Tilsyn med databehandlere

Tilsyn med databehandlere er et krav i GDPR-reglerne. I denne artikel kan du lære om de 6 tilsynskoncepter, som du kan anvende, samt automatisering heraf

Tilsyn med databehandlere

Når din virksomhed overlader behandlingen af persondata til en leverandør, er det stadig dit ansvar at sikre, at databehandleren overholder GDPR.

Det er et fundament i GDPR-reglerne, at persondata skal behandles ansvarligt i hele kæden, så dine og mine data behandles korrekt i alle forsyningsleddene. Det skal jo ikke være sådan, at man blot kan udlicitere dele af forretningsprocessen for derfor ikke at skulle tage ansvar for GDPR-reglerne.

Det betyder, at du skal sikre dig, at dine leverandører efterlever de GDPR-krav som du stilles overfor, samt implementerer et databeskyttelsesniveau, som matcher dine krav til persondatasikkerheden.

I denne artikel kommer vi nærmere ind på hvorfor og hvordan, at du skal føre tilsyn med dine databehandlere.

Krav til brugen af databehandlere

GDPR-reglerne stiller flere krav til relationen mellem den dataansvarlige (din virksomhed) og dennes databehandlere.

Reglerne kræver, at du udelukkende benytter databehandlere, som “stiller de fornødne garantier” for, at behandlingen af persondata foretages efter reglerne, når behandlingen overlades til dem.

Dine databehandlere må heller ikke “udlicitere ansvaret” ved at bruge såkaldte underdatabehandlere uden, at du har godkendt disse forinden. Dette sikrer, at persondata under dit ansvar ikke overlades til en underdatabehandler, som medfører en usikker behandling af persondata.

Denne overladelse af persondata skal være beskrevet i en databehandleraftale, som fastlægger kravene til denne behandling.

GDPR kræver, at du kan dokumentere, at du efterlever reglerne i praksis. Dette indebærer, at du skal føre tilsyn med, at dine databehandlere efterlever jeres aftale, herunder at de i praksis stiller de fornødne garantier for at behandlingen foretages efter reglerne.

Kortlæg dine databehandlere

Tilsynet af dine databehandlere kræver først og fremmest, at du har kortlagt alle disse databehandlere, så du har et overblik af disse.

Herefter, så bør du foretage en risikovurdering af hver enkelt databehandler. Du kan tage udgangspunkt i denne risikovurdering for at bestemme, hvordan du vil udføre tilsynet med databehandlerne. Alternativt, så kan du anvende nedenstående metode.

Sådan vælger du den rigtige tilsynsmodel

Datatilsynet har udarbejdet en model, som hjælper dig med at vælge den rette måde at føre tilsyn med dine databehandlere. Modellen fungerer sådan, at du besvarer en række spørgsmål om den behandling, du overlader til databehandleren. Dine svar giver point, som til sidst lægges sammen, så du kan vælge det tilsyn, der passer bedst til hver enkelt databehandler.

Hvor mange personer vedrører databehandlerens behandling?

Mindre end 1.000 personer. (1 point)
1.000-10.000 personer. (2 point)
Mere end 10.000 personer. (3 point)

Behandles følsomme personoplysninger af databehandleren?

Ja (3 point)
Nej (0 point)

Behandles fortrolige personoplysninger af databehandleren?

Ja (2 point)
Nej (0 point)

Er behandlingen indgribende for den registrerede (fx profilering, samkøring af registre, overvågning, mv.)?

Ja (2 point)
Nej (0 point)

Resultat

Du finder dernæst din tilsynsmodel for hver af dine databehandlere ved at opsummere pointene for alle dine 4 svar på ovenstående spørgsmål.

1-2 point: Vælg mellem koncept 1-6 i nedenstående.

3-4 point: Vælg mellem koncept 2-6 i nedenstående.

5-6 point: Vælg mellem koncept 3-6 i nedenstående.
7-10 point: Vælg mellem koncept 5-6 i nedenstående

Resultaterne af ovenstående spørgeskema afspejler din risiko ved overladelse af behandling af persondata til dine databehandlere. En højere risiko afspejler derfor, at du bør vælge et grundigere tilsynskoncept.

