Tilsyn med databehandlere

Tilsyn med databehandlere

Som kommune, stat, region eller privat virksomhed anvender I formentligt leverandører i stort omfang. Mange af jeres leverandører behandler personoplysninger på vegne af jer og bliver derved databehandlere i henhold til bestemmelserne i databeskyttelseslovgivningen.

Som virkning heraf, skal I indgå en databehandleraftale, jf. artikel 24 og 28, stk. 3, samt føre tilsyn med den enkelte databehandler.

At føre tilsyn med sine databehandlere har flere positive formål. Først og fremmest efterlever I databeskyttelseslovgivningen. Dernæst sikrer I leverandørstyring samt overblik over, om jeres leverandører lever op til deres forpligtelser.

I praksis skal databehandlerens behandling reguleres af en databehandleraftale, hvoraf de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger fremgår. Databehandleraftalen vil samtidig indeholde en klar instruks for den databehandling, der skal foretages af databehandleren.

Jeres tilsyn har til formål at sikre, at den indgåede databehandleraftale overholdes, herunder at databehandleren har gennemført de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger.

Når I skal tilrettelægge et tilsyn med en databehandler, skal dette baseres på en konkret risikovurdering af databehandlerkonstruktionen, som konkret fastlægger en tilsynsform (fysisk besøg eller skriftligt tilsyn) samt hyppigheden af tilsynet.

Et skriftligt tilsyn kan, afhængigt af jeres risikovurdering, foretages på flere måder, fx:
  • Databehandleren har udført dokumenterbare egenkontroller eller udarbejdet ledelseserklæring
  • Dataansvarlig fremsender et kontrolskema/spørgeskema, som udfyldes af databehandleren
  • Databehandleren har en relevant og opdateret certificering eller adfærdskodeks
  • Revisionserklæring (ISAE 3000 eller SOC 2)

Vi vil til enhver tid anbefale at udarbejde et system eller koncept, som sikrer en effektiv og ensrettet udførsel af tilsynene.

Hvis I finder det vanskeligt at stable et koncept på benene, præsenterer BDO gerne sin model for, hvordan tilsynsopgaven vedrørende databehandlere kan tilrettelægges og gennemføres. Modellen håndterer både en konstruktion, hvor BDO foretager alle tilsyn med leverandørerne samt de tilfælde, hvor der kun er tale om en delmængde af den dataansvarliges databehandlere, fx hvis I, som kommune, samarbejder med Det Fælleskommunale Databehandlersekretariat (DBS) eller har en anden løsning, hvor der bliver behandlet en delmængde af databehandleraftalerne.

Vi bestræber os derfor altid efter at yde rådgivning, som dækker lige præcis jeres konkrete behov, så hvis ovenstående har givet anledning til spørgsmål, behov for assistance til andre opgaver eller lignende, er I meget velkomne til at kontakte os.

Undgå at gå glip af vigtige nyheder, og tilmeld dig et af vores mange nyhedsbreve

Modtag nyhedsbrev