Som noget nyt stiller Datatilsynet nu krav om, at du også skal have styr på din databehandlers sikkerhed og løbende kontrollere denne. Lever du op til det?
Med “Vejledende tekst om tilsyn med databehandlere og underdatabehandlere” vil Datatilsynet hjælpe de dataansvarlige til at overholde GDPR-reglerne ved at sikre, at der rent faktisk er en databehandleraftale mellem parterne, og at der er styr på sikkerheden.
IT-Branchen har sammen med Dansk Erhverv og DAHL Advokatfirma udarbejdet en standarddatabehandleraftale, som alle vores medlemmer gratis kan hente på vores hjemmeside. Så den del kan der hurtigt komme styr på.
Som dataansvarlig skal du overvåge sikkerheden hele vejen
Datatilsynet oplever, at flere kontakter dem for at spørge, om det stadig er et krav, at den dataansvarlige skal holde øje med databehandlerens sikkerhed. For det står nemlig ikke længere specifikt i persondataforordningen.
Sådan som Datatilsynet tolker EU-reglerne, så er det stadig et krav.
De begrunder det med, at den dataansvarlige skal leve op til kravet om ansvarlighed og skal kunne påvise, at en behandling af personoplysninger er i overensstemmelse med reglerne i databeskyttelsesforordningen.
Her er det ikke nok blot at indgå en databehandleraftale.
Den dataansvarlig skal også føre et (større eller mindre) tilsyn med, at databehandleraftalen overholdes, herunder at databehandleren har gennemført de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger.
Man kan få en eksernt part til at stå for kontrollen
Grundlæggende kan man som dataansvarlig vælge 1) selv at påse behandlingssikkerheden hos sine databehandlere eller 2) vælge at få en ekstern uafhængig tredjepart (f.eks. et revisionsselskab) til at påse behandlingssikkerheden hos sine databehandlere.
Hvilket sikkerhedsniveau, det er nødvendigt at gennemføre hos databehandleren, afhænger af en vurdering, som den dataansvarlige og databehandleren skal foretage sammen og før behandlingens begyndelse.
Afklaringen heraf skal herefter afspejles i parternes databehandleraftale.
Kan kræve både skriftlig dokumentation og fysiske besøg
Kontrollen kan både ske ved fysiske besøg hos databehandleren eller ved skriftlig informationsindsamling.
Et skriftligt tilsyn kan f.eks. ske i form af løbende afrapporteringer fra databehandleren i forhold til de parametre, som man har vurderet, er nødvendige i forhold til risikovurderingen.
Hvis parterne bliver enige om, at der på papiret er en høj risiko, kan det være nødvendigt at udføre en kontrol årligt eller endda halvårligt. Er risikoen lav kan være tilstrækkeligt at udføre kontrollen med en lavere frekvens.
Hvis du vil vide mere
Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.
Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens it-sikkerhedsudvalg. Kontakt Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.