Hvorfor skal jeg som dataansvarlig virksomhed føre tilsyn med mine databehandlere?
Når du gør brug af databehandlere, skal du for det første sikre dig, at der er indgået en såkaldt databehandleraftale mellem dig og databehandleren. For det andet skal du føre passende kontrol (tilsyn) med databehandleren, så du sikrer dig, at databehandleren lever op til kravene i databehandleraftalen.
De fleste ved, at når du som privat virksomhed, behandler personoplysninger, har du, som dataansvarlig, et ansvar for, at behandlingen sker på en forsvarlig måde. Du skal som dataansvarlig blandt andet sikre, at behandlingen er lovlig, at der er etableret passende sikkerhed og at de registreredes rettigheder overholdes.
Som privat virksomhed er det så godt som umuligt, ikke at have behov for at overlade personoplysninger til eksterne leverandører, såkaldte databehandlere, som på vegne af dig behandler de pågældende personoplysninger.
Når du som dataansvarlig virksomhed overlader personoplysninger til databehandlere, har du også et ansvar for, at databehandleren, på samme måde som du selv, behandler oplysningerne forsvarligt og lever op til kravene i GDPR – derfor skal du føre passende tilsyn med dine databehandlere.
Datatilsynet udgav sidst i oktober 2021 en ny vejledning, der skal hjælpe dataansvarlige med at vurdere, hvad et passende tilsyn er. Vejledningen kan læses her.
Hvem skal jeg føre tilsyn med?
Af Datatilsynets vejledning fremgår det først og fremmest, at man med fordel kan starte med at skabe overblik over, hvilke databehandlere man anvender. Det kan f.eks. være, du anvender et lønbureau, som står for lønadministrationen i din virksomhed, og derfor håndterer personoplysninger om dine ansatte. Det kan også være den virksomhed, der leverer dit kundehåndteringssystem og derved behandler personoplysninger om dine kunder.
Hvor ofte skal jeg føre tilsyn?
Omfanget og hyppigheden af tilsynet med dine databehandlere afhænger af risikoen. Helt kort kan det siges, at jo mere der kan gå galt ved behandlingen hos databehandleren (høj risiko), jo større krav stilles der til dit tilsyn. Her er det altså ikke risikoen for, at du som virksomhed kommer galt afsted. Det er risikoen, der opstår for de registrerede, når deres oplysninger behandles af databehandleren. Altså de personer, hvis oplysninger behandles f.eks. dine medarbejdere og kunders personoplysninger.
Overvej f.eks. hvad er sandsynligheden for, at der sker et datalæk, og hvilke personoplysninger ville blive offentliggjorte, hvis der skete sådan et datalæk? – er der f.eks. alene tale om navn og e-mailadresser eller måske også cpr-numre og kontonumre eller endda helbredsoplysninger.
Du skal således tage højde for, hvor sandsynligt det er, at noget går galt, samt hvad konsekvensen er, hvis det faktisk går galt. Er der tale om følsomme personoplysninger er konsekvens f.eks. noget værre, end hvis der er tale om almindelige oplysninger.
Jo højere risiko jo oftere skal du føre tilsyn. Hvis risikoen er høj, kan det være nødvendigt at føre tilsyn årligt eller endda halvårligt.
Hvad skal jeg føre tilsyn med?
Det er som udgangspunkt den indgåede databehandleraftale, som sætter rammen for, hvad du skal føre tilsyn med ved dine databehandlere. Af databeskyttelsesforordningen artikel 28 følger kravene til indholdet i databehandleraftalen. Datatilsynet har lavet følgende skabeloner til en databehandleraftale.
Hvordan skal jeg føre tilsyn?
Hvordan, der skal føres tilsyn, afhænger af den ovennævnte risiko. Hvis der er tale om en høj risiko for de registrerede, skal der føres et mere omfangsrigt tilsyn, end hvis der er tale om lav risiko. Datatilsynet har i vejledningen lavet en vejledende model, hvor der ud fra point vurderes, hvordan der kan føres tilsyn.
Ved meget lav risiko kan tilsynet bestå i, at du alene skal gøre noget, hvis du bliver opmærksom på, at der er noget galt hos databehandleren. Det kan også være, at du kontakter databehandleren og anmoder dem om skriftligt at bekræfte, at de fortsat lever op til alle krav i databehandleraftalen.
Tilsynet kan ved en lidt højere risiko bestå i, at databehandleren årligt giver dig en skriftlig status på forhold, der omfatter databehandleraftalen og andre relevante områder. Forannævnte kan også ske ved, at databehandleren har en relevant og opdateret certificering eller følger et såkaldt adfærdskodeks, som er relevant for dine behandlingsaktiviteter.
Er der tale om høj risiko, f.eks. hvis der behandles data i store mængder, eller der er tale om følsomme persondata, er kravet til tilsyn højere. Tilsynet kan f.eks. ske ved at en uafhængig tredjepart fører et dokumenteret tilsyn med databehandleren på et område, som også dækker dine behandlingsaktiviteter. Det kan også bestå i, at du selv, eller sammen med andre, fører et dokumenteret tilsyn med databehandleren.
Hvordan og i hvilket omfang lige præcis din virksomhed bør føre tilsyn med dine databehandlere vil altid afhænge af en helt konkret vurdering.
Fakta
Er jeg dataansvarlig eller databehandler?
Helt kort kan det siges, at den dataansvarlige afgør hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler), personoplysningerne behandles.
En databehandler er derimod den, der behandler personoplysninger på vegne af den dataansvarlige – altså efter en instruks fra den dataansvarlige. En databehandler er ikke dine ansatte i din virksomhed. Databehandlere er de eksterne leverandører og virksomheder du anvender, som derfor behandler persondata, som du er ansvarlig for. Anvender du f.eks. Outlook til at sende mails i din virksomhed, vil Microsoft være databehandler.
Husk altid at indgå en databehandleraftale med dine databehandlere.
Hvad er en personoplysning?
En personoplysning er enhver form for information, der kan henføres til en bestemt person, også selvom personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.