alle fysiske dokumenter er returneret, og alle elektroniske kopier slettet eller destrueret (medmindre backup-kopier kræves af lovgivning).

  9. Dokumentation & notifikationspligt ved brud
    For at kunne håndhæve rettigheder skal modtageren:
    • føre log over hvem der har haft adgang,
    • mærke filer/fysisk materiale tydeligt,
    • opbevare adgangs- og sikkerhedslog i minimum den aftalte periode.

    Skulle et brud indtræffe, bør NDA’en pålægge:

    1. Sofort-meddelelse (typisk inden for 24-48 timer) med detaljer om omfang og afhjælpning,
    2. Samarbejdspligt ved efterforskning og rets­lige skridt,
    3. eventuel konventionalbod eller adgang til injunctive relief.

Hvis alle ovenstående elementer er gennemarbejdet og afspejler parternes reelle behov, har du allerede 80 % af en robust, håndhævelig NDA. De sidste 20 % – avancerede klausuler og kommercielle særhensyn – bygger videre på dette fundament.

Avancerede klausuler og typiske faldgruber

En hyppig fejlkilde er antagelsen om, at “tavshed = ingen licens”. Indsæt derfor altid en no-license-klausul, der eksplicit fraskriver modtageren enhver brugs-, kopierings- eller udviklingsret ud over need-to-know-formålet.

  • Formål: Forebyg implicit opstået royaltyfri licens til kode, algoritmer eller tekniske tegninger.
  • Typisk ordlyd: “Alle immaterielle rettigheder forbliver hos videregiver, og intet i denne aftale skal fortolkes som en licenstildeling…”.
  • Reverse engineering: Tilføj et udtrykkeligt forbud mod dekompilering, disassembly og benchmark-publicering, da dansk ophavsret kun forbyder “unødvendig” reverse engineering af software.

Residuals-klausuler – Hukommelse vs. Hemmelighed

Internationale tech-giganter kræver ofte en residuals-klausul, der tillader medarbejdere at bruge “generel viden” de husker, selv om den stammer fra fortroligt materiale.

  1. Definér præcist, hvad der anses som residual knowledge (f.eks. ikke ordret kopi af kildekode).
  2. Indbyg IP-carve-out, så patenterbare opfindelser og kildekode fortsat er beskyttet.
  3. Overvej balancen ift. Lov om forretningshemmeligheder, der beskytter viden “som helhed eller i detaljer”.

Non-solicit & non-compete

Mens en NDA beskytter data, kan parterne også ønske at forhindre headhunting eller konkurrence.

Bestemmelse Gyldighed & risici
Non-solicit (ingen ansættelse af modpartens medarbejdere) Som udgangspunkt tilladt, men Aftalelovens § 36 kan tilsidesætte urimelige tidsrum > 12-24 mdr.
Non-compete (ingen salg til visse kunder/markeder) Høj konkurrence­retlig risiko: Skal vurderes efter TEUF art. 101 og konkurrenceloven § 6. Kræver objektivt nødvendige og tids-/geografisk begrænsede vilkår.

Ip-ejerskab ved evalueringer og prototyper

Ved proof-of-concepts eller sam-udvikling bør NDA’en suppleres med en IP-klausul:

  • Evaluering: Resultater, feedback og testdata kan frit anvendes af leverandøren eller konverteres til fælles ejerskab.
  • Prototyper: Angiv klart, hvem der ejer kildekode, forbedringer og afledte værker.
  • Joint IP: Overvej registrerings- og omkostningspligt, hvis der opstår patenterbare opfindelser.

Audit- og compliance-rettigheder

Har modtageren kritiske data (f.eks. forskningsresultater eller kundespecifik software), er det fornuftigt at aftale:

  • Ret til audit – fysisk eller virtuelt – med rimeligt varsel (7-14 dage).
  • ISAE-3402/ISO-27001 rapporter som alternativ til on-site inspektion.
  • Kostfordeling: Hvem betaler revisionsomkostninger ved gentagne brud?

Informationsklassificering & tekniske minimumskrav

Undgå tvetydighed ved at specificere klassifikation (Public/Intern/Confidential/Strictly Confidential) og tilknyttede sikkerhedsforanstaltninger (kryptering, DLP, MFA). Indsæt et minimumsniveau som matcher NIST SP 800-171 eller ISO-27002, så standarden er objektiv.

Clean team-opsætning i m&a

Ved due diligence kan konkurrerende parter lovligt få adgang til følsomme priser, kundelister mv., hvis:

  1. Data kun deles med eksterne rådgivere eller isolerede ansatte.
  2. Clean team-medlemmer underskriver særskilt NDA og registreres i en log.
  3. Kun aggregerede analyser må videregives til management før closing.

En tilsvarende struktur anbefales af EU-Kommissionens Horisontalretningslinjer og den danske Konkurrence- og Forbrugerstyrelse.

