Menu
GDPR › Databehandlere

Tilsyn med databehandlere

Tilsyn med databehandlere er et krav i GDPR-reglerne. I denne artikel kan du lære om de 6 tilsynskoncepter, som du kan anvende, samt automatisering heraf

Book demo
Auditing Data Processors

Indholdsfortegnelse

    Tilsyn med databehandlere 

    Når din virksomhed overlader behandlingen af persondata til en leverandør, er det stadig dit ansvar at sikre, at databehandleren overholder GDPR.  

    Det er et fundament i GDPR-reglerne, at persondata skal behandles ansvarligt i hele kæden, så dine og mine data behandles korrekt i alle forsyningsleddene. Det skal jo ikke være sådan, at man blot kan udlicitere dele af forretningsprocessen for derfor ikke at skulle tage ansvar for GDPR-reglerne. 

    Det betyder, at du skal sikre dig, at dine leverandører efterlever de GDPR-krav som du stilles overfor, samt implementerer et databeskyttelsesniveau, som matcher dine krav til persondatasikkerheden. 

    I denne artikel kommer vi nærmere ind på hvorfor og hvordan, at du skal føre tilsyn med dine databehandlere. 

    Krav til brugen af databehandlere 

    GDPR-reglerne stiller flere krav til relationen mellem den dataansvarlige (din virksomhed) og dennes databehandlere. 

    Reglerne kræver, at du udelukkende benytter databehandlere, som “stiller de fornødne garantier” for, at behandlingen af persondata foretages efter reglerne, når behandlingen overlades til dem.  

    Dine databehandlere må heller ikke “udlicitere ansvaret” ved at bruge såkaldte underdatabehandlere uden, at du har godkendt disse forinden. Dette sikrer, at persondata under dit ansvar ikke overlades til en underdatabehandler, som medfører en usikker behandling af persondata.  

    Denne overladelse af persondata skal være beskrevet i en databehandleraftale, som fastlægger kravene til denne behandling. 

    GDPR kræver, at du kan dokumentere, at du efterlever reglerne i praksis. Dette indebærer, at du skal føre tilsyn med, at dine databehandlere efterlever jeres aftale, herunder at de i praksis stiller de fornødne garantier for at behandlingen foretages efter reglerne. 

    Kortlæg dine databehandlere 

    Tilsynet af dine databehandlere kræver først og fremmest, at du har kortlagt alle disse databehandlere, så du har et overblik af disse.  

    Herefter, så bør du foretage en risikovurdering af hver enkelt databehandler. Du kan tage udgangspunkt i denne risikovurdering for at bestemme, hvordan du vil udføre tilsynet med databehandlerne. Alternativt, så kan du anvende nedenstående metode. 

    Sådan vælger du den rigtige tilsynsmodel 

    Datatilsynet har udarbejdet en model, som hjælper dig med at vælge den rette måde at føre tilsyn med dine databehandlere. Modellen fungerer sådan, at du besvarer en række spørgsmål om den behandling, du overlader til databehandleren. Dine svar giver point, som til sidst lægges sammen, så du kan vælge det tilsyn, der passer bedst til hver enkelt databehandler. 

    Hvor mange personer vedrører databehandlerens behandling? 

    1. Mindre end 1.000 personer. (1 point) 

    2. 1.000-10.000 personer.  (2 point) 

    3. Mere end 10.000 personer. (3 point) 

    Behandles følsomme personoplysninger af databehandleren? 

    1. Ja (3 point) 

    2. Nej (0 point) 

    Behandles fortrolige personoplysninger af databehandleren? 

    1. Ja (2 point) 

    2. Nej (0 point) 

    Er behandlingen indgribende for den registrerede (fx profilering, samkøring af registre, overvågning, mv.)? 

    1. Ja (2 point) 

    2. Nej (0 point) 

    Resultat 

    Du finder dernæst din tilsynsmodel for hver af dine databehandlere ved at opsummere pointene for alle dine 4 svar på ovenstående spørgsmål. 

    • 1-2 point: Vælg mellem koncept 1-6 i nedenstående. 

    • 3-4 point: Vælg mellem koncept 2-6 i nedenstående. 

    • 5-6 point: Vælg mellem koncept 3-6 i nedenstående. 

    • 7-10 point: Vælg mellem koncept 5-6 i nedenstående

    Resultaterne af ovenstående spørgeskema afspejler din risiko ved overladelse af behandling af persondata til dine databehandlere. En højere risiko afspejler derfor, at du bør vælge et grundigere tilsynskoncept.  

    Vælg blandt 6 tilsynskoncepter 

    Datatilsynet har foreslået 6 tilsynskoncepter, som du kan vælge baseret på din risikovurdering. 

