Du skal føre tilsyn med dine databehandlere.
Dette krav står ikke skrevet i lovgivningen, så det kan være vanskeligt at forstå ‘hvorfor?’, at det kan være et krav, at man skal føre tilsyn med sin databehandlere.
Det er en stor opgave at føre tilsyn med sine databehandlere, og derfor bør du lægge en plan for din fremgangsmetode.
Hvad er en databehandler?
En databehandler behandler persondata på andens vegne (dataansvarlig).
Den dataaanvarlige har ansvaret for hvordan, at databehandleren behandler personoplysningerne, som den dataansvarlige har overladt til databehandleren.
Se også denne artikel: Hvad er en databehandler?
GDPR-reglerne om tilsyn
Det står ikke direkte i hverken GDPR eller databeskyttelsesloven, at du skal føre tilsyn med dine databehandlere. Det er simpelthen Datatilsynets fortolkning af reglerne, som påfører alle dataansvarlige denne betydelige opgave.
Hovedargumentet for, at du skal føre tilsyn med dine databehandlere består i artikel 5, stk. 2 i GDPR. Her skrives, at du skal kunne dokumentere, at du efterlever GDPR.
Når du udliciterer persondatabehandling til en databehandler, så skal du kunne dokumentere, at denne efterlever reglerne. Man ønsker ikke at ‘udlicitering’ af persondatabehandling forringer efterlevelsen af GDPR-reglerne, og derfor kommer tilsynskravet ind i billedet.
Databehandleraftalen er ikke tilstrækkelig
Det er i GDPR-reglerne et krav, at du har en databehandleraftale (artikel 28, stk. 3). Databehandleraftalen er en juridisk bindende aftale mellem den dataansvarlige og databehandleren, men det er ikke nok at underskrive, at databehandleren vil følge aftalen med GDPR-reglerne. Den dataansvarlige skal føre tilsyn med, at denne aftale efterleves i praksis.
Hvordan fører jeg tilsyn med databehandlere?
Myndighederne har lavet en vejledning, som du kan (og bør) bruge til at designe dine tilsyn af databehandlere, og denne artikel tager udgangspunkt i denne vejledning.
Kortlæg dine databehandlere
Start med at kortlægge alle dine databehandlere.
Databehandlere kan være regnsskabssystem, CRM-system, bogholder, marketingbureau, og meget mere.
Når du har lavet denne liste, så kan du bruge tilsynskonceptet for hver enkelt databehandler.
Fastlæg dit tilsynskoncept
Alle dine databehandlere er forskellige, og de behandler forskellige personoplysninger på dine vegne. Derfor er kravene til dit tilsyn af databehandlerne også forskellige.
For hver enkelt databehandler, så anbefales det, at du følger dette tilsynskoncept udarbejdet af Datatilsynet.
Svar på disse 4 spørgsmål
Svar på nedenståede spørgsmål, og læg herefter pointene sammen for hver enkelt databehandler.
1. Hvor mange personer behandles der oplysninger om?
- Mindre end 1.000? (1 point)
- 1.000-10.000? (2 point)
- Mere end 10.000? (3 point)
2. Behandles der særlige kategorier af personoplysninger?
- Ja? (3 point)
- Nej? (0 point)
3. Behandles der andre beskyttelsesværdige personoplysninger?
- Ja? (2 point)
- Nej? (0 point)
4. Foretages der behandlinger, som går tæt på folks privatliv fx ved at udarbejde profiler?
- Ja? (2 point)
- Nej? (0 point)
Resultat: Valg af tilsynskoncept
Når du har svaret på ovenstående 4 spørgsmål, så læg dine point sammen, og brug summen til at fastlægge minimumskravene til dit tilsynskoncept for hver enkelt databehandler.
Samlet resultat blev mellem:
- 1-2 point → Vælg mellem tilsynskoncept 1-6
- 3-4 point → Vælg mellem tilsynskoncept 2-6
- 5-6 point → Vælg mellem tilsynskoncept 3-6
- 7-10 point → Vælg mellem tilsynskoncept 5-6
Vælg 1 af 6 tilsynskoncepter per databehandler
Vælg et af nedenstående 6 koncepter til dit tilsyn med databehandleren med udgangspunkt i den samlede score fra din besvarelse af de 4 spørgsmål.
Tilsynskoncept 1) Du forholder dig passiv
- Du kan forholde dig passiv til databehandleren, da der ikke er nogen betydelig risiko.
Tilsynskoncept 2) Databehandleren bekræfter skriftligt
- Du kan bede om skriftlig bekræftelse på at kravene efterleves, da risikoen er lav.
Tilsynskoncept 3) Databehandleren giver status skriftligt
- Databehandleren giver en årlig status på, at aftalen efterleves, men som du skal tjekke.
Tilsynskoncept 4) Certificering eller adfærdskodeks udgør dokumentation
- Databehandleren kan dokumentere, at behandlingen sker i henhold til en certficering eller et adfærdskodeks.
Tilsynskoncept 5) Revisionserklæring udgør dokumentation
- En uafhængig tredjepart har ført et dokumenteret gennemsyn med databehandleren, da behandlingsrisikoen er høj.
Tilsynskoncept 6) Tilsynsbesøg med databehandleren
- Du fører selv et dokumenteret tilsyn med databehandleren, da behandlingsrisikoen er høj.
Tilsynsfrekvens
Det er ikke nok at føre tilsyn 1 gang, og herefter antage, at databehandleren altid vil være compliant.
Du bør foretage et tilsyn, som matcher risikoen for den behandling, som foretages hos databehandleren.
Herudover, så bør du se på databehandlerens ageren og forhold.
Hvis databehandleren har bevist sig som troværdig, så kan du sænke tilsynsfrekvensen. Hvis det modsatte er tilfældet bør du øge tilsynsfrekvensen, og måske helt undlade at anvende denne databehandler fremadrettet.
En god tommelfingerregel er at udføre et årligt tilsyn for en almindelig databehandler med en almindelig behandling af personoplysninger.