Eksportkontrol-screening & sanktionsklausuler

Tekniske tegninger, kryptografi eller dual-use-software kan være eksportkontrolleret. Tilføj derfor:

  • Garantiklausul om, at ingen part udleverer materialer i strid med EU-forordning 2021/821 eller OFAC-sanktioner.
  • Suspension/termination-mekanisme ved ændrede sanktionslister.
  • Forpligtelse til at fremlægge ECCN-koder og anden klassificering før deling.

Typiske faldgruber – Checkliste

  • Upræcis scope, der tillader utilsigtet intern brug.
  • Manglende reference til underleverandører ⇒ brud gennem cloud-host.
  • Ingen klar termineringsmekanisme ⇒ datasletning forbliver uafklaret.
  • “Evergreen” konventionalbod uden loft ⇒ kan tilsidesættes efter Aftalelovens § 36.
  • Fravær af lovvalg for globale koncerner ⇒ retstvister havner i uønsket jurisdiktion.

Håndhævelse, sanktioner og bevis

Hvis fortrolige oplysninger allerede er lækket, kan økonomisk kompensation sjældent gøre skaden god igen. Derfor bør en NDA give parterne adgang til øjeblikkelige retsmidler:

  1. Fogedforbud (injunctive relief)
    Via fogedretten kan den krænkede part få et midlertidigt forbud mod videre brug eller spredning af informationen. Kravet behandles typisk inden for få dage og kræver, at:
    • Oplysningerne er tydeligt beskrevet som fortrolige
    • Der foreligger aktionsklausul i NDA’en, som giver ret til forbud uden sikkerhedsstillelse (så vidt muligt)
    • Der er fare for uoprettelig skade, hvis forbuddet ikke gives
  2. Retshåndhævelse via domstolene
    Hvis skaden allerede er sket, vil den forurettede part som udgangspunkt kræve erstatning eller konventionalbod (se næste afsnit).

Konventionalbod vs. Erstatning – To veje til økonomisk kompensation

Konventionalbod Erstatning og tabsopgørelse
Definition Forud­bestemt beløb (typisk pr. overtrædelse eller pr. dag) Godtgørelse for faktisk dokumenteret tab
Beviskrav Kun bruddet skal bevises; tabets størrelse er uden betydning Tab, årsagssammenhæng og påregnelighed skal dokumenteres
Fordele Hurtig, forudsigelig, præventiv effekt Kan dække hele det lidte tab, hvis boden er for lav
Ulemper Kan tilsidesættes som urimelig efter Aftalelovens § 36 Kompleks og dyr bevisførelse, især ved immaterielle skader

Mange vælger en kombination: konventionalbod som minimum – med mulighed for at kræve yderligere erstatning, hvis tabet overstiger boden.

Ansvarsbegrænsning og indirekte tab

En NDA beskytter hemmeligheder, men den kan samtidig begrænse parternes ansvar:

  • Ansvarscap: F.eks. “Parternes samlede ansvar er begrænset til 1 mio. kr. eller 100 % af aftalens værdi”. Overvej carve-outs for forsætlige eller groft uagtsomme brud.
  • Indirekte tab: Parterne frasiger sig ofte ansvar for følgetab, driftstab, tab af goodwill m.m. Husk dog, at netop disse poster typisk er de største ved læk af forretningshemmeligheder; overdreven fraskrivelse kan blive tilsidesat som urimelig.

Bevisførelse – Byg dokumentationen ind fra dag ét

Bevisbyrden for, at oplysningerne var fortrolige, og at modtageren brød aftalen, ligger som udgangspunkt på rettighedshaveren. NDA’en bør derfor indbygge mekanismer til sporbarhed:

  • Mærkning: “CONFIDENTIAL” i header/footer og på filer.
  • Adgangslogning: Brug datarum med individuel login, IP-spor og download-log.
  • Digitale datastempler: eIDAS-kompatible tidsstempler eller blockchain-baseret logging for at bevise tidspunktet for deling.
  • Audit-ret: Ret til at revidere modtagerens IT-systemer ved mistanke om brud – balanceret mod GDPR og forretningshemmeligheder hos modtageren.

Oplysnings- og samarbejdspligt ved brud

En robust NDA pålægger modtageren straks at:

  1. Skrive skriftlig notifikation (ofte inden for 24 timer) ved faktisk eller formodet brud.
  2. Inddæmme bruddet: midlertidigt lukke adgang, tilbagekalde adgangsrettigheder, sørge for fysisk inddragelse af materiale.
  3. Samarbejde om efterforskning: udlevere logfiler, e-mails mv. – dog i overensstemmelse med persondatalovgivningen.
  4. Bære omkostningerne ved afhjælpning, hvis modtageren er ansvarlig.

Forumvalg: Voldgift eller domstole?

Valget af tvistløsningsforum har stor betydning for håndhævelsen:

  • Domstole (almindelig civil ret):
    Fordele: Offentlig præcedens, mulighed for fogedforbud, lavere omkostninger.
    Ulemper: Langsom sagsbehandling, ingen garanti for specialiserede dommere, offentlighed kan afsløre yderligere hemmeligheder.
  • Voldgift (fx Voldgiftsinstituttet eller ICC):
    Fordele: Fortrolig behandling, hurtigere proces, parterne kan vælge eksperter som voldgiftsdommere, kendelser håndhæves i 170+ stater via New York-konventionen.
    Ulemper: Højere gebyrer, begrænset mulighed for domstolsprøvelse, vanskeligere at opnå fogedforbud, medmindre der laves pre-arbitral emergency relief-aftale.

