Datatilsynets særlige fokusområder i 2022: #2 Tilsyn med databehandlere

#2 Tilsyn med databehandlere

Dette er indlæg nr. 2 i serien om Datatilsynets fokusområder for 2022.

Den dataansvarlige har pligt til at udføre tilsyn med sine databehandlere. Vi anbefaler at der udføres tilsynsaktiviteter én gang årligt, da diverse kontrolrapporter og ISAE-erklæringer som udgangspunkt udarbejdes én gang årligt.

Afgørende punkter for hvordan der skal føres tilsyn:

Datatilsynet har udarbejdet en pointskala der fungerer således:

  • Under 1000 personer = 1 point
  • Mellem 1000-10.000 personer = 2 point
  • Over 10.000 personer = 3 point
  • Følsomme oplysninger = 3 point
  • Fortrolige oplysninger = 2 point
  • Indgribende behandlinger = 2 point

Hvis databehandlerens behandling af personoplysninger scorer:

  • 1-2 points kan der vælges mellem tilsynskoncept 1-6
  • 3-4 points kan der vælges mellem tilsynskoncept 2-6
  • 5-6 points kan der vælges mellem tilsynskoncept 3-6
  • 7-10 points kan der vælges mellem tilsynskoncept 5-6

Tilsynskoncepterne er beskrevet således:

KONCEPT 1: Ingen handling, medmindre vi bliver opmærksom på, at der er noget galt hos databehandleren

KONCEPT 2: Vi indhenter skriftlig bekræftelse, fra databehandler på, at alle krav i databehandleraftalen stadig efterleves

KONCEPT 3: Vi indhenter en skrifteligs status på forhold der er omfattet af databehandleraftalen

KONCEPT 4: Vi indhenter bevis for relevante certificeringer eller overholdelse af relevant adfærdskodeks

KONCEPT 5: Vi indhenter dokumentation på at en uafhængig tredjepart har ført et dokumenteret tilsyn med databehandleren

KONCEPT 6: Vi udfører selv et dokumenteret tilsyn med databehandlere

Bemærkninger til tilsynskoncepterne

Koncept 1

Ud over at føre tilsyn når der er noget galt hos databehandleren, f.eks. at der opstår brud på sikkerheden som databehandler, så ville jeg også anbefale at man udfører tilsyn hvis der sker markante ændringer i ledelsen eller hos de sikkerhedsansvarlige hos databehandleren. Tilsynet bør bestå i at indhente svar på kontrolskema.

Koncept 2

Denne metode har som udgangspunkt ingen kontrolværdi, da der stilles et overordnet spørgsmål og der ingen krav stilles til dokumentation af overholdelsen af kravene i databehandleraftalen. Som minimum vil vi anbefale at kontrollen består i at udsende kontrolskema til databehandler, som de skal besvare.

Koncept 3

Her anbefaler vi at der anvendes et kontrolskema som dækker over alle de forpligtelser der er iht databehandleraftalen. Du kan downloade et kontrolskema under indlægget.

Koncept 4

Nogle virksomheder har et ISO 27001 certifikat. ISO 27001 certifikatet relaterer sig dog udelukkende til it-sikkerhed og dækker ikke alle krav i databehandleraftalen. Her kan man, med fordel, i stedet indhente et ISO 27701 certifikat som omhandler implementering af et privacy information management system. Standarden indeholder alle krav fra ISO 27001 samt databeskyttelsesforordningens krav til behandling af personoplysninger.

Certificeringen er dog relativt ny og ikke særlig udbredt endnu. Vi vil derfor altid anbefale at der ved anvendelse af dette koncept i stedet indhentes dokumentation for at en uafhængig tredjepart har ført tilsyn med at databehandleren overholder kravene i databehandleraftalen. Såfremt du vil gennemføre et tilsyn ved at indhente ISO certifikater, så vær opmærksom på at certifikatet stadig er gældende, da de udløber hvis de ikke bliver fornyet jævnligt.

Koncept 5

Indhentelse af dokumentation for at en uafhængig tredjepart har ført tilsyn med databehandlerens overholdelse af kravene i databehandleraftalen, er altid den mest sikre måde at føre kontrol på. Det er ikke muligt for databehandleren at ”pynte” på sandheden og du er sikker på at den der fører kontrol, har erfaring med at føre tilsyn og evt. har nogle værktøjer der kan afsløre uhensigtsmæssigheder i databehandlerens sikkerhed. Det er dog vigtigt at huske at du altid bør forholde dig til de eventuelle anmærkninger som den uafhængige tredjepart har angivet i dokumentationen. Der kan være anmærkninger som ikke betyder noget for auditors overordnede konklusion, men som alligevel har stor betydning for dig, især hvis du selv er databehandler med forpligtelser overfor en dataansvarlig.

