Skal jeg føre tilsyn med mine Databehandlere?

25 maj 2018 var en skelsættende dag for danske virksomheder. GDPR blev indført i Danmark, ja i hele EU.

Datatilsynet har siden da været på besøg hos nogle få, og de har givet os indsigt i, hvad deres fokus har været ved deres tilsyn. Hvis du vil have et overblik over 2019, kan du læse Datatilsynets årsberetning for 2019.

Cloud & Hosting løsninger kræver Databehandler aftaler.

Så snart du har givet en anden virksomhed “dine data”, skal du som Dataansvarlig have en aftale med Databehandleren om, hvordan DINE data skal og må behandles. Dette gøres via en Databehandler aftale.

Databehandler aftaler kræver tilsyn.

Afhængig af hvilken type personhenførbare data du har hos databehandleren, skal du overveje tilsyn med din databehandler.

Datatilsynet skriver:

Selvom det ikke fremgår eksplicit af en bestemmelse i databeskyttelsesforordningen, at man skal påse behandlingssikkerheden hos sine databehandlere, er det Datatilsynets opfattelse, at man også nu her, hvor forordningen finder anvendelse, skal påse behandlingssikkerheden hos sine databehandlere.

Et tilsyn handler i bund og grund om, at du skal checke, om databehandleren har gennemført de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger.

Tilsynet.

Man kan føre tilsyn både ved fysiske besøg hos databehandleren og ved skriftlig informationsindsamling. Størrelsen på tilsynet afhænger af den identificerede risiko. Hvis risikoen for de registreredes rettigheder er høj, kan det være nødvendigt at føre fysiske tilsyn med sine databehandlere. Og alt efter omstændighederne kan det være tilstrækkeligt, hvis risikoen er lav, at føre skriftligt tilsyn.

I nogle databehandler aftaler er der defineret at databehandleren årligt skal fremsende en revisions rapport, hvor en ekstern har gennemgået databehandlerens beskrevne processor og sikret sig ved stikprøvekontrol, at de er udført. I andre tilfælde kan man sende et skema og bede databehandleren besvare spørgsmål.

Hvor ofte?

Det afhænger først og fremmest af risikovurderingen, som den dataansvarlige har foretaget.

Hvis risikoen for de registreredes rettigheder er høj, kan det være nødvendigt med årlige tilsyn, måske halvårlige, ved lav risko sjældnere. Det kan også være, at det er et meget dynamisk miljø, der ofte skifter, og dermed skifter risikoen også.

Dialog.

Men husk at tilsyn ofte er baseret på historisk viden, så det bedste du kan gøre er at have dialog med din databehandler, modtage tilstands rapporter, og vise interesse i dagligdagen for leverandøren og de ydelser du køber.

I sidste ende vil et brud på persondatasikkerheden, hvor du efterfølgende skal informere de registrerede og datatilsynet, kræve store resurser. Det vil også med stor sandsynlighed koste på image kontoen for virksomheden, så derfor foreslår jeg, at du fører tilsyn med dine Databehandlere baseret på risikovurderingen, som jeg skrev om i det forrige nyhedsbrev.