12 jul 2018

Fælder ved databehandleraftaler: Tilsyn

Tilsyn med databehandler: Det er ikke nogen hemmelighed, at vi modtager mange databehandleraftaler, som er baseret på skabeloner. De kommer fra bl.a. Datatilsynet, advokathuse og brancheforeninger, som alle har gjort et godt stykke arbejde for at lette skrivebyrden særligt for små/mellemstore danske virksomheder.

I takt med, at vi har modtaget flere og flere disse databehandleraftaler fra vores kunder, som kan stamme fra kunden selv eller andre virksomheder, er der også langsomt begyndt at danne sig et mønster af fejl og forglemmelser. Disse fejl og forglemmelser kan have forskellige konsekvenser, afhængig af virksomheden – eksempelvis krav om unødvendige erklæringer eller dyre tilsyn.

Mange af disse fejl er selvfølgelig opstået i forbindelse med at blive klar inden d. 25. maj. Vi vil i denne artikel, samt i kommende artikler, tale om nogle af de forskellige fælder, vi oplever, at virksomheder falder i.

Den første, vi vil tage fat på, er den dataansvarliges tilsynspligt.

Tilsyn med databehandler

Som det fremgår af Databeskyttelsesforordningens artikel 32 skal den dataansvarlige gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, som passer til de risici, der er forbundet med den konkrete behandling. Ligeledes fremgår det af artikel 28, stk. 3, litra c, at databehandleren skal iværksætte samme foranstaltning efter artikel 32. Tilsynspligten fremgår ikke direkte af forordningen, men for at kunne leve op til sine databeskyttelsesforpligtelser, skal den dataansvarlige føre tilsyn med sine databehandlere for at sikre, at disse har gennemført tilstrækkelige passende tekniske og organisatoriske sikkerhedsforanstaltninger.

Denne forpligtelse fremgår altid af databehandleraftalen, men vi oplever, at forskellige virksomheder ikke gør sig væsentlige overvejelser omkring dette, før de underskriver. Dette resulterer hyppigt i, at parterne binder sig til omkostningsrige tilsyn, som ofte er unødvendige, upraktiske, eller som ikke står i forhold til den nødvendige sikkerhed. Og nogle binder sig til at anskaffe erklæringer, som ikke er nødvendige for behandlingen, eller fysiske tilsyn fra den dataansvarlige. Dette kan blive dyrt for databehandleren, hvis denne skal sætte mange timer af til dette.

Datatilsynet har udgivet en kort vejledning til, hvordan en dataansvarlig kan føre kontrol med sine databehandlere. Vejledningen indeholder nogle generelle betragtninger til kontrollen, som vi kort gennemgår forneden.

Hvordan?

Et tilsyn med databehandler kan enten foretages fysisk eller via skriftlig henvendelse til databehandleren. Hvad I vælger, vil afhænge af jeres risikovurdering, som helst skal være lavet, inden behandlingen af persondata begynder.

Ved lav risiko kan I eksempelvis stille jeres databehandler en række spørgsmål, som I mener vil kunne opretholde tilliden til databehandleren. Hvilke spørgsmål, I kan stille, kan være svært at præcisere, da dette vil komme an på jeres egen risikovurdering.  Lav risiko kan eksempelvis være, at kun få personer har adgang til personoplysningerne, eller at databehandleren bruger mange standardprogrammer, som er kendt for deres sikkerhed.

Har I vurderet databehandleren til at være en høj risiko, vil et fysisk besøg være mere egnet. Høj risiko kan være, at mange har adgang til informationerne, eller at virksomheden selv udvikler mange af sine egne tekniske løsninger.

Hvem?

Som udgangspunkt er det den dataansvarliges ansvar at føre tilsyn med sine databehandlere; dog kan dette tilsyn også udføres af eksterne parter. Her vil vi henvise til en af vores tidligere artikler, som kort fortæller om diverse eksterne løsninger.

Kort om underdatabehandlere

I forordningen er der lagt op til, at databehandleren skal føre tilsyn med sine egne databehandlere. Men den dataansvarlige har stadig ansvaret for, at de godkendte underdatabehandlere også efterlever artikel 32 (da underdatabehandlere skal være underlagt de samme krav til sikkerhed som databehandleren selv).

I praksis vil det derfor give mening, på baggrund af risikovurderingen, at databehandleraftalen mellem den dataansvarlige og databehandleren pålægger databehandleren at dokumentere sine tilsyn med underdatabehandlere. Denne dokumentation kan så udleveres til den dataansvarlige, som kan inddrage dokumentationen i sin risikovurdering.

Hvor ofte skal der føres tilsyn med databehandler?

Frekvensen af eftersynet vil afhænge af jeres risikovurdering. Har I vurderet risikoen til at være lav, vil det måske kun være nødvendigt at efterse sin databehandler én gang om året. Hvis I derimod har vurderet risikoen til at være høj, kan det måske være nødvendigt med et eftersyn hver 6. måned.

Opsummering

På baggrund af en risikovurdering skal virksomhederne tage stilling til det ønskede tilsynsniveau og sikre, at disse ønsker fremgår af databehandleraftalen mellem den dataansvarlige og databehandleren.

I fremtiden vil vi se på, hvilke momenter der kan indgå i en risikovurdering og andre områder af databehandleraftalen, som vi mener trænger til at blive efterset.

Tilsyn databehandler