Siden GDPR-reglerne trådte i kraft i 2018 har det været et åbent spørgsmål, hvornår og hvor meget du som dataansvarlig skal føre tilsyn med dine databehandlere. Nu har Datatilsynet udgivet en guide, der gør det meget konkret. Nedenfor kan du læse essensen.
Først og fremmest skal du finde ud af, hvilke databehandlere, du har: Hvilke andre virksomheder behandler personoplysninger på dine vegne? Når du har kortlagt disse, skal du have en databehandleraftaler med hver enkelt.
Tilsynet afhænger af risikoen
Du skal føre tilsyn med dine databehandlere, så du bedst muligt sikrer, at persondata, du er ansvarlig for, ikke kommer i de forkerte hænder. Jo mere der kan gå galt ved behandlingen hos databehandleren, jo større krav stilles der til tilsynet med denne. Det kan handle om mængden af data, graden af fortrolighed og karakteren af behandlingen.
Vær opmærksom på, at det ikke er risikoen for din virksomhed, men risikoen for de registrerede, du skal vurdere ud fra. Hvor sandsynligt er det, at noget går galt – og hvad er konsekvenserne for de registrerede, hvis det sker?
Et risikobaseret pointsystem
For at lette håndteringen af tilsyn har Datatilsynet udviklet en enkel pointskala med seks tilhørende tilsynskoncepter. Pointene indikerer risikoniveauet for behandlingen af personoplysninger. Jo større risiko, jo flere point, og jo flere krav til tilsyn. Der er grundlæggende fire parametre, du skal have styr på:
- Hvor mange personer omfatter data?
Jo flere, jo større er risikoen for personerne, ligesom det kan det være sværere at få ryddet op i data og overholde slettefrister. - Omfatter data særlige kategorier af personoplysninger?
Disse er defineret i databeskyttelsesforordningens artikel 9. De handler om race og etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske eller biometriske data, helbredsoplysninger eller seksuel orientering. - Er der andre personoplysninger af beskyttelsesværdig karakter?
Det er oplysninger, hvor særlige beskyttelsesbehov kan være påkrævet. Konkret skal du efter bedste evne vurdere, om en almindelig borger i Danmark vil synes, at det er ubehageligt, hvis andre bliver bekendt med de pågældende oplysninger. Disse kan omfatte data om væsentlige sociale problemer, personnumre, beskyttede navne og adresser, eksamenskarakterer, disciplinære foranstaltninger, personlighedstest, selvmordsforsøg, langtidsledighed mv. - Hvordan behandler du eller din databehandler data?
Bruges data fx til at profilere kunder eller kortlægge og påvirke kundeadfærd, kan det være meget indgribende. Også her skal du efter bedste evne vurdere, om en almindelig borger i Danmark vil synes, at det er ubehageligt, hvis andre bliver bekendt med de pågældende oplysninger.
Datatilsynets tilsynskoncepter
Afhængigt af det samlede antal point, kan du vælge forskellige koncepter for tilsyn.
Du kan sagtens veksle mellem tilsynskoncepterne, lade to eller flere koncepter supplere hinanden, eller anvende et højere niveau, fordi databehandleren ikke lever op til de grundlæggende krav til konceptet. Uanset hvad, skal du dog være sikker på, at alle dine databehandleraftaler lever op til minimumskravene i databeskyttelsesforordningen.
- Du skal ikke gøre noget
Benytter du en troværdig og seriøs databehandler, kan du typisk stole på, at denne overholder databehandleraftalen. Kun hvis du bliver opmærksom på, at der er noget galt hos databehandleren, skal du agere. - Databehandleren bekræfter, at alle krav i aftalen efterleves
Benytter en troværdig og seriøs databehandler, kan du nøjes med at få en (skriftlig) bekræftelse på, at alle krav i databehandleraftalen til stadighed efterleves. - Databehandleren giver dig en årlig status
Databehandleren kan enten direkte eller på sin hjemmeside skriftlig notere status på forhold omfattet af databehandleraftalen. Samtidig skal vedkommende oplyse om andre relevante områder som fx organisatoriske eller produktmæssige ændringer. Sørg for at denne omfatter alle de behandlinger, som databehandleren foretager på dine vegne. Har databehandleren oplevet brud på persondatasikkerheden, skal denne oplyse hvilke. - Databehandleren har en certificering eller følger et adfærdskodeks
Hvis databehandleren har en relevant og opdateret certificering eller følger et relevant adfærdskodeks, kan vedkommende nøjes med skriftligt at dokumentere dette. Sørg for at alle krav inkl. særlige krav i databehandler-aftalen er omfattet. Har der været brud på persondatasikkerheden, skal databehandleren oplyse hvilke. - En uafhængig tredjepart har ført tilsyn med databehandleren
Hvis en uafhængig tredjepart som fx en brancheforening eller en myndighed har ført et dokumenteret tilsyn på et område, som også dækker dine behandlingsaktiviteter, kan du nøjes med at få en erklæring herpå fra vedkommende. Du kan læse mere om de uddybende krav hertil i Datatilsynets vejledning. - Du fører selv eller med andre et dokumenteret tilsyn
Afhængigt af risikovurderingen (for de registrerede personer) kan du selv føre tilsyn med dine databehandlere. Dette baseres på, hvad og hvor meget der skal kontrolleres for at minimere disse risici. Tilsynet kan fx føres ved at fremsende et skriftligt spørgeskema.
For alle koncepter gælder det, at du skal holde øje med databehandleren via pressen, tilsynsrapporter eller fra egne erfaringer. Gem altid korrespondance med denne.
Hvad skal du føre tilsyn med?
Databehandleraftalen er grundlaget for, hvad du skal føre tilsyn med. Den indeholder blandt andet krav om, at databehandleren har underskrevet en fortrolighedsaftale og gennemfører passende tekniske og organisatoriske sikkerhedsforanstaltninger.
Det skal også fremgå, at vedkommende ikke bruger en underdatabehandler uden din godkendelse – og hvis det er tilfældet, at denne er underlagt de samme forpligtelser. Det er databehandlerens ansvar at føre tilsyn med eventuelle underdatabehandlere, men det er dit ansvar, at de rent faktisk gør det.
Databehandleren skal desuden bistå dig ved anmodninger fra de registrerede, ligesom vedkommende skal bistå ved databrud, herunder rettidig underretning og anmeldelse. Endelig skal databehandleren slette eller tilbagelevere alle persondata ved samarbejdets ophør, ligesom vedkommende skal stille alle nødvendige oplysninger til rådighed.
Hvor tit skal du føre tilsyn?
Jo højere score, jo mere intensiv kontrol. Her kan det være nødvendigt at føre årlige tilsyn, mens det omvendt kan være nok med en lavere frekvens, hvis scoren er lav.
Det kan være en god idé at føre hyppige tilsyn, hvis databehandleren har svært ved at overholde aftaler, har haft flere alvorlige sikkerhedsbrud, ofte skifter underleverandører eller ofte foretager ejerskifte, opkøb, fusion eller radikale ændringer i strategien
Omvendt taler lang tids erfaring med databehandlerne for en lavere tilsynsfrekvens.
Du kan hente Datatilsynets vejledning her.