    Tilsynskoncept 1) Reaktivt tilsyn 

    Hvis din databehandler har etableret et godt navn og rygte, samt har vist sig at være en troværdig leverandør, så kan du vælge en reaktiv tilgang til at føre tilsyn med databehandleren, dvs. hvor du ikke foretager noget tilsyn, medmindre du bliver opmærksom på problemer hos databehandleren.  

    Du kan fx blive opmærksom på problemer via medieomtale eller rapporter fra tilsynsmyndigheder. Det kan også være, at du oplever, at databehandleren har driftsproblemer, som giver anledning til at foretage et tilsyn. 

    Tilsynskoncept 2) Skriftlig bekræftelse fra databehandler 

    Hvis din databehandler har et godt renommé, kan du nøjes med at kræve en skriftlig bekræftelse på, at de fortsat overholder GDPR.  

    Bekræftelsen kan være en simpel erklæring, hvor databehandleren forsikrer, at der ikke er sket ændringer i deres procedurer eller sikkerhedsforanstaltninger jf. databehandleraftalen. 

    Hvis du efterfølgende bliver opmærksom på sikkerhedsbrud eller kritik i medierne, kan du tage kontakt til databehandleren for at føre tilsyn eller sikre dig, at problemerne er udbedret. 

    Tilsynskoncept 3) Årlig statusrapport fra databehandler 

    Databehandleren kan årligt afgive en statusrapport med oplysninger om, hvordan databehandleraftalen efterleves, samt eventuelle ændringer i deres IT-sikkerhed, systemer eller politikker. Rapporten kan gøres tilgængelig via databehandlerens hjemmeside eller sendes direkte til dig.  

    Det er vigtigt, at statusrapporten omhandler de faktisk forhold i databehandleraftalen, samt at den gør dig i stand til at føre tilsyn med, at alle forholdene efterleves. 

    Tilsynskoncept 4) Certificeringer og adfærdskodekser 

    Når din databehandler følger et adfærdskodeks (jf. artikel 40 i GDPR), eller er certificeret (jf. artikel 42 i GDPR), så kan du bruge dokumentationen heraf til at føre dit tilsyn.  

    Du skal sikre dig, at adfærdskodekset/certificeringen afspejler kravene, der indgår i jeres databehandleraftale. Hvis nogle af kravene i databehandleraftalen ikke er dækket, så kan du bede databehandleren om yderligere dokumentation for, at disse krav efterleves. 

    Herudover, så bør du bede om dokumentation for om der foretages brud på persondatasikkerheden siden sidste tilsyn, samt hvad der er gjort for at forhindre dette fremadrettet. 

    Tilsynskoncept 5) Uafhængig tilsynsrapport 

    En uafhængig tredjepart kan foretage tilsyn af databehandlerens efterlevelse af databehandleraftalen fx ved en ISAE 3000 erklæring, som foretages af en revisor. Et eksternt tilsyn giver en objektiv vurdering af, om databehandleren efterlever gældende krav. 

    Hvis du bruger dette som dit tilsynskoncept, så skal du sikre dig, at dette tilsyn dækker de områder, der er relevante for din virksomhed, og som indgår i databehandleraftalen. 

    Hvis tilsynet viser mangler eller risici, så bør du tage kontakt til databehandleren for at afklare at disse udbedres. 

    Tilsynskoncept 6) Du udfører selv tilsyn 

    Du kan selv føre tilsyn ved at sende spørgeskemaer, kræve dokumentation eller besøge databehandleren fysisk. Ved et fysisk tilsyn kan du kontrollere, om sikkerhedsforanstaltningerne i praksis stemmer overens med det aftalte, både i forhold til IT-sikkerhed, adgangsstyring og fysisk beskyttelse af servere og systemer. 

    Hvilke forhold føres tilsyn med? 

    Helt grundlæggende, så skal du føre tilsyn med kravene i databehandleraftalen, og disse krav varierer mellem hver enkelt databehandleraftale, da behandlingerne er forskellige, samt virksomhederne de overlades til, som kunne være både Microsoft eller et eksternt bogholderi, 

    Dette vil have indvirkning på det tilsyn, som du udfører med databehandlerne 

    Når du fører tilsyn med en databehandler, skal du bl.a. kontrollere, at databehandleren: 

    • Kun behandler personoplysninger efter dokumenteret instruks fra dig (den dataansvarlige). 

    • Straks informerer dig, hvis en instruks givet til dem er i strid med GDPR-reglerne. 

    • Begrænser adgangen til behandlingen af personoplysninger til medarbejdere underlagt tavshedspligt og med et klart behov.  

    • Har etableret passende tekniske og organisatoriske sikkerhedsforanstaltninger jf. GDPR artikel 32, samt eventuelt yderligere sikkerhedskrav stillet af dig. 

    • Bistår dig med din risikovurdering ved at levere nødvendige oplysninger om behandlingen, samt deres sikkerhedsforanstaltninger. 

