Gæstebloggen

Har du styr på dine databehandlere?

Hvis du har fulgt persondataområdet de senere år, husker du måske Datatilsynets tidligere aktioner vedrørende offentlige og private dataansvarliges brug af databehandlere.

Lena Andersen Salin er senioradvokat hos Bech-Bruun. Hun rådgiver offentlige myndigheder og private om spørgsmål vedrørende persondata, og indgår i Bech-Bruuns DPO-team, som varetager opgaven som databeskyttelsesrådgiver (DPO) for en række kommuner, virksomheder og organisationer. Lena har tidligere været kontorchef i Datatilsynet i mange år og har derfra indgående erfaring med vurdering og afklaring af persondataretlige spørgsmål vedrørende bl.a. klagesager, digital forvaltning, tv-overvågning, datasikkerhed, kontrol med databehandlere og håndtering af sikkerhedsbrud. Illustration: Bech-Bruun

Med Version2’s egne ord faldt der i 2016 drøje persondata-hug til flere kommuner fra Datatilsynet og historien gentog sig i 2017 i forhold til en række statslige myndigheder.

2017 var også året, hvor Datatilsynets kritik haglede ned over forskere for manglende sikring af, at data hos eksterne parter blev opbevaret og behandlet i overensstemmelse med reglerne.

Nu finder GDPR anvendelse, og vi har set Datatilsynet igen tage fat på tilsyn med håndtering af databehandlere.

Tjek din databehandler, før du indgår aftale

Efter GDPR må du kun benytte databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i forordningen og sikrer beskyttelse af den registreredes rettigheder.

Dette er et af de krav, som Datatilsynet interesserer sig for, når de kommer på tilsyn. De spørger ind til, hvordan den dataansvarlige – forud for indgåelsen af en databehandleraftale – vurderer, om en konkret databehandler kan stille de fornødne garantier.

Lad dette være en reminder om, at der skal foretages en forudgående vurdering af, om databehandlingen vil leve op til GDPR, inden du vælger at bruge en given databehandler (eller underdatabehandler).

Databehandleraftale, instruks og klarhed over behandlingen

Der findes en række skabeloner til databehandleraftaler, som du kan bruge, herunder Datatilsynets egen skabelon til en databehandleraftale.

En af dine opgaver er at få formuleret – og dokumenteret – en tilstrækkelig tydelig instruks. Fremgår det fx klart, hvilken behandling databehandleren foretager for dig? Beskrives typerne af personoplysninger, som behandles på den dataansvarliges vegne?

Fremgår det, om der er tale om fortrolige eller ikke-fortrolige oplysninger? Dette kan fx have betydning ved fastlæggelsen af sikkerhedsforanstaltningerne.

Du bør være særligt opmærksom på, om du giver databehandleren lov til også at anvende personoplysningerne til egne formål.

Hvis du godkender en databehandleraftale, hvor det fremgår – enten af databehandleraftalen, af hovedaftalen eller andre aftalevilkår – at databehandleren anvender oplysningerne til egne formål, vil der være tale om en videregivelse, og du må derfor forholde dig til, om oplysningerne lovligt kan videregives til databehandleren.

Du bør sikre dig, at det tydeligt fastlægges, hvornår databehandleren er underlagt instruks fra den dataansvarlige, og hvornår databehandleren er selvstændigt dataansvarlig.

Sæt system i tilsyn med databehandlere og underdatabehandlere

Datatilsynet interesserer sig ganske vedvarende for, om de dataansvarlige virksomheder og myndigheder fører tilsyn med deres databehandlere. I Datatilsynets vejledning om tilsyn med databehandlere fremgår det navnlig, at der skal føres tilsyn med behandlingssikkerheden hos databehandlere og underdatabehandlere.

Men sikkerhed gør det ikke alene. For at leve op til ansvarlighedsprincippet i GDPR er du også nødt til at se på de øvrige GDPR-forpligtelser, hvor databehandlerens varetagelse af opgaven har betydning for, om reglerne efterleves, samt på de vilkår, som fremgår af databehandleraftalen.

Fx om databehandleren anvender et lovligt overførselsgrundlag ved overførsel af personoplysninger til usikre tredjelande, og om databehandleren har en procedure, der sikrer, at de kan underrette den dataansvarlige uden unødig forsinkelse om alle brud på persondatasikkerheden.

Med hensyn til metoden for tilsynet er der flere valgmuligheder. En metode er indhentelse/modtagelse af revisorerklæringer. Hvis du baserer dig på en revisorerklæring, skal du være opmærksom på, om den pågældende erklæring faktisk siger noget om det, som er aftalt med databehandleren.

Du skal selvfølgelig også se efter, om erklæringens resultat er tilfredsstillende. Alt efter, hvilke mangler der viser sig, når du vurderer erklæringen, må du tage stilling til, hvilke yderligere skridt du evt. skal tage.

Du kan også vælge andre løsninger. Du kan tage på besøg hos databehandleren og stille spørgsmål på stedet. Eller du kan udsende spørgeskemaer. Under alle omstændigheder skal du også vurdere på, om de svar, som du får, er tilfredsstillende.

Her kommer jeg ikke uden om at nævne, at du også kan vælge at bruge den løsning, som vi har udformet hos Bech-Bruun. DPA Service (Data Processor Audit) er en digital løsning, som giver virksomheder en effektiv mulighed for at udføre og dokumentere kontrol af deres databehandlere.

Kontrollen udføres med et spørgeskema, der sendes elektronisk til den enkelte databehandler.

For hver kontrol genereres der en rapport, hvor man som dataansvarlig får indsigt i sin databehandlers complianceniveau. Også med denne type rapport er der brug for, at du efter modtagelsen vurderer resultaterne af kontrollen og overvejer behovet for yderligere kontrol af den pågældende databehandler.

Hvad bliver det næste?

Jeg ser frem til, at vi forhåbentligt snart ser nogle afgørelser fra Datatilsynets tilsyn med anvendelse af databehandlere (og de øvrige tilsyn, de har udført).

Det kan være, der sidder nogle derude og synes, at disse forhold er mere eller mindre overflødige. At forudgående tjek af databehandlere er noget pjat, for man vil alligevel bruge dem uanset udfaldet. At databehandleraftaler kun skal indgås, fordi det står i reglerne. Og at kontrolrapporter bare er noget, der modtages og gemmes i en skuffe.

I så fald tror jeg, der er brug for mere forståelse for, hvad det vil sige at være ansvarlig for andres personoplysninger.

Jeg vil opfordre alle med ansvar for personoplysninger til ikke bare at se dette som formalia, der skal opfyldes, fordi Datatilsynet kan komme forbi. Se det som vigtige elementer i jeres sikring af personoplysningerne og forhold jer kritisk til, hvad I får præsenteret.

Stil krav og betingelser - og følg op. Først da begynder vi at nærme os den beskyttelse af vores oplysninger, som vi har fået lovet med de nye databeskyttelsesregler.

Med det håb slutter jeg denne blog om udfordringerne i forhold til databehandlere. Måske kan der komme flere emner senere.

Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize