Som jeg tidligere har skrevet, skal du føre: Tilsyn med Databehandlere.
Cloud & Hosting løsninger kræver “Databehandler aftaler”.
Så snart du har givet en anden virksomhed “dine data”, skal du som Dataansvarlig have en aftale med Databehandleren om, hvordan DINE data skal og må behandles. Dette gøres via en Databehandler aftale.
Databehandler aftaler kræver tilsyn.
Afhængig af hvilken type personhenførbare data du har hos databehandleren, skal du overveje tilsyn med din databehandler.
Datatilsynet skriver:
Selvom det ikke fremgår eksplicit af en bestemmelse i databeskyttelsesforordningen, at man skal påse behandlingssikkerheden hos sine databehandlere, er det Datatilsynets opfattelse, at man også nu her hvor forordningen finder anvendelse, skal påse behandlingssikkerheden hos sine databehandlere.
Et tilsyn handler helt enkelt om, at du skal checke, om databehandleren har gennemført de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger. Men der er ofte 2 ting, du i forbindelse med et tilsyn bør sikre dig.
2 områder der ofte ikke er helt styr på:
1. Slettefrist
Er slettefristen i fortegnelsen den samme som den der står i din databehandler aftale?
I nogle tilfælde er det Databehandler, der sletter data på aftalte intervaller. Andre gange er det dig som dataansvarlig, der sletter data. Det kunne f.eks. være i et Nyhedsbrev system eller CRM, hvor det kun er dig der kan afgøre, hvornår kunden f.eks. ikke længere er aktiv, og dermed skal slettes i henhold til dine slette regler.
Hvad med Backup og slettefrist?
Det er ofte Databehandlen der styrer backup, og dermed skal du også sikre dig, at data slettes i backup’en indenfor den angivne slettefrist. Jeg har set eksempler på at en Databehandler gemmer backup i 4 år, hvor kundens slettefrist var 6 mdr.
2. Sikkerhedsbrist! Hvem skal modtage alarmen?
Tidsfristen fra et sikkerhedsbrud opdages, til du skal melde det til Datatilsynet er 72 timer. Det er ikke ret lang tid. Måske sker sikkerhedsbristen fredag aften kl. 18.00, så på mandag kl. 18.00 skal du kunne give de berørte besked, samt send en anmeldelse til datatilsynet
Anmeldelsen skal ske uden unødig forsinkelse og om muligt senest 72 timer, efter at den dataansvarlige er blevet bekendt med bruddet. Samtidig fastsættes der en forpligtelse, som allerede i dag tolkes ud af persondatalovens grundregel om god databehandlingsskik og Datatilsynets praksis, til som udgangspunkt at underrette de registrerede i tilfælde af brud på persondatasikkerheden.
Det er vigtigt, at der er en klar aftale med databehandleren om, hvem/hvordan der skal kontaktes hos den dataansvarlige, selvfølgelig under forudsætning af at det er den dataansvarlige, der opdager sikkerhedsbristen.
Derfor bør du have en beskrevet proces klar i tilfælde af sikkerhedsbrist, da situationen ofte vil være kritisk, og det aldrig er det bedste tidspunk at skulle udvikle en proces.
De 2 gode råd idag:
- Du skal sikre dig ved Databehandler tilsyn, at den aktuelle slette frist hos databehandleren stemmer overens med slettefristen i GDPR fortegnelsen.
- Lav klar aftale mellem dig og databehandleren, hvem der skal have besked ved en sikkerhedsbrist, og hav en beskrevet proces for hvad der skal ske.