Datatilsynet har offentliggjort det spørgeskema, som de bruger i forbindelse med tilsyn af virksomheders og offentlige myndigheders brug af cloud. Spørgeskemaet skal ses som en hjælp til den dataansvarlige virksomhed, så de kan dokumentere, om deres brug af cloud lever op til reglerne for databeskyttelse.
Som it-virksomhed eller cloud-leverandør er det derfor et vigtigt dokument at kende til, da det viser, hvad Datatilsynet som minimum mener, virksomhederne skal have styr på – og dermed også hvad du som it-leverandør skal leve op til.
Du kan downloade Datatilsynets spørgeskema vedr. cloud fra deres hjemmeside.
Start med en risikovurdering
Når virksomheder eller myndighed vælger at benytte cloudservices, skal de ifølge Datatilsynet altid starte med at udarbejde en risikovurdering.
I risikovurderingen skal man ikke blot kunne forklare, hvad cloudservicen skal behandle af persondata, men også hvilke politiker og procedurer man har implementeret for at sikre, at virksomheden overholder lovkravene i databeskyttelsesforordningen.
Hvad Datatilsynet især lægger vægt på i risikovurderingen, kan man se i spørgeskemaets spørgsmål 8-16.
Undersøg cloud-leverandøren
Inden man vælger sin endelige cloudleverandør, anbefaler Datatilsynet, at man screener de forskellige leverandører for sikre, at de lever op til GDPR-kravene.
Som it-virksomhed kan man derfor forvente, at ens kunder vil stille spørgsmål til jeres behandlingssikkerhed, processer for registreredes rettigheder, underretning om sikkerhedsbrud og håndtering af evt. underdatabehandlere.
De konkrete spørgsmål som Datatilsynet stiller vedr. dette, kan du se i spørgeskemaets spørgsmål 17-32.
Løbende tilsyn med cloudleverandørerne
Som dataansvarlig har virksomhederne og myndighederne pligt til løbende at føre tilsyn med deres databehandlere for at sikre, at de – på samme måde som virksomheden selv – behandler oplysningerne forsvarligt.
Det gælder også, når man overlader databehandlingen til en eller flere cloudleverandører.
Datatilsynet vil ved et tilsyn derfor spørge ind til, hvilke procedurer/årshjul man har implementeret for at sikre, at cloudleverandøren overholder lovkravene i persondataforordningen.
Hvor ofte man skal følge op på sin leverandører, kommer i høj grad an på ens risikovurdering vedrørende behandlingssikkerhed og den screening, virksomheden har foretaget af leverandøren.
Du kan se, hvad Datatilsynet konkret spørger ind til i spørgsmål 33-38 i spørgeskemaet, og hvad man som it-leverandør derfor kan forvente at blive mødt med at spørgsmål og krav fra virksomhedernes side.
Overførsel af personoplysninger til 3. lande
Datatilsynet spørger ved et tilsyn også ind til, om man benytter sig af cloudleverandører, der placerer data udenfor EU, i det man kalder tredjelande.
Her skal virksomhederne og myndighederne kunne svar på, i hvilke lande data i så fald placeres og om det er lovligt at overføre data til netop dette land – f.eks. ved brug af EU’s standardkontrakter.
De præcise spørgsmål, som Datatilsynet stiller ved et tilsyn vedr. dette, kan du se i spørgsmål 39-47 i spørgeskemaet.
Er du i tvivl, er der hjælp at hente
Er du som it-virksomhed og/eller cloudleverandør i tvivl om, hvad du skal leve op til af krav, kan du altid kontakte vores jurister via Dansk Erhverv for generel og gratis juridisk rådgivning på 33 74 64 00.
Handler det om mere specifikke cloud og GDPR-spørgsmål, kan du som medlem også kontakte DAHL Legal Desk på shield@dahllaw.dk.