Databehandlere er et af de helt centrale koncepter i databeskyttelsesforordningen, og det har betydning for alle virksomheder.
For at forklare hvad en databehandler er, så starter vi med at forklare hvad en dataansvarlig er.
Dataansvarlig
En dataansvarlig kan være en virksomhed, som behandler oplysninger om sine kunder.
Eksempel: En webshop sælger produkter via sin hjemmeside, og behandler oplysninger om de privatpersoner, som køber produkterne. Webshoppen er dataansvarlig.
En dataansvarlig er ansvarlig for hvordan personoplysninger behandles.
Databehandler
En databehandler kan være en virksomhed, som behandler personoplysninger på andres vegne.
Eksempel: Virksomhed A sælger webshop løsninger til virksomhed B, som ønsker at sælge sine produkter på internettet. Virksomhed A har adgang til data i webshoppen for at kunne levere sin webshopløsning til kunden (virksomhed B). Virksomhed B er dataansvarlig og beder derfor virksomhed A om behandle personoplysninger på dennes vegne. Virksomhed A er databehandler.
Databehandleren er ansvarlig for at efterleve databehandleraftalen med den dataansvarlige.
Databehandleraftaler
Hvis du er dataansvarlig, så skal dine databehandlere behandle persondata efter dine krav.
Disse krav skal du indskrive i en databehandleraftale, og dette er et lovkrav. Du skal indgå en databehandleraftale med alle dine databehandlere.
Databehandleraftaler i praksis
Du har ansvaret for, at der indgås en databehandleraftale, men i praksis så udarbejder databehandlerne ofte disse som en del af deres standardaftale.
Dette kan give dig en udfordring i praksis, da det svært at ændre databehandleraftaler med fx store softwareudbydere.
Du bør sikre dig, at databehandlerens standardaftale efterlever dine krav til behandlingssikkerheden inden, at du begynder at bruge deres systemer.
Tilsyn med databehandlere
Du tror, at det er løgn, men det er det langt fra.
Du skal nemlig føre tilsyn med, at dine databehandlere efterlever jeres databehandleraftale. Det er altså IKKE tilstrækkeligt blot at have en databehandleraftale.
Sådan laver du et tilsyn med en databehandler
Når du skal lave et tilsyn, så bør det omfatte et tilsyn med, at den indgåede databehandleraftaler overholdes.
Der er umiddelbart 3 tilgange til at foretage et tilsyn:
- Din databehandler kan selv stille en uafhængig tilsynsrapport til rådighed via fx hjemmesiden eller fremsende denne via mail. Google har eksempelvis uploadet deres tilsynsrapporter på deres hjemmeside.
- Du kan selv hyre en uafhængig tredjepart (fx revisorselskab) til at gennemføre et tilsyn af dine databehandlere. Dette vil blive dyrt, så det er sjældent attraktivt for små virksomheder.
- Du kan selv udføre tilsynet. Du kan enten møde op på deres adresse, eller foretage et skrivebordstilsyn ved at sende dem en mail med nogle spørgsmål.
Databehandlerne udarbejder sjældent en revisionserklæring på eget initiativ. I praksis er det derfor en vanskelig opgave for din virksomhed at efterleve disse regler. Hvis du selv skal føre tilsynet, så er dette endnu en opgave til din virksomhed.
Tip! Brug databehandlere, som stiller en uafhængig revisionsrapport tilrådighed for dig.
Hvor ofte skal vi føre tilsyn med databehandlere?
Du skal kunne påvise at dine databehandlere efterleve jeres databehandleraftale.
Hvis behandlingen af persondata medfører en høj risiko for de omfattede personer, så bør du føre tilsyn fx ½ årligt. Dette kan være tilfældet hvis databehandleren behandler mange og følsomme personoplysninger.
Hvis databehandleren behandler en begrænset mængde personoplysninger, og disse blot er almindelige, så kan tilsynet udføres sjældnere fx årligt eller hvert andet år.