Tilsyn med databehandlere: Sådan gør du

4. juni 2024

En central del af databeskyttelsesretten er at udføre tilsyn med sine databehandlere. Dette skal udføres for at sikre, at databehandlere efterlever de aftalte krav i databehandleraftalen, men også de krav som generelt følger af databeskyttelsesretten. I denne artikel gennemgår DPO Danmark hvorfor man bør føre tilsyn, hvordan man som dataansvarlig finder frem til hvilket tilsyn der bør udføres og hvordan tilsynet skal foregå.

Tilsyn med databehandlere

Del artiklen på:

Hvorfor skal man føre tilsyn med sine databehandlere?

Som dataansvarlig skal man kunne påvise at databeskyttelsesretten overholdes, jf. GDPR, art. 5, stk. 2. Dette indebærer at dataansvarlige også skal føre tilsyn med sine databehandlere for at kunne påvise databehandlerens overholdelse af databeskyttelsesretten, jf. GDPR, art. 28, stk. 1. Ved ikke at føre tilsyn med sine databehandlere, vil den dataansvarlige derfor ikke kunne påvise sin efterlevelse af disse regler. Det er derfor heller ikke tilstrækkeligt blot at beskrive i en databehandleraftale hvordan databehandleren har tænkt sig at efterleve databeskyttelsesreglerne.

Hvilket tilsyn skal der udføres?

Det kan virke uoverskueligt at håndtere ens pligt til at påvise efterlevelse af GDPR når man begynder at udlicitere ens behandlinger til databehandlere, specielt når det kommer til hvordan der helt konkret skal føres tilsyn. For at gøre dette nemmere for dig i rollen som dataansvarlig, anbefales det at følge Datatilsynets vejledning om tilsyn med databehandlere. I vejledningen opsætter Datatilsynet et vejledende pointskalasystem, som kan pege i hvilken retning man skal gå når det kommer til valg af tilsyn. Systemet består af at besvare 4 spørgsmål om behandlingens omfang, hvilket resulterer i et pointtal mellem 1-10, hvor 1 kræver et mindre omfattende tilsyn og 10 det mest omfattende.[1]

Vurder først hvor mange point behandlingen udgør

Spørgsmål 1: Hvor mange personer behandles der oplysninger om?

  • Under 1.000: (1 point)
  • 000 – 10.000: (2 point)
  • Over 10.000: (3 point)

 

Spørgsmål 2: Behandles der særlige kategorier af personoplysninger?

  • Ja: (3 point)
  • Nej: (0 point)

 

Spørgsmål 3: Behandles der andre beskyttelsesværdige personoplysninger?

  • Ja: (2 point)
  • Nej: (0 point)

 

Spørgsmål 4: Går selve behandlingen af oplysninger tæt på folks privatliv?

  • Ja: (2 point)
  • Nej: (0 point)

Find derefter det anbefalede tilsynskoncept
  • 1 – 2 point = vælg mellem koncept 1 – 6
  • 3 – 4 point = vælg mellem koncept 2 – 6
  • 5 – 6 point = vælg mellem koncept 3 – 6
  • 7 – 10 point = vælg mellem koncept 5 – 6

 

Koncept 1: Du skal ikke gøre noget, medmindre du bliver opmærksom på, at der er noget galt hos databehandleren.

Koncept 2: Databehandleren bekræfter – helst skriftligt – over for dig, at alle krav i data behandleraftalen stadig efterleves.

Koncept 3: Databehandleren giver dig årligt – enten direkte eller via sin hjemmeside – en skriftlig status på forhold, der er omfattet af databehandleraftalen, og andre relevante områder (f.eks. organisatoriske eller produktmæssige ændringer)

Koncept 4: Databehandleren har en relevant og opdateret certificering eller følger et såkaldt adfærdskodeks, som er relevant for dine behandlingsaktiviteter. (Eks. SOC 2 eller lign.)

