Datatilsynet kontrollerer databehandlere

Løbende kontroller af databehandlere

Der er i øjeblikket gang i de løbende kontrolrapporter, som dataansvarlige virksomheder har pligt til at få fra deres databehandlere.

Skrevet af advokat Wivi H. Larsen, Ret&Råd Glostrup, Ballerup, Greve

Datatilsynets holdning er, at dataansvarlige ikke overholder GDPR-reglerne, hvis de ikke sikrer sig, at deres databehandlere overholder GDPR-reglerne. Der er derfor et must for virksomhederne, at dette GDPR-krav også overholdes.

Det ser ud til, at Datatilsynet lægger vægt på, at den dataansvarlige virksomhed rent faktisk påser, at databehandleren har gennemført de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger -aftalt under hensyn til de involverede risici.

Fysiske besøg eller skriftlige erklæringer

Formen for et tilsyn kan både være fysisk besøg og skriftlig informationsindsamling – igen afhængigt af risikovurderingen. Er risikoen høj, skal det ske årligt eller måske endda halvårligt. Ellers kan der gå længere tid imellem kontrollerne.

Fysisk tilsyn

Det kan være anført, at en effektiv stikprøvekontrol alene kan foretages ved fysiske tilsyn. Som argumenter for fysiske tilsyn kan nævnes: Delegation og brug af administrative rettigheder, adgangen til persondata, konkrete opsætninger og indstillinger af den fysiske infrastruktur, efterlevelse af konkrete tekniske foranstaltninger, pålagte sletteregler, overholdelse af konkrete organisatoriske forholdsregler, herunder den fysiske sikkerhed eller databaggrunden for det skriftlige materiale, der på mere daglig basis danner grundlaget for opfølgningen på det niveau af sikkerhed, der er aftalt mellem parterne.

Skriftligt tilsyn

Det kan være løbende afrapporteringer fra databehandleren, f.eks. baseret på ISO 27007 eller andre typer af kontroller, der kan rapporteres om på skrift – eller stikprøver og udvalgte temaområder, der afspejler den dataansvarliges risikovurdering.

Underdatabehandlere

Databehandleren skal sørge for at pålægge underdatabehandlere de samme databeskyttelseskrav, som databehandleren er pålagt – og som udgangspunkt er det databehandleren selv, der skal føre tilsyn med sine underdatabehandlere. Men den dataansvarlige skal sikre sig, at det rent faktisk også sker. Det kan f.eks. ske ved, at databehandleren sender dokumentation for afholdte tilsyn hos underdatabehandlere til den dataansvarlige.

Du kan læse mere om tilsynsreglerne på Datatilsynets hjemmeside.

Har I brug for hjælp, så kontakt disse advokater fra Ret&Råd Glostrup, Ballerup, Greve:

Vi står gerne til rådighed med yderligere oplysninger og assistance til udarbejdelse af GDPR-relevante aftaler.