Virksomheder vil helgardere sig med databehandleraftaler: »Vanvittige forslag«

Illustration: alphaspirit/Bigstock
Med GDPR-deadlinen om hjørnet er virksomheder for alvor gået i gang med at indsamle databehandleraftaler. Men det er en jungle at finde ud af, hvad den skal indeholde.

Deadlinen for at leve op til EU’s databeskyttelsesforordning nærmer sig hastigt, og det får virksomheder af alle størrelser til at intensivere jagten på de obligatoriske databehandleraftaler.

I brancheforeningen IT-Branchen oplever man, at man både i det private og i det offentlige har fået øjnene op for, at aftalen snart skal være på plads. Men hvad der skal stå i den, er langt sværere at svare på:

»De store bøder skræmmer. Og det får folk til at lægge ekstra oven på. Vi har fået aftaler sendt ind, som vi ser på og tænker: ‘Hvad skete der lige der?’,« fortæller Rune Fick Hansen, der er kommunikationschef i IT-Branchen.

»Lige nu har vi fået sendt nogle sager ind, som handler om erstatningsansvar i tilfælde af, at nogen ved et uheld sender persondata et forkert sted hen. Og der er nogen, der gerne vil give databehandleren ansvaret, selvom det i sidste ende var dataejerens skyld.«

Bliver unødigt dyrt

Tendensen til at forsøge at dække sig helt ind gennem databehandleraftalen oplever man også hos Biltorvet, der leverer software til en række bilforhandlere.

Her fremhæver direktør Claus Walsted Nybroe, at GDPR som noget nyt giver mulighed for, at man kan aftale sig til, at databehandler får et større ansvar, end det hidtil har været kutyme.

»Det betyder, at der er blevet åbnet for nogle helt vanvittige forslag til databehandleraftaler fra kundens side,« siger han.

Læs også: Cloud-løsninger giver nordisk mediehus udfordringer med GDPR

»For eksempel er der nogen, der foreslår, at det er os som databehandler, der ene og alene har ansvar for at følge med i, hvordan lovgivningen udvikler sig. Det betyder underforstået, at hvis dataejer skulle komme til at forbryde sig mod en eller anden datalov efterfølgende, så ville ansvaret ligge hos databehandler.«

Hvis Biltorvet skulle gå med til den slags krav, ville prisen den anden vej være en helt anden, påpeger Claus Walsted Nybroe.

»Jeg kan godt forstå, at man fra juristernes synspunkt er nødt til at gå med livrem og seler. Men så er der altså også risiko for, at man får en unødigt dyr og kompliceret løsning.«

Ikke ét svar

I stedet for at gå med en databehandleraftale, som Claus Walsted Nybroe kalder ensidig, skal man sætte sig ned og tale med kunden om det, vurderer direktøren.

Også i IT-Branchen opfordrer man til dialog. Organisationen anbefaler desuden sine medlemmer at ty til IT-Branchens standardaftale, der er lavet i samarbejde med Dansk Erhverv.

Læs også: Kontroversielt forslag om sundhedsdata: Staten vil give dine data til mediko-giganter

Men der er ikke noget universelt svar på, hvordan aftalen skal skrues sammen, siger Rune Fick Hansen:

»Der er en masse regler, som kan skrives ind på mange måder. Og der er mange om buddet med at udforme aftalerne. Det er gjort i bedste mening, men det gør, at forskelligheden er stor. Så det er en jungle.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Klavs Klavsen

Man skal så lige være klar over at den handler om situationer hvor databehandler har "root" tilsvarende adgang (og dataejer IKKE har) - da den ligger alt ansvar for at kende loven og sige NEJ til dataejer, hvis de bliver bedt om at gøre noget forkert.

Det passer fint til alle de steder, hvor eksternt firma har udviklet noget og driver det for dataejer/kunden.. men ikke så godt til samarbejdspartnere - der bare har adgang (f.ex. virksomheder der leverer systemadministratorer - som jo så har root adgang til serverne, men ikke kontrol over hvad der kommer på serverne fra dataejers side).. Så gerne nogle flere skabeloner fra datatilsynet - til de forskellige standard situationer.

  • 1
  • 1
Lars Christensen

I de sidste 4-5 uger er der kommet et nyt ord i Danmark (dataejere) som værende noget der noget at gøre med Dataansvarlige!
Dataejere har ikke en pind at gøre med Dataansvarlige.

Ordet "Dataejere" er misvisende i denne sammenhæng.

Dataansvarlig er den person i enhver virksomhed der bestemmer hvilken type soft- og hardware der skal benyttes i arbejdet med at behandle data!

  • 0
  • 1
Mads Bendixen

Dataansvarlig er den person i enhver virksomhed der bestemmer hvilken type soft- og hardware der skal benyttes i arbejdet med at behandle data!


Nej.

I persondatalovens § 3, nr. 4, defineres "den dataansvarlige" som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.

https://www.datatilsynet.dk/erhverv/dataansvarlig-databehandler/hvornaar...

  • 3
  • 0
Amanda Vad

Klavs klavsen: Datatilsynets databehandleraftale er ikke lavet til den situation, du beskriver. Aftalen kan anvendes til alle typer af databehandlerkonstruktioner. Aftalevilkåret om, at databehandleren skal underrette den dataansvarlige, hvis en instruks efter DB’s opfattelse er i strid med databeskyttelsesforordningen, er en del af det minimums-indhold, som aftalen skal have efter forordningens artikel 28.
Der er derfor ikke behov for at afvente en aftale til flere forskellige situationer.

  • 0
  • 0
Mads Bendixen

Hej Mads, Korrekt - men hele issuet drejede sig om at "Dataansvarlig" er ændret til "Dataejer" og denne omvendte verden hører jeg tit, derfor min respons og noget forkortede definition af hvad en Dataansvarlig er.


Tjek.
Jeg har ikke selv hørt det brugt i forbindelse med persondataloven eller GDPR. Det engelske udtryk er "data controller", så det er ikke pga. en dårlig oversættelse, hvis folk bruger det.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize