1) Skab overblik over dine databehandlere
Har du overblik over, hvilke andre virksomheder der behandler personoplysninger på din virksomheds vegne? Hvis ikke, er det vigtigt, at du hurtigst muligt skaber et samlet overblik. Det er nemlig dit ansvar at sikre, at dine databehandlere behandler oplysningerne på forsvarlig vis.
Hvem er mine databehandlere?
En databehandler kendetegnes ved at være en samarbejdspartner, der behandler personoplysninger på vegne af en dataansvarlig virksomhed. Databehandleren kan fx være:
- En leverandør af lønudbetalinger, der laver lønberegninger, laver lønsedler og indberetninger
- En hosting/cloud-virksomhed der tilvejebringer lagerplads for virksomhedens it-systemer og data
- Andre online-systemer, der håndterer processer for den dataansvarlige, fx en e-mailmarketing-platform eller et HR-system
Er du i tvivl om, hvem der er dine databehandlere? Så kan vi rådgive dig herom, da det i en række tilfælde kan være vanskeligt at fastlægge rollerne.
Hvornår skal jeg føre tilsyn med mine databehandlere?
Jo større risici der er ved behandlingen af personoplysninger, jo større krav stilles der til dit tilsyn af databehandleren. Hvis der begås fejl, er det nemlig oplysningerne på de registrerede (medarbejdere, kunder og borgere), som udsættes for disse risici - og det kan få enorme konsekvenser for den enkelte, hvis vedkommendes oplysninger misbruges.
Ifølge Datatilsynets vejledning, bør du derfor som dataansvarlig øge dit tilsyn med dine databehandlere i takt med:
- At oplysningerne får en mere fortrolig eller følsom karakter
- At databehandleren behandler flere personoplysninger
- At behandlingen bliver mere indgribende, f.eks. hvis den involverer overvågning, f.eks. af brugeres adfærd på internettet
Som dataansvarlig kan du tage udgangspunkt i Datatilsynets pointskala og dertilhørende seks vejledende tilsynskoncepter, når du skal føre tilsyn.
2) Kend dit ansvar for tilsyn med databehandlere
Hvordan ved man, at man fører for lidt eller for meget tilsyn med sine databehandlere? Som dataansvarlig kan det være svært at finde det helt rigtige niveau for et tilsyn. Derfor har Datatilsynet udarbejdet en pointskala og dertilhørende seks vejledende tilsynskoncepter, du som dataansvarlig kan tage udgangspunkt i.
Hvordan bruger jeg Datatilsynets pointskala?
Datatilsynets pointskala er bygget op omkring nedenstående fire spørgsmål. Afhængigt af, hvor mange point du som dataansvarlig får på pointskalaen, kan du tage udgangspunkt i et af de tilsynskoncepter, Datatilsynet anbefaler. Tilsynskoncepterne er vejledende forslag til, hvor ofte du bør føre tilsyn med dine databehandlere.
Spørgsmål 1
Hvor mange personer overlader du som dataansvarlig oplysninger om til din databehandler?
- Under 1.000 (1 point)
- Mellem 1.000 og 10.000 (2 point)
- Over 10.000 (3 point)
Spørgsmål 2
Behandler din databehandler særlige kategorier af personoplysninger på dine vegne – i daglig tale følsomme oplysninger? Dvs. oplysninger om politisk overbevisning, genetiske data, race og etnisk oprindelse, fagforeningsmæssige tilhørsforhold, religiøs eller filosofisk overbevisning, biometriske data med henblik på entydig identifikation, helbredsoplysninger, seksuelle forhold eller seksuel orientering.
- Ja (3 point)
- Nej (0 point)
Spørgsmål 3
Behandler din databehandler andre beskyttelsesværdige personoplysninger? Det kan f.eks. være CPR-numre, oplysninger om strafbare forhold, væsentlige sociale forhold, ledighed etc.
- Ja (2 point)
- Nej (0 point)
Spørgsmål 4
Går selve behandlingen af oplysninger tæt på folks privatliv? Her tænkes f.eks. på profilering, overvågning samt samkøring af datasæt.
- Ja (2 point)
- Nej (0 point)
Hvad er de seks vejledende tilsynskoncepter?
Datatilsynet har udarbejdet seks vejledende tilsynskoncepter, som de anbefaler, at du som dataansvarlig fører tilsyn efter. Tilsynskoncepterne er:
Koncept 1
Du skal ikke gøre noget, medmindre du bliver opmærksom på, at der er noget galt hos databehandleren.
Koncept 2
Databehandleren bekræfter skriftligt, at alle krav i databehandleraftalen stadig efterleves – ofte kaldet en ”ledelseserklæring”.
Koncept 3
Databehandleren giver dig årligt – enten direkte eller via sin hjemmeside – en skriftlig status på forhold, der er omfattet af databehandleraftalen. Det kan være en rapport, som databehandlere selv har udarbejdet, eller som udarbejdes på baggrund af et spørgeskema, som den dataansvarlige sender.
Koncept 4
Databehandleren har en relevant og opdateret certificering eller følger et såkaldt adfærdskodeks, som er relevant for dine behandlingsaktiviteter. Det kan f.eks. være en ISO27001-certificering eller en relevant branchecertificering.
Koncept 5
En uafhængig tredjepart har ført et dokumenteret tilsyn med databehandleren på et område, som også dækker dine behandlingsaktiviteter. Her tænkes på en IT-revisionserklæring, f.eks. udarbejdet efter ISAE3402 eller ISAE3000-standarden.
Koncept 6
Du fører selv – eller sammen med andre – et dokumenteret tilsyn (fysisk) med databehandleren. Dette vil normalt kun være relevant, hvis du har relevant viden om informationssikkerhed, eller allierer dig med nogen, der har.
Du kan læse mere om de seks vejledende tilsynskoncepter her.
Hvilket tilsynskoncept skal jeg føre tilsyn efter?
Hvilket tilsynskoncept, du bør følge, afhænger af, hvor mange point du har fået på pointskalaen.
1-2 point: Du kan vælge mellem koncept 1-6
3-4 point: Du kan vælge mellem koncept 2-6
5-6 point: Du kan vælge mellem koncept 3-6
7-10 point: Du kan vælge mellem koncept 5-6
3) Husk databehandleraftalerne - og tilsynet med dem
Det er som udgangspunkt databehandleraftalen, der sætter rammerne for, hvad du skal føre tilsyn med hos dine databehandlere. Som dataansvarlig skal du sikre, at dine databehandleraftaler lever op til den nyeste lovgivning inden for behandling af persondata. Det kan derfor være en god idé, at du hvert år afsætter en dag til at gennemgå dine databehandleraftaler.
Har du endnu ikke indgået en databehandleraftale med en virksomhed, der behandler persondata på dine vegne, skal du gøre det hurtigst muligt. Det er nemlig lovpligtigt, at der foreligger en skriftlig databehandleraftale, hvis din virksomhed indgår i en databehandlerrelation.
Hos Advodan kan vi hjælpe dig med at udarbejde en databehandleraftale.
Har du brug for rådgivning?