Når du som privat virksomhed, offentlig myndighed eller institution behandler personoplysninger, har du et ansvar for, at behandlingen sker på en forsvarlig måde. Dette inkluderer både at overholde lovgivningen og sikre, at dine databehandlere – eksterne leverandører, der behandler oplysningerne på dine vegne – også opretholder en høj standard for databeskyttelse. I denne artikel vil vi se nærmere på, hvordan du kan identificere dine databehandlere, indgå databehandleraftaler og føre passende tilsyn for at minimere risikoen for personoplysningernes sikkerhed.
Identificer dine databehandlere
Det første skridt er at identificere, hvilke virksomheder der behandler personoplysninger på dine vegne. Dette kan inkludere lønbureauer, CRM-udbydere og andre leverandører, der arbejder med personoplysninger som en del af deres tjenester. Hvis du er i tvivl om, hvorvidt en leverandør er en databehandler, skal du kontakte dem for at få det afklaret.
Læs mere om data mapping og data flow mapping her - det kan være en hjælp til denne opgave.
Indgå databehandleraftaler
Når du har identificeret dine databehandlere, skal du sikre, at der er indgået en databehandleraftale mellem dig og hver enkelt databehandler. Hvis du ikke allerede har sådanne aftaler på plads, skal du kontakte de relevante virksomheder for at få dem etableret.
Planlæg regelmæssig gennemgang og tilsyn
For at holde styr på dine databehandlere og sikre, at du opfylder dine forpligtelser, er det en god idé at have et fast tidspunkt hvert år, hvor du gennemgår dine databehandleraftaler og planlægger tilsyn. Dette vil hjælpe dig med at holde overblik og sikre, at du er i overensstemmelse med lovgivningen.
Vurder risikoen ved hver databehandler
Risikoen ved en databehandler afhænger af, hvor sandsynligt det er, at noget går galt, og hvilke konsekvenser det ville have for de registrerede (f.eks. medarbejdere, kunder og borgere). Jo større risiko, jo større krav stilles der til dit tilsyn med databehandleren. Husk, at det er risikoen for de registrerede, du skal have for øje, og ikke blot risikoen for din egen virksomhed eller myndighed.
Du skal både vurdere risikoen for din enkelte databehandler, men du skal også inkludere dem i din overordnede GDPR risikovurdering. Læs mere om GDPR risikovurdering her.
Før tilsyn med databehandlere baseret på risikovurdering
Når du har vurderet risikoen ved hver databehandler, skal du føre tilsyn med dem i overensstemmelse med denne vurdering. Dette kan indebære at gennemgå sikkerhedsprocedurer, undersøge eventuelle databrudsrapporter eller gennemføre stikprøvekontroller. Tilsynet bør være proportionalt med risikoen og kan variere fra grundige inspektioner for databehandlere med høj risiko til mere overfladiske kontroller for dem med lavere risiko.
Dokumenter dine tilsynsaktiviteter
Det er vigtigt at holde en nøjagtig registrering af dine tilsynsaktiviteter, så du kan bevise overfor Datatilsynet og andre interessenter, at du opfylder dine forpligtelser som dataansvarlig. Dette inkluderer detaljer om, hvornår tilsynet blev udført, hvilke databehandlere der blev kontrolleret, hvilke metoder der blev brugt, og hvilke resultater der blev opnået.
Handle på eventuelle problemer
Hvis dit tilsyn afslører problemer med en databehandlers praksis, skal du handle hurtigt for at løse dem. Dette kan omfatte at kræve, at databehandleren retter op på mangler, styrker deres sikkerhedsforanstaltninger eller ændrer deres procedurer for at beskytte de registreredes rettigheder bedre.
At sikre forsvarlig databehandling og tilsyn med databehandlere er en vigtig del af at overholde GDPR og beskytte personoplysningerne. Ved at følge de trin, der er skitseret i denne artikel, kan du tage de nødvendige forholdsregler for at minimere risikoen og opfylde dine ansvarsområder som dataansvarlig. Husk altid at holde dig informeret om ændringer i lovgivningen og bedste praksis for at sikre, at din organisation fortsat beskytter personoplysningerne på en forsvarlig måde.
Vi kan desuden anbefale, at du orienterer dig i datatilsynets vejledning om kontrol af databehandlere.
Billederne i artiklen er fra DPA Service, et .legal produkt og service, hvor vi kan hjælpe jer med at gennemføre tilsyn af jeres databehandlere. Læs mere om DPA Service her.
.jpg)
.jpeg)
.jpg)
.jpg)
.jpg)
.png)
.jpeg)
