Når din virksomhed benytter personoplysninger, så er I som virksomhed dataansvarlige for, at den behandling foregår forsvarligt. Det gør I bl.a. ved at sikre, at I fører det bedst mulige tilsyn med jeres databehandlere.
Er du i tvivl om, hvorvidt du er dataansvarlig eller databehandler? Eller i tvivl om, hvad det betyder for dit ansvar, så få afklaret tvivlen her.
Hvordan I indretter det bedst mulige tilsyn med jeres databehandlere er beskrevet nærmere i den nye vejledning fra Datatilsynet, hvor I let ved at svare på fire spørgsmål får tildelt point, så I med denne pointscore kan finde den passende model for tilsyn med jeres databehandler.
Jo mere, der er på spil, jo mere tilsyn
Udgangspunktet for den nye vejledning er, at jo mere, der er på spil, jo mere tilsyn. Din virksomhed skal derfor føre mere tilsyn med jeres databehandler i takt med, at følsomheden af jeres data stiger.
Det første trin er derfor, at I får overblik over hvor mange og hvilke databehandlere, I bruger i din virksomhed.
Derefter kan I begynde besvarelse af fire spørgsmål, hvor de forskellige svar giver forskellige point:
- Hvor mange personer overlader I information til jeres databehandlere om, fx medarbejdere eller kunder? – Under 1.000 personer = 1 point, 1.000 – 10.000 personer = 2 point, over 10.000 = 3 point.
- Benytter I særlige kategorier af personoplysninger, fx seksuel orientering, fagforening, race, politisk overbevisning, helbredsoplysninger osv.? – Ved ja = 3 point
- Benytter I andre beskyttelsesværdige oplysninger om personer, som det kan forventes, at vedkommende ikke ønskede, at andre blev bekendt med? – Hvis dette foregår systematisk = 2 point
- Går selve behandlingen af oplysninger tæt på folks privatliv, fx ved at data fra tidligere brug bruges til at lave profilering, som kan bruges til senere markedsføring? – Ved ja = 2 point
Hvilket tilsyn passer til jer?
Efter I har besvaret de fire spørgsmål, skal pointene tælles sammen. Det er netop på baggrund af disse point, at I nu skal vælge den tilsynsmodel, der passer bedst til jer. Overordnet er det din databehandleraftale, der danner ramme for, hvad du skal føre tilsyn med hos din databehandler.
Vejledningen afliver den myte, at man alene kan kontrollere sin databehandler via en 3.parts erklæring (revisorerklæring eller lignende).
Hvad er de forskellige tilsynskoncepter?
- Koncept 1 = Du skal ikke gøre noget, medmindre du har hørt om noget, der skulle være galt hos dataleverandøren
- Koncept 2 = Du får databehandleren til skriftligt at bekræfte, at kravene i din databehandleraftale stadig bliver overholdt
- Koncept 3 = Du får databehandleren til årligt at give en skriftlig status på forhold, der er omfattet af databehandleraftalen og andre relevante områder
- Koncept 4 = Databehandleren skal skriftligt dokumentere, at behandling af personoplysninger på dine vegne sker i henhold til en opdateret certificering, der er i overensstemmelse med databeskyttelsesforordningen
- Koncept 5 = En uafhængig tredjemand fører dokumenteret tilsyn med databehandleren på et område, som også dækker et område, som du beskæftiger dig med
- Koncept 6 = Du fører selv et dokumenteret tilsyn med databehandleren.
Med udgangspunkt i en af de 6 tilsynskoncepter skal du føre mere intensiv kontrol, jo mere kritisk risikoen er for de personer, som personoplysningerne vedrører.
Vil du vide mere?
Vil du vide mere om, hvordan du fører tilsyn med dine databehandlere, så kan du læse den nye vejledning fra Datatilsynet.
Har du spørgsmål til vejledningen, så er du velkommen til at kontakte Sven Petersen, erhvervsjuridisk fagchef hos Dansk Erhverv på svp@danskerhverv.dk // 33 74 61 09
Vil du vide mere om it-sikkerhed, så er du velkommen til at kontakte Troels Johansen for at høre mere.