18 nov. 2021
Kvinde overvåger servere i serverrum

Hvordan fører man som dataansvarlig tilsyn med sine databehandlere?

Forfattere
Bodil Hald Brabæk

Head of Data Privacy Law, Executive Director, Law, EY Danmark

Specialiseret indenfor Data Privacy og AI. Betroet rådgiver med omfattende erfaring indenfor både den private og offentlige sektor. Søger værdifulde og pragmatiske løsninger. Passioneret oplægsholder.

Caroline Kahns Hille

Manager, Data Privacy Law, EY Danmark

Rådgiver med erfaring inden for databeskyttelseslovgivning. Fokus på kundens kommercielle behov. Databeskyttelsesretlig rådgivning i øjenhøjde.

18 nov. 2021
Relaterede emner Law
Upvote

Vis materialer

Som dataansvarlig kan det være vanskeligt at finde det helt rigtige niveau for et tilsyn.

Datatilsynet har i sin seneste vejledning præsenteret en række konkrete retningslinjer for, hvornår man som dataansvarlig kan anses for at have ført et passende tilsyn med jeres databehandlere.

Vigtigheden af at identificere databehandlere og sikre tilstrækkelig kortlægning

Datatilsynet understreger først og fremmest vigtigheden af, at de dataansvarlige får sikret et fyldestgørende overblik over de databehandlere, virksomheden overlader personoplysninger til.

Dette forudsætter også, at virksomhederne har udarbejdet en fyldestgørende og opdateret kortlægning af sine behandlingsaktiviteter i den såkaldte artikel 30-fortegnelse. Det er vores indtryk som rådgivere, at mange virksomheder ikke i tilstrækkelig grad får udarbejdet en fyldestgørende artikel 30-fortegnelse eller får vedligeholdt fortegnelsen i takt med, at organisationen ændrer og udvikler sig og stadig nye behandlingsaktiviteter kommer til eller tager ny form.

Det er afgørende, at man som dataansvarlig løbende – og mindst en gang årligt – får foretaget et review af organisationens samlede GDPR- og informationssikkerhedstiltag, så organisationens ellers gode tiltag ikke ender med at blive en form for skuffe-dokumenter, der ikke afspejler den aktuelle organisation, og ikke er reelt implementeret i organisationen.

Risiko og tilsyn

Datatilsynet fremhæver i sin vejledning, at den dataansvarlige ligeledes skal foretage en konkret risikovurdering for den behandling af personoplysninger, som organisationen overlader til en databehandler. Jo større risiko, der er forbundet med behandlingen af personoplysninger, desto større krav stilles der til organisationens tilsyn med databehandleren.

Pointskala og tilsynskoncepter

Som noget helt nyt har Datatilsynet indført en vejledende pointskala fra 1-3, som kan give en fornemmelse af, hvor risikofyldt behandlingen af personoplysninger er. Datatilsynet har samtidig opstillet en række kriterier, der skal besvares og afhængigt af svar resulterer i et samlet antal point.

Hertil har Datatilsynet præsenteret seks tilsynskoncepter, som gradvist stiller større og større krav til gennemførelse af tilsynet. Jo større en risiko, der er forbundet med behandlingen af personoplysninger, og jo flere point behandlingen således får, desto flere krav stilles der til jeres tilsyn med databehandleren.

Anbefaling

Det er således fortsat vigtigt at få skabt et overblik over alle de databehandlere, som organisationen overlader personoplysninger til. I den forbindelse anbefaler vi hos EY, at

  • der først og fremmest udarbejdes en artikel 30-fortegnelse, eller at en allerede eksisterende artikel 30-fortegnelse genbesøges med henblik på at sikre, at alle relevante behandlingsaktiviteter er korrekte og tilstrækkeligt kortlagt,

  • der, med udgangspunkt i artikel 30-fortegnelsen, ligeledes sikres et fyldestgørende overblik over de databehandlere, som organisationen anvender, og skal føre tilsyn med.
    • Hvis der ikke er indgået databehandleraftaler med de virksomheder, som behandler personoplysninger på organisationens vegne, skal virksomhederne kontaktes, så man sammen kan få udarbejdet en aftale i overensstemmelse med Datatilsynets standard databehandleraftale (eller alternativt den af EU-Kommissionen udarbejdede standard databehandleraftale).
  • organisationen for hver identificeret databehandler vurderer, om den aftalte tilsynsform (hvis en sådan allerede er fastsat i databehandleraftalen) lever op til Datatilsynets nye retningslinjer.
    • Der skal i den forbindelse foretages konkrete risikovurderinger som grundlag for valg af tilsynsform, og det skal være muligt at dokumentere disse risikovurderinger og organisationens overvejelser.

Sammendrag

I sin seneste vejledning præsenterer Datatilsynet en række retningslinjer for, hvordan man fører tilsyn med sine databehandlere. Ud over at sikre fyldestgørende overblik over sine databehandlere og indgå lovpligtige databehandleraftaler, skal virksomheden ligeledes gennemføre risikovurderinger og kan ud fra en pointskala argumentere for og træffe beslutning om den rette tilsynsform.

Om denne artikel

Forfattere
Bodil Hald Brabæk

Head of Data Privacy Law, Executive Director, Law, EY Danmark

Specialiseret indenfor Data Privacy og AI. Betroet rådgiver med omfattende erfaring indenfor både den private og offentlige sektor. Søger værdifulde og pragmatiske løsninger. Passioneret oplægsholder.

Caroline Kahns Hille

Manager, Data Privacy Law, EY Danmark

Rådgiver med erfaring inden for databeskyttelseslovgivning. Fokus på kundens kommercielle behov. Databeskyttelsesretlig rådgivning i øjenhøjde.

Related topics Law
Upvote