    • Selv foretager en risikovurdering af den behandling, som foretages på vegne af dig og gennemfører foranstaltninger til at imødegå de identificerede risici. 

    • Følger GDPR’s krav ved brug af underdatabehandlere (jf. artikel 28, stk. 2 og 4), samt løbende fører kontrol med disse. 

    • Kun overfører personoplysninger til tredjelande på et lovligt grundlag og kan dokumentere lovligheden heraf. 

    • Understøtter dig ved håndtering af anmodninger fra registrerede personer (fx om indsigt, berigtigelse, sletning mv.). 

    • Straks informerer dig ved brud på persondatasikkerheden, og bistår med anmeldelse til Datatilsynet, så du kan foretage anmeldelsen til Datatilsynet indenfor 72 timer. 

    • Løbende uddanner relevante medarbejdere i GDPR, IT-sikkerhed og databeskyttelse.. 

    • Sletter eller tilbageleverer data efter ophør af databehandleraftalen. 

    Automatisér dit tilsyn og spar tid  

    Forestil dig, at du har 18 databehandlere, og har identificeret, at du vil anvende 3 forskellige tilsynsmodeller for at sikre, at de efterlever databehandleraftalen…  

    Dette vil være en kompleks opgave, som kræver meget arbejdstid. Derfor er det naturligt at standardisere og automatisere så meget som muligt. 

    Start automatisering af tilsyn 

    Når du har foretaget dine risikovurderinger for hver af dine databehandlere, og har afklaret hvilken type tilsyn, som du vil føre, så kan du tage næste skridt med at standardisere og automatisere tilsynene. 

    Først, skal du have lavet tilsynsskabeloner. Du kan enten lave en skabelon tilpasset hver enkelt databehandler, som du genbruger årligt, eller anvende en fælles skabelon for hvert et af de 6 tilsynskoncepter.   

    Herefter, så skal tilsynet sendes til databehandleren. Her kan du fx udarbejde en standard email, som du kan anvende til at udsende tilsynet til databehandlerne, samt opsætte en tilsynsfrekvens på denne fx årligt. Alternativt, så kan du opsætte en mail tilpasset hver enkelt databehandler og med den specifikke tilsynsskabelon, som du har lavet til hver enkelt databehandler.  

    Til sidst, så skal du sikre dig, at du modtager et svar på dit tilsyn, samt at svaret er fyldestgørende.   

    Vendor Management Software 

    Ved at bruge vendor management software, så får du alle funktionerne til at automatisere tilsynet med dine databehandlere.  

    Det hjælper dig med at holde styr på dine risikovurderinger, tilsynsskabeloner, udsendelse og modtagelse af tilsynene til databehandlerne, automatisk rykkerhåndtering, og giver mulighed for en struktureret opfølgning på svarene fx hvis databehandlerens svar viser sig ikke at være fyldestgørende. 

    Derudover har du alle dine tilsyn dokumenteret i platformen, hvilket gør din compliance dokumentation lettere at holde styr på.   

    Og hvis du gerne vil prøve det af i praksis lige nu, så kan du prøve det i vendor management free versionen her. 

    Dokumentation 

    Det er et krav i GDPR-reglerne, at du skal kunne dokumentere din efterlevelse af GDPR, hvilket indebærer at du dokumenterer alle dine tilsyn; risikovurderinger af databehandlerne, tilsynet, samt kommunikationen med databehandlerne omkring tilsynet, opfølgning på tilsyn, samt databehandlerens generelle efterlevelse af GDPR-reglerne.  

     

    Oftest stillede spørgsmål om Audit af databehandlere

    Hvad er en audit af databehandlere under GDPR?

    En audit af databehandlere er en systematisk gennemgang af, hvordan en tredjepartsleverandør (databehandler) håndterer personoplysninger på dine vegne. Under GDPR er du som dataansvarlig forpligtet til at verificere, at dine databehandlere overholder GDPR og jeres databehandleraftale. Audits kan spænde fra simple skriftlige bekræftelser til fysiske inspektioner.

    Hvor ofte skal jeg auditere mine databehandlere?

    Hyppigheden afhænger af din risikovurdering. Databehandlere med højere risiko, der håndterer store mængder data, følsomme personoplysninger eller foretager indgribende aktiviteter, bør auditeres oftere, typisk årligt. Lavrisiko-databehandlere kan auditeres sjældnere, men du bør altid overvåge for ændringer eller hændelser, der berettiger en øjeblikkelig gennemgang.

    Hvad er de seks auditmetoder anbefalet af Datatilsynet?

    De seks metoder er: (1) Reaktive audits udløst af kendte problemer, (2) Skriftlig bekræftelse fra databehandleren, (3) Årlige statusrapporter, (4) Certificeringer og adfærdskodekser under GDPR artikel 40 og 42, (5) Uafhængige tredjepartsaudits som ISAE 3000-rapporter, og (6) Gennemførelse af din egen audit gennem spørgeskemaer, dokumentationsgennemgang eller fysiske besøg.