Vælg blandt 6 tilsynskoncepter

Datatilsynet har foreslået 6 tilsynskoncepter, som du kan vælge baseret på din risikovurdering.

Tilsynskoncept 1) Reaktivt tilsyn

Hvis din databehandler har etableret et godt navn og rygte, samt har vist sig at være en troværdig leverandør, så kan du vælge en reaktiv tilgang til at føre tilsyn med databehandleren, dvs. hvor du ikke foretager noget tilsyn, medmindre du bliver opmærksom på problemer hos databehandleren.

Du kan fx blive opmærksom på problemer via medieomtale eller rapporter fra tilsynsmyndigheder. Det kan også være, at du oplever, at databehandleren har driftsproblemer, som giver anledning til at foretage et tilsyn.

Tilsynskoncept 2) Skriftlig bekræftelse fra databehandler

Hvis din databehandler har et godt renommé, kan du nøjes med at kræve en skriftlig bekræftelse på, at de fortsat overholder GDPR.

Bekræftelsen kan være en simpel erklæring, hvor databehandleren forsikrer, at der ikke er sket ændringer i deres procedurer eller sikkerhedsforanstaltninger jf. databehandleraftalen.

Hvis du efterfølgende bliver opmærksom på sikkerhedsbrud eller kritik i medierne, kan du tage kontakt til databehandleren for at føre tilsyn eller sikre dig, at problemerne er udbedret.

Tilsynskoncept 3) Årlig statusrapport fra databehandler

Databehandleren kan årligt afgive en statusrapport med oplysninger om, hvordan databehandleraftalen efterleves, samt eventuelle ændringer i deres IT-sikkerhed, systemer eller politikker. Rapporten kan gøres tilgængelig via databehandlerens hjemmeside eller sendes direkte til dig.

Det er vigtigt, at statusrapporten omhandler de faktisk forhold i databehandleraftalen, samt at den gør dig i stand til at føre tilsyn med, at alle forholdene efterleves.

Tilsynskoncept 4) Certificeringer og adfærdskodekser

Når din databehandler følger et adfærdskodeks (jf. artikel 40 i GDPR), eller er certificeret (jf. artikel 42 i GDPR), så kan du bruge dokumentationen heraf til at føre dit tilsyn.

Du skal sikre dig, at adfærdskodekset/certificeringen afspejler kravene, der indgår i jeres databehandleraftale. Hvis nogle af kravene i databehandleraftalen ikke er dækket, så kan du bede databehandleren om yderligere dokumentation for, at disse krav efterleves.

Herudover, så bør du bede om dokumentation for om der foretages brud på persondatasikkerheden siden sidste tilsyn, samt hvad der er gjort for at forhindre dette fremadrettet.

Tilsynskoncept 5) Uafhængig tilsynsrapport

En uafhængig tredjepart kan foretage tilsyn af databehandlerens efterlevelse af databehandleraftalen fx ved en ISAE 3000 erklæring, som foretages af en revisor. Et eksternt tilsyn giver en objektiv vurdering af, om databehandleren efterlever gældende krav.

Hvis du bruger dette som dit tilsynskoncept, så skal du sikre dig, at dette tilsyn dækker de områder, der er relevante for din virksomhed, og som indgår i databehandleraftalen.

Hvis tilsynet viser mangler eller risici, så bør du tage kontakt til databehandleren for at afklare at disse udbedres.

Tilsynskoncept 6) Du udfører selv tilsyn

Du kan selv føre tilsyn ved at sende spørgeskemaer, kræve dokumentation eller besøge databehandleren fysisk. Ved et fysisk tilsyn kan du kontrollere, om sikkerhedsforanstaltningerne i praksis stemmer overens med det aftalte, både i forhold til IT-sikkerhed, adgangsstyring og fysisk beskyttelse af servere og systemer.

Hvilke forhold føres tilsyn med?

Helt grundlæggende, så skal du føre tilsyn med kravene i databehandleraftalen, og disse krav varierer mellem hver enkelt databehandleraftale, da behandlingerne er forskellige, samt virksomhederne de overlades til, som kunne være både Microsoft eller et eksternt bogholderi,

Dette vil have indvirkning på det tilsyn, som du udfører med databehandlerne

Når du fører tilsyn med en databehandler, skal du bl.a. kontrollere, at databehandleren:

Kun behandler personoplysninger efter dokumenteret instruks fra dig (den dataansvarlige).

Straks informerer dig, hvis en instruks givet til dem er i strid med GDPR-reglerne.

Begrænser adgangen til behandlingen af personoplysninger til medarbejdere underlagt tavshedspligt og med et klart behov.

Har etableret passende tekniske og organisatoriske sikkerhedsforanstaltninger jf. GDPR artikel 32, samt eventuelt yderligere sikkerhedskrav stillet af dig.

Bistår dig med din risikovurdering ved at levere nødvendige oplysninger om behandlingen, samt deres sikkerhedsforanstaltninger.

Selv foretager en risikovurdering af den behandling, som foretages på vegne af dig og gennemfører foranstaltninger til at imødegå de identificerede risici.

Følger GDPR’s krav ved brug af underdatabehandlere (jf. artikel 28, stk. 2 og 4), samt løbende fører kontrol med disse.

Kun overfører personoplysninger til tredjelande på et lovligt grundlag og kan dokumentere lovligheden heraf.

Understøtter dig ved håndtering af anmodninger fra registrerede personer (fx om indsigt, berigtigelse, sletning mv.).

Straks informerer dig ved brud på persondatasikkerheden, og bistår med anmeldelse til Datatilsynet, så du kan foretage anmeldelsen til Datatilsynet indenfor 72 timer.

Løbende uddanner relevante medarbejdere i GDPR, IT-sikkerhed og databeskyttelse..

Sletter eller tilbageleverer data efter ophør af databehandleraftalen.

Automatisér dit tilsyn og spar tid

Forestil dig, at du har 18 databehandlere, og har identificeret, at du vil anvende 3 forskellige tilsynsmodeller for at sikre, at de efterlever databehandleraftalen…

Dette vil være en kompleks opgave, som kræver meget arbejdstid. Derfor er det naturligt at standardisere og automatisere så meget som muligt.

Start automatisering af tilsyn

Når du har foretaget dine risikovurderinger for hver af dine databehandlere, og har afklaret hvilken type tilsyn, som du vil føre, så kan du tage næste skridt med at standardisere og automatisere tilsynene.

Først, skal du have lavet tilsynsskabeloner. Du kan enten lave en skabelon tilpasset hver enkelt databehandler, som du genbruger årligt, eller anvende en fælles skabelon for hvert et af de 6 tilsynskoncepter.

Herefter, så skal tilsynet sendes til databehandleren. Her kan du fx udarbejde en standard email, som du kan anvende til at udsende tilsynet til databehandlerne, samt opsætte en tilsynsfrekvens på denne fx årligt. Alternativt, så kan du opsætte en mail tilpasset hver enkelt databehandler og med den specifikke tilsynsskabelon, som du har lavet til hver enkelt databehandler.

Til sidst, så skal du sikre dig, at du modtager et svar på dit tilsyn, samt at svaret er fyldestgørende.

Vendor Management Software

Ved at bruge vendor management software, så får du alle funktionerne til at automatisere tilsynet med dine databehandlere.

Det hjælper dig med at holde styr på dine risikovurderinger, tilsynsskabeloner, udsendelse og modtagelse af tilsynene til databehandlerne, automatisk rykkerhåndtering, og giver mulighed for en struktureret opfølgning på svarene fx hvis databehandlerens svar viser sig ikke at være fyldestgørende.

Derudover har du alle dine tilsyn dokumenteret i platformen, hvilket gør din compliance dokumentation lettere at holde styr på.

Og hvis du gerne vil prøve det af i praksis lige nu, så kan du prøve det i vendor management free versionen her.

Dokumentation

Det er et krav i GDPR-reglerne, at du skal kunne dokumentere din efterlevelse af GDPR, hvilket indebærer at du dokumenterer alle dine tilsyn; risikovurderinger af databehandlerne, tilsynet, samt kommunikationen med databehandlerne omkring tilsynet, opfølgning på tilsyn, samt databehandlerens generelle efterlevelse af GDPR-reglerne.