18 jul 2017

Tilsyn med databehandler: Hvordan føres det?

Tilsyn med databehandler: Persondataloven, og specielt forordningen, siger, at man som dataansvarlig skal føre tilsyn med sin databehandler. Det giver selvfølgelig ret god mening, for da man som dataansvarlig er forpligtet til at efterleve persondataregulativerne, følger dette ansvar også, hvorvidt en databehandler (altså en regulær underleverandør) lever op til de krav, som dataansvarlig har sat.

Men hvordan føres dette tilsyn med databehandler? Der bør jo være en databehandleraftale mellem jer. Også en instruks, som overordnet fortæller om sikringsmekanismer og behandling af data. Grundlaget for alt dette er baseret på, at dataansvarlig har (risiko)vurderet databehandler ift. hvilken art, kompleksitet og afhængighed, der er. Dermed vil dataansvarlig indirekte have besluttet sin egen indsats i forhold til at forpligte databehandleren.

Eksempel på tilsyn med databehandler

Eksemplet kan være, at it er outsourcet til en it-hostingvirksomhed, og at alt it dermed afvikles direkte hos databehandleren. Dataansvarlig har etableret databehandleraftaler og instruks mod databehandler, og dataansvarlig har – af flere fornuftige årsager – forpligtet behandleren til at lade sig underlægge kontrol. Det lyder formelt, men reelt er det sund fornuft, at man som kunde hos en væsentlig leverandør interesserer sig for, hvordan leverandøren passer sit arbejde. I dette eksempel er det jo ikke helt uvæsentligt, om leverandøren gør, som hun skal. Det kan for eksempel være en god ide at afholde periodiske statusmøder, hvor der tales om, hvordan leverancerne forløber. Tilsyn kan også bestå i at besøge leverandørens fysiske lokation og lægge hånd på de fysiske servere (nu vi er ved eksemplet), og selvom det efterhånden giver mindre og mindre værdi praktisk set, kan det alligevel være en god ide.

Revisorerklæring som en del af tilsynet

For at sikre, at den praktiske leverance rent faktisk leveres, kan en del af tilsynet også håndteres ved at indhente en revisorerklæring fra databehandler. I forhold til regulære, driftsmæssige forhold indhentes typisk en ISAE 3402-erklæring. Det skal være en type 2, idet denne dækker en periode, men vær opmærksom på, at denne kun tager udgangspunkt i serviceydelsen, og dermed ikke det konkrete i forhold til data. Vi plejer at sige, at en typisk ISAE 3402-erklæring alene varetager kontroller til og med operativsystem, og dermed ikke i høj grad tager højde for den praktiske håndtering af (person)data. Her kan indhentes en ISAE 3000-erklæring, som skal erklære sig om efterlevelsen af persondataloven (evt. inkl. sikkerhedsbekendtgørelse – og snarligt den kommende persondataforordning (GDPR)).

Men som nævnt. Det er ikke nok at sige, at en dataansvarligs tilsyn med underleverandører omhandler indhentelse af revisorerklæringer. Det handler om at tale sammen, modtage rapporter med servicegrader, og generelt interessere sig for sin leverandørs ydelser.