Som dataansvarlig kan det være vanskeligt at finde det helt rigtige niveau for et tilsyn.
Datatilsynet har i sin seneste vejledning præsenteret en række konkrete retningslinjer for, hvornår man som dataansvarlig kan anses for at have ført et passende tilsyn med jeres databehandlere.
Vigtigheden af at identificere databehandlere og sikre tilstrækkelig kortlægning
Datatilsynet understreger først og fremmest vigtigheden af, at de dataansvarlige får sikret et fyldestgørende overblik over de databehandlere, virksomheden overlader personoplysninger til.
Dette forudsætter også, at virksomhederne har udarbejdet en fyldestgørende og opdateret kortlægning af sine behandlingsaktiviteter i den såkaldte artikel 30-fortegnelse. Det er vores indtryk som rådgivere, at mange virksomheder ikke i tilstrækkelig grad får udarbejdet en fyldestgørende artikel 30-fortegnelse eller får vedligeholdt fortegnelsen i takt med, at organisationen ændrer og udvikler sig og stadig nye behandlingsaktiviteter kommer til eller tager ny form.
Det er afgørende, at man som dataansvarlig løbende – og mindst en gang årligt – får foretaget et review af organisationens samlede GDPR- og informationssikkerhedstiltag, så organisationens ellers gode tiltag ikke ender med at blive en form for skuffe-dokumenter, der ikke afspejler den aktuelle organisation, og ikke er reelt implementeret i organisationen.
Risiko og tilsyn
Datatilsynet fremhæver i sin vejledning, at den dataansvarlige ligeledes skal foretage en konkret risikovurdering for den behandling af personoplysninger, som organisationen overlader til en databehandler. Jo større risiko, der er forbundet med behandlingen af personoplysninger, desto større krav stilles der til organisationens tilsyn med databehandleren.