Koncept 5: En uafhængig tredjepart har ført et dokumenteret tilsyn med databehandleren på et område, som også dækker dine behandlingsaktiviteter. (Eks. en ISAE-3000 GDPR-erklæring, ISAE 3402-erklæring eller lign.)

Koncept 6: Du fører selv – eller sammen med andre – et dokumenteret tilsyn med databehandleren.

Ved at følge ovenstående point-system finder du frem til et vejledende eksempel på hvordan du kan føre tilsyn med dine databehandlere.

Hvad skal undersøges i dit tilsyn?

Efter at have vurderet hvilket slags tilsyn der skal udføres, er det relevant at vide, hvad der konkret skal undersøges i tilsynet. Dette er dog hovedsageligt relevant når du selv udfører tilsyn med dine databehandlere. Når du fører tilsyn med dine databehandlere gennem en uafhængig tredjepart, f.eks. gennem en ISAE-3000 GDPR-erklæring, vil denne tredjepart ofte selv vide hvad der er relevant at undersøge.

Databehandleraftalen sætter rammerne for tilsynet. Det betyder, at tilsyn med dine databehandlere skal tage udgangspunkt i de krav der sættes til databehandleraftaler. Kravene til databehandleraftaler findes i GPDR, art. 28, stk. 3.

Krav til databehandleraftalen og dermed de områder, som der skal føres tilsyn med, indebærer bl.a.:

  • At databehandlerens medarbejdere der håndterer personoplysninger, har underskrevet en fortrolighedsaftale eller er underlagt en tilsvarende lovpligtig tavshedspligt.
  • At databehandleren anvender passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysninger, baseret på risikoen for de registrerede, og opfylder eventuelle særlige sikkerhedskrav aftalt med dig.
  • At databehandleren ikke engagerer en underdatabehandler uden din godkendelse.
  • At databehandleren sikrer at eventuelle underdatabehandlere pålægges de samme forpligtelser som angivet i aftalen mellem dig og databehandleren, og at databehandleren fører tilsyn med underdatabehandlerne.
  • At databehandleren hjælper dig med at opfylde dine forpligtelser vedrørende besvarelse af anmodninger om de registreredes rettigheder ved hjælp af passende tekniske og organisatoriske foranstaltninger.
  • At databehandleren bistår dig med at overholde din pligt til at rapportere brud på persondatasikkerheden til Datatilsynet, og at databehandleren straks underretter dig om sådanne brud, der påvirker den behandling som databehandleren udfører på dine vegne.
  • At databehandleren sletter eller returnerer alle personoplysninger til dig når databehandlerens service ophører.
  • At databehandleren stiller alle nødvendige oplysninger til rådighed for at demonstrere overholdelse af databehandleraftalens krav, og at databehandleren tillader og bidrager til revisioner og inspektioner udført af dig eller en bemyndiget revisor.

Hvor ofte skal du føre tilsyn med din databehandler?

Det angives ikke i GPDR hvor ofte du skal føre tilsyn med dine databehandlere. Man kan derfor med fordel følge Datatilsynets anbefalinger, som siger at frekvensen af tilsyn skal stige i takt med risikoen for behandling. Dvs. at du skal føre tilsyn oftere med en databehandler som foretager en risikofyldt behandling af personoplysning og omvendt.

En risikofyldt behandling vil ofte kræve at der føres tilsyn med databehandleren årligt. Herimod kan man føre tilsyn med en lavere frekvens, hvis der er tale om en mindre risikofyldt behandling.

DPO Danmark hjælper dig gerne i mål med at få overblik over hvilke relevante tilsyn du skal udføre som dataansvarlig og hvordan du sikrer dig de bliver udført korrekt. Kontakt os, hvis du vil høre mere.

[1] Datatilsynets vejledning: Sådan kan du føre tilsyn med dine databehandlere

 

 

Kontakt os

    Michael Nielsen - Partner, adm. direktør, DPO, compliancekonsulent

    DPO, partner, adm. direktør
    Michael Nielsen

    Mail: mni@nulldpo-danmark.dk
    Mobil: 77341734