![Brian Bomholdt, BDO](https://media-eur.gwt.bdo.global/cmslibrary/Denmark/media/bdo/Xarkiv/People%20(362x259)/Employees/BNB.jpg)
Brian Bomholdt
Når man som privat virksomhed, offentlig myndighed eller institution behandler personoplysninger, har man – som dataansvarlig – et ansvar for, at behandlingen sker på en forsvarlig måde. Behandling af personoplysninger skal bl.a. ske på et lovligt grundlag, der skal være etableret passende sikkerhed, og man skal være i stand til at sikre overholdelsen af de registreredes rettigheder.
I mange tilfælde har man som dataansvarlig behov for at overlade personoplysninger til eksterne leverandører – såkaldte databehandlere. Eksempler på databehandlere er SaaS-løsninger, MS365, regnskabssystemer, CRM-systemer, lønsystemer m.v., men kan også gøre sig gældende for mere specifikke leverancer, f.eks. visse typer support- og konsulentydelser.
Tilsynet har til formål at sikre, at den indgåede databehandleraftale overholdes, herunder at databehandleren har gennemført de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger.
Manglende tilsyn har i 2024 medført en bødeindstilling fra Datatilsynet på ikke under 1,5 mio. kr. for en privat aktør. Konkret var der ikke ført tilsyn med 3 tilfældigt udvalgte databehandlere. Det første tilsyn med hver enkelt databehandler blev først ført, da Datatilsynet indledte sin undersøgelse.
Tilsynsformen og frekvensen af tilsyn baseres på en konkret risikovurdering af databehandlingen og kan bestå i f.eks. fysisk besøg eller skriftligt tilsyn. Et skriftligt tilsyn kan foretages på flere måder, fx:
Som udgangspunkt bør tilsyn foretages minimum en gang årligt, men konkrete omstændigheder kan bevirke, at dette udgangspunkt kan fraviges i både op- og nedadgående retning.