    Hvad skal en databehandleraudit dække?

    En audit skal verificere, at databehandleren kun behandler data efter dine dokumenterede instruktioner, begrænser adgangen til autoriseret personale, implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger, overholder krav til underdatabehandlere, lovligt overfører data til tredjelande, understøtter anmodninger fra registrerede og straks underretter dig om brud.

    Har jeg brug for en databehandleraftale før auditering?

    Ja. En databehandleraftale (DPA) er et lovkrav under GDPR artikel 28. DPA'en fastlægger betingelserne for, hvordan databehandleren håndterer personoplysninger på dine vegne, og din audit skal verificere overholdelse af disse specifikke vilkår.

    Læs om databehandleraftaler

    Hvad sker der, hvis en databehandler ikke består en audit?

    Hvis en databehandler ikke består en audit, skal du dokumentere resultaterne og underrette databehandleren om manglerne. Anmod om en handlingsplan med klare deadlines. Hvis databehandleren ikke kan eller vil løse problemerne, kan det være nødvendigt at opsige aftalen og finde en alternativ databehandler.

    Kan jeg bruge certificeringer i stedet for at foretage mine egne audits?

    Ja, GDPR artikel 40 og 42 giver dig mulighed for at bruge godkendte adfærdskodekser og certificeringer som dokumentation for overholdelse. Du bør dog verificere, at certificeringen dækker alle kravene i din databehandleraftale. Hvis der er huller, bør du anmode om yderligere dokumentation fra databehandleren.

    Hvad er en risikovurdering for databehandlere?

    En risikovurdering evaluerer risikoniveauet forbundet med hver databehandler baseret på faktorer som mængden af personoplysninger, der behandles, om følsomme eller fortrolige data er involveret, og om behandlingsaktiviteterne er indgribende for de registrerede. Risikoniveauet bestemmer, hvilken auditmetode der er mest hensigtsmæssig.

    Hvordan kan jeg automatisere audits af databehandlere?

    Du kan automatisere audits ved hjælp af leverandørstyringssoftware, der hjælper dig med at spore risikovurderinger, administrere auditskabeloner, sende og modtage auditanmodninger, håndtere påmindelser automatisk og strukturere opfølgninger. Dette er særligt værdifuldt, når du administrerer flere databehandlere med forskellige risikoniveauer.

    Hvilken dokumentation er påkrævet for audits af databehandlere?

    GDPR kræver, at du dokumenterer alle auditaktiviteter, herunder risikovurderinger af hver databehandler, auditresultater, kommunikation med databehandlere om audits, opfølgende handlinger og databehandlernes overordnede overholdelsesstatus. Denne dokumentation demonstrerer din ansvarlighed som dataansvarlig.

    Relaterede artikler om databehandlerstyring

    Læs mere om styring af dine databehandlere, oprettelse af databehandleraftaler og sikring af GDPR-overholdelse i hele din forsyningskæde.

    Processing activities

    .legal compliance platform Automatisér dine databehandleraudits

    Brug .legal's leverandørstyringsværktøjer til at strømline dine databehandleraudits, spore overholdelse og vedligeholde komplet dokumentation ubesværet.
    • Automatiserede audit-workflows og påmindelser
    • Risikovurderingssporing for alle databehandlere
    • Komplet auditdokumentation og historik
    • Underdatabehandlerstyring indbygget
    Book demo
    +400 virksomheder bruger .legal
    Region Sjælland
    Aarhus Universitet
    aj_vaccines_logo
    Realdania
    Right People
    IO Gates
    PLO
    Finans Danmark
    geia-food
    Vestforbrænding
    Evida
    Klasselotteriet
    NRGI1
    BLUE WATER SHIPPING
    Karnov
    VP Securities
    AH Industries
    Ingvard Christensen
    Lægeforeningen
    InMobile
    AK Nygart
    DEIF
    DMJX
    KAUFMANN (1)
    qUINT Logo
    Axel logo
    SMILfonden-logo
    skodsborg_logo-1
    nemlig.com
    Molecule Consultancy
    Novicell
    Footer topswirl

    Info

    .legal A/S

    hello@dotlegal.com
    +45 7027 0127

    CVR: 40888888

    Support

    support@dotlegal.com
    +45 7027 0127
    Brug for hjælp?

     

    Kontor

    Aarhus

    Store Torv 14, 2. sal
    8000 Aarhus C

    Vi går op i sikkerhed

    Download vores erklæringer:

    ISAE 3000

    ISAE 3402

    Moduler

    Lad mig hjælpe jer i gang

    joa i blob
    Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
    arrow-right-white Få en demo

    .legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

    Footer bottomswirl