Derudover skal du forholde dig kritisk til hvilke kontrolaktiviteter/områder som den uafhængige tredjepart har undersøgt, da der kan være undladt områder som har væsentlig betydning for deres behandling af dine personoplysninger. Som eksempel kan nævnes at der i Foreningen for Statsautoriserede Revisorer og Datatilsynets udkast til en ISAE 3000 erklæring med sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale ikke er en kontrolaktivitet der omhandler implementeringen af en beredskabsplan eller fysisk sikring af serverrum, ud over adgangskontrol. Områder som begge er yderst relevante for bl.a. databehandlere der hoster it-miljøer.

Koncept 6

Vi vil aldrig anbefale at du selv foretager et tilsyn af databehandler medmindre du er uddannet it-revisor eller har indgående kendskab til hvilke handlinger der skal foretages for at opnå tilstrækkelig sikkerhed for at et givent udsagn fra databehandleren er korrekt. Det tager mange år at lære hvordan man udfører tilsyn med at sikkerhedsforanstaltninger til beskyttelse af personoplysninger er passende udformet, implementeret og fungerer effektivt. Hvis du alligevel har mod på det, så anbefaler jeg at anvende det føromtalte kontrolskema som rettesnor for dit tilsyn. Kontrolskemaet kan downloades nedenfor.

Afsluttende bemærkninger

Vi vil til enhver tid anbefale at tilsyn gennemføres af en uafhængig tredjepart der har erfaring med at føre disse tilsyn. Derfor anbefales det at databehandlere som falder ind under koncepterne 3-6, får udarbejdet en ekstern rapport på GDPR som kan udleveres til de dataansvarlige. Dette sparer en masse tid for både den dataansvarlige og databehandleren, især hvis rapporten er anmærkningsfri.

Den dataansvarlige undgår at skulle udarbejde et tilsynsskema, udsende det, rykke for besvarelse, vurdere svar og stille eventuelt opfølgende spørgsmål. Databehandleren undgår at skulle besvare kontrolskemaer/tilsynsskemaer fra potentielt mange forskellige dataansvarlige og sætte tid af til flere fysiske tilsyn, som i sig selv kan udgøre en sikkerhedsrisiko.

Hos Blanner Compliance har vi mulighed for at hjælpe med en GDPR-rapport til en fornuftig pris.

“KONTROLSKEMA TIL TILSYN MED DATABEANDLERE 1” – DOWNLOAD HER.

Relaterede artikler

GDPR definitioner

GDPR definitioner

feb 9, 2022 | | 0 Kommentarer

GDPR definitioner – Personoplysninger: Enhver oplysning om en identificeret eller identificerbar fysisk person, f.eks. navn, adresse, telefonnummer, billede, nummerplade, foto, IP-adresse eller lignende. Oplysninger om enkeltmandsfirmaer er også personoplysninger.

læs mere

0 kommentarer

Indsend en kommentar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

Mette Blanner

Mette Blanner

Ejer og stifter af Blanner Compliance

Med mange års erfaringen inden for compliance og GDPR, er der ikke dét spørgsmål, som Mette ikke er blevet stillet. I denne sektion finder du de seneste nyheder og opdateret viden inden for compliance og GDPR – alt sammen i øjemed Mettes viden inden for områderne.

Kategorier

Vil du vide mere om GDPR?

I vores FAQ sektion kan du blive klogere på, hvad GDPR egentlig er, og hvordan du skal forholde dig til det.

Læs mere

Disclaimer

Alle indlæg er skrevet udfra bedste fortolkning af lovgivningen på tidspunktet, hvor indlægget er publiceret. Ændringer i love, vejledninger, afgørelser mv. kan have betydning for fortolkningen fremadrettet, og vi anbefaler, derfor at du altid søger juridisk rådgivning for at opnå en sikkerhed for, at du overholder lovgivningen. Kontakt os gerne for at høre mere.

Vil du vide mere om GDPR?

I vores FAQ sektion kan du blive klogere på, hvad GDPR egentlig er, og hvordan du skal forholde dig til det.

Læs mere