Som dataansvarlig vil det ofte være nødvendigt at overlade håndteringen af oplysninger til en eller flere eksterne leverandører – databehandlere – der på dine vegne behandler disse efter dine forskrifter.
På samme måde som hvis du selv behandler de aktuelle data, har du det juridiske ansvar for, at dine leverandører behandler oplysningerne forsvarligt. Du skal føre et såkaldt passende tilsyn med dine databehandlere.
Men hvad er passende tilsyn? Hvordan skal du udføre det, og hvad skal du spørge ind til, så du lever op til de dokumentationskrav, der kræves ved tilsyn? Spørgsmålene kan føles uendelige, men i det følgende vil vi forsøge at give dig et overblik, så du kan sikre dig, at du udfører passende tilsyn med dine databehandlere og lever op til dit ansvar som dataansvarlig.
LÆS OGSÅ: GDPR: Lær af de fejl, andre har begået
Tilsyn med databehandler – hvorfor, hvordan og hvor ofte?
Lad os først tage et kig på det store hvorfor? Det er nemlig ikke uden grund, at du som organisation med dataansvar skal føre tilsyn med dine databehandlere. Det skal du, fordi du som dataansvarlig er forpligtet til at efterleve persondataregulativerne i persondataloven – også selvom du har udliciteret dele af opgaven.
Det betyder, at det er dit ansvar, at databehandleren benytter sig af passende teknisk og organisatorisk sikkerhed i forhold til de risici, der er forbundet med de aktuelle oplysninger. Eller sagt med andre ord; at din databehandler overholder databehandleraftalen. For eksempel i forbindelse med slettefrister, brug af underdatabehandlere og at de undgår eventuelle tredjelandsoverførsler.
Udfordringer i forbindelse med tilsynet
Mange organisationer oplever, at det er svært at få greb om tilsynet med databehandlere, da det hurtigt bliver et komplekst område, hvor mange interessenter er involveret. Samtidig er det uklart, hvad man som dataansvarlig bør spørge ind til, hvor ofte man skal føre tilsyn og ikke mindst om man gør det godt nok.
Her er det vigtigt at huske, at du som dataansvarlig bestemmer, hvordan databehandleren skal håndtere jeres data. Du skal derfor spørge ind til, om leverandøren stadig lever op til de krav, der er aftalt i databehandleraftalen – for eksempel:
- slettefrister
- brug af underdatabehandlere
- videregivelse til tredjeparter
- tredjelandsoverførsler
- løbende opdatering af data
- sikkerhedsforanstaltninger
Kort sagt bør du følge de retningslinjer, datatilsynet udstikker og kontinuerligt holde dig opdateret på nye tilpasninger.
Derudover er det naturligvis essentielt at kigge på hvert enkelt samarbejde med et risikobaseret blik. Med en grundig risikovurdering kan organisationen prioritere sin indsats og sit fokus på højkritiske databehandlere.
LÆS OGSÅ: TIA & LIA: Hvad er det, og hvad betyder det for mig?
Hvordan fører du tilsyn med databehandlere?
Som dataansvarlig organisation bør du altid have en risikobaseret tilgang til dine databehandlere, og selve tilsynet kan udføres på to forskellige måder; skriftligt eller fysisk. Om du skal vælge det ene eller det andet bør afhænge af risikovurderingen, og valget bør desuden stemme økonomisk overens med resultatet – det kan være dyrt at føre tilsyn og anskaffe erklæringer, særligt hvis det ikke er nødvendigt for sikkerheden.
Lav risiko kan eksempelvis være, hvis kun få personer har adgang til personoplysningerne, eller at databehandleren bruger standardprogrammer, der er kendt for deres sikkerhed.
Her vil en skriftlig henvendelse typisk være nok til at afklare, om organisationen fortsat kan opretholde tilliden til leverandøren.
Høj risiko kan modsat være, at mange har adgang til informationerne, eller at databehandleren selv udvikler sine tekniske løsninger, så du ikke har kendskab til sikkerhedsniveauet.
Her kan et fysisk besøg være nødvendigt, så organisationen kan tjekke op på sikkerhedsniveauet og få syn for sagen.
Hvor ofte skal der føres tilsyn?
Hyppigheden af tilsynene vil igen afhænge af risikovurderingen. Er databehandleren vurderet til at udgøre en lav risiko, kan det være nok at føre tilsyn én gang årligt. Er risikoen derimod høj, kan det være aktuelt med et halvårligt besøg.
For eksempel bør der føres grundigt og ofte tilsyn med en IT-leverandør, der behandler mange følsomme personoplysninger, mens en tele-leverandør, der udelukkende behandler navn og telefonnummer, kan nøjes med et årligt og mindre grundigt tilsyn.
Fordi det ikke er identisk i hele databehandlingsprocessen, hvor ofte og hvordan der skal føres tilsyn med databehandlere, er det essentielt at oprette processer omkring tilsyn. I hverdagens travlhed kan et tilsyn blive overset, men uanset hvor travlt din organisation har det, skal du sikre dig, at du overholder GDPR. Som dataansvarlig er det organisationens ansvar at sikre, at databehandlingen er compliant - uanset om det er internt eller hos en databehandler. Der skal derfor ikke herske tvivl om tilsyn, da dette kan underminere din evne til at kontrollere og sikre databehandlingssikkerheden - især i tilfælde hvor et databrud kan få alvorlige konsekvenser for datasubjekterne.
Sørg derfor for at etablere de nødvendige processer, politikker og GDPR-værktøjer for at sikre, at dette sker kontinuerligt. Samtidig skal du dokumentere, at din organisation har truffet de nødvendige foranstaltninger for at sikre compliance. Det er nemlig ikke nok at sige, at din organisation tager alle de rigtige initiativer; organisationen skal også dokumentere, at den gør det.
