bloghoved emilie norsk

Hvem har ansvaret?

Nu er EU persondataforordningen officielt vedtaget. En af de ting der har ændret sig i forordningen er forholdet mellem dataansvarlige og databehandlere. Som noget nyt sidestiller man dataansvarlige og databehandlere.

Hvad betyder denne sidestilling?

Det betyder blandt andet, at begge parter har et ansvar for at sikre, at personlige oplysninger om kunder, medarbejdere, samarbejdspartnere m.v. behandles i overensstemmelse med de krav som forordningen stiller.

Men hvad betyder dette så i praksis? Fordi forordningen er ny må vi i høj grad vente og se, hvordan praksis udvikler sig over tid. Hvis man kigger på baggrunden for forordningen, er det dog naturligt hvis denne sidestilling er tiltænkt at sikre en endnu bedre beskyttelse af vores personlige oplysninger ved reelt at hæve kravene til databehandlere.

"Fire øjne ser bedre end to"

Det delte ansvar mellem dataansvarlige og databehandlere vil stille endnu højere krav til, at roller og ansvar er klart defineret og fordelt, så man sikrer, at alle ved hvem der gør hvad og hvornår.

Det er stadig den dataansvarlige, som bestemmer hvad de personlige oplysninger kan og må bruges til og databehandleren, som skal behandle disse oplysninger på baggrund af instrukser fra den dataansvarlige.

Man kunne spørge sig selv – hvori ligger ændringen så? Forordningen stiller nu krav om, at man som databehandler skal reagere hvis eksempelvis instruksen ikke lever op til kravene i forordningen. Dermed ligger ansvaret for at implementere et passende sikkerhedsniveau nu ikke længere kun hos den dataansvarlige. Databehandlere skal nu, ifølge forordningen, hjælpe den dataansvarlige i dette arbejde. Hvis databehandleren bliver opmærksom på, at instrukserne fra den dataansvarlige ikke lever op til de lovgivningsmæssige sikkerhedskrav, så skal databehandleren gøre den dataansvarlige opmærksom på dette og efterfølgende hjælpe med udformningen af passende sikkerhedsmekanismer.

Det gode råd

Uanset om man er dataansvarlig eller databehandler, så handler det om at få defineret sin rolle og hvilket ansvar der følger med denne rolle. Det gode råd er derfor, at man som dataansvarlig holder fokus på det helt centrale, nemlig at man har et tydeligt overblik over, hvordan personlige oplysninger strømmer igennem ens systemer herunder hvornår eksterne leverandører, altså databehandlere, får adgang til og behandler disse oplysninger. Når dette overblik er etableret, er det vigtigt at indgå i en dialog med ens leverandør for at få klarlagt, hvilke roller og ansvar hver part har. Dette vil formentlig betyde, at mange leverandørkontrakter og databehandleraftaler skal revideres.

Dette er blandt andet meget vigtigt i forhold til et eventuelt persondatabrud. På grund af de kommende høje rapporterings- og notifikationskrav til både Datatilsynet og implicerede personer i forbindelse med et persondatabrud, er det afgørende, man som dataansvarlig har vished for, at ens leverandører har ansvar for rettidigt at underrette en i tilfældet af et brud.

Det er altså kun igennem tæt samarbejde med ens leverandør, at man som virksomhed er i stand til at stille de rigtige krav, både til ens egne systemer, processer og procedurer, og lige så vigtigt, stille passende krav til ens leverandører.

Kom godt i gang

Uanset om du er dataansvarlig eller databehandler handler det derfor om at være forberedt på de nye krav og være dit ansvar bevidst. Et godt første skridt vil derfor være at få gennemgået leverandørkontrakter og databehandlingsaftaler for at sikre, at disse lever op til de nye krav. Du sikrer dig selv bedst mulig, hvis du kan svare på det vigtige spørgsmål: "hvem har ansvaret og for hvad?".

Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Svanberg

Meget fint indlæg. Blot en enkelt bemærkning: Det fremgår allerede i dag udtrykkeligt af persondataloven, at databehandlere har et ansvar for at sikre et passende sikkerhedsniveau, modsat hvad der anføres ovenfor.

De bedste hilsner

  • 0
  • 0
Log ind eller Opret konto for at kommentere