En pragmatisk løsning er en delt model: Fogedret og midlertidige forbud via danske domstole, mens det endelige ansvarsspørgsmål afgøres ved voldgift.

Ved grænseoverskridende samarbejder bør NDA’en desuden afklare lovvalg (f.eks. dansk ret) og præcisere, om EU-domstolsforordninger eller New York-konventionen finder anvendelse på tvangshåndhævelse.

Praktisk guide: sådan udformer, forhandler og implementerer du en NDA

Start med et kort skriftligt mandat, hvor I beskriver:

  • Hvad samarbejdet går ud på (fx fælles udvikling, due diligence, leverandørevaluering).
  • Hvilke typer oplysninger der forventes delt – forretningsplaner, finansielle nøgletal, kildekode, persondata, tekniske tegninger m.m.
  • Hvem på begge sider der har et legitimt need-to-know.
  • Hvornår udvekslingen stopper (milepæle, frist eller opsigelse).

Trin 2: Vælg ensidig vs. Gensidig nda

Model Hvornår relevant Fordele / ulemper
Ensidig Pitchen til potentiel kunde, leverandøraudit, outsourcing-RFP. Enklere; men tilbyder ingen beskyttelse, hvis rollen skifter.
Gensidig Joint venture, M&A, co-creation, teknologiudveksling. Balancerer rettigheder, men kan kræve længere forhandling.

Trin 3: Tilpas skabelon og anvend tjekliste

  1. Brug en basis-skabelon (koncernstandard eller brancheforlæg).
  2. Indsæt projekt-specifikke bilag: dataklassificering, parternes kontaktpunkter, tekniske sikkerhedsforanstaltninger.
  3. Kryds af i tjeklisten: parter, definition, undtagelser, varighed, lovvalg, sanktioner, tilbagelevering, persondata, eksportkontrol.

Trin 4: Fastlæg lovvalg, værneting og sprog

Vælg dansk ret og danske domstole, medmindre der er et klart forretningsmæssigt rationale for andet (fx international voldgift).

  • Indsæt EU-domicil som minimum for at sikre anvendelse af EU’s forretningshemmelighedsdirektiv.
  • Angiv kontrakt­sprog; ved to sprogversioner bør én prioriteres som control version.

Trin 5: Integrér gdpr og sikkerhedskrav

Hvis der kan optræde persondata:

  • Tilføj databehandler­aftale som bilag eller henvisning, jf. GDPR art. 28.
  • Beskriv tekniske og organisatoriske foranstaltninger (kryptering, adgangsstyring, logning).

Uanset persondata: referér til ISO 27001-kontroller eller tilsvarende som minimumsniveau.

Trin 6: Aftal delings­processer

  • Opret datarum (SharePoint, Azure, DealRoom) med tidsbegrænset adgang.
  • Brug adgangsprofiler og individuel login – ingen generiske konti.
  • Krav om mærkning (“CONFIDENTIAL – NDA”) og eventuelt vandmærke.
  • Fast rutine for log-udtræk og periodisk review af brugere.

Trin 7: Digital underskrift

Underskriv med eIDAS-kvalificeret signatur (fx Penneo, Visma Addo) eller MitID Erhverv for at sikre beviskraft og validitet på tværs af EU.

Trin 8: Uddan teams og implementér governance

  1. Hold en onboarding-session for alle, der skal have adgang – 30 min. “dos & don’ts”.
  2. Udpeg en NDA-owner pr. side (typisk legal eller projektleder).
  3. Etabler compliance-workflow: årlig audit, sletning/tilbagelevering ved projekt­slut, review af konventionalbod-registre.

Trin 9: Fornyelse og exit

Sæt påmindelse i kontraktstyringssystemet 60 dage før udløb. Vurder behov for:

  • Fornyelse eller opgradering til bredere samarbejdsaftale.
  • Opdatering af sikkerhedskrav efter ny regulering eller koncernpolitikker.

Særlige hensyn

  • SMV’er: Brug korte, lettilgængelige NDAs (max 4-5 sider), men insister på konventionel bod med fast beløb – reducerer bevisbyrde.
  • Koncernstrukturer: Inkludér “affiliates clause” og afstem med globale IT-policyer; definér klart, om deling må ske på tværs af lande.
  • Grænseoverskridende projekter: Overvej clean teams, eksportkontrol-screening, og om lovvalg bør være neutral (fx ICC-voldgift i Paris).

Tip: Dokumentér hele processen – fra forhandlingsudkast til endelige signaturfiler – i et versionsstyret arkiv; det er guld værd, hvis der senere opstår tvist.

Website:

Related Story

Indholdsfortegnelse

Indhold