{"id":16248858,"date":"2022-02-10T15:58:59","date_gmt":"2022-02-10T15:58:59","guid":{"rendered":"http:\/\/staging.blannercompliance.dk\/?p=16248858"},"modified":"2025-09-24T21:33:45","modified_gmt":"2025-09-24T21:33:45","slug":"datatilsynets-saerlige-fokusomraader-i-2022-2-tilsyn-med-databehandlere","status":"publish","type":"post","link":"https:\/\/blannercompliance.dk\/index.php\/2022\/02\/10\/datatilsynets-saerlige-fokusomraader-i-2022-2-tilsyn-med-databehandlere\/","title":{"rendered":"Datatilsynets s\u00e6rlige fokusomr\u00e5der i 2022: #2 Tilsyn med databehandlere"},"content":{"rendered":"\n<div class=\"wp-block-rank-math-toc-block\" style=\"font-size:14px\" id=\"rank-math-toc\"><h2>Indholdsfortegnelse<\/h2><nav><ol><li><a href=\"#2-tilsyn-med-databehandlere\">#2 Tilsyn med databehandlere<\/a><ol><li><a href=\"#afgorende-punkter-for-hvordan-der-skal-fores-tilsyn\">Afg\u00f8rende punkter for hvordan der skal f\u00f8res tilsyn:<\/a><\/li><li><a href=\"#datatilsynet-har-udarbejdet-en-pointskala-der-fungerer-saledes\">Datatilsynet har udarbejdet en pointskala der fungerer s\u00e5ledes:<\/a><\/li><li><a href=\"#hvis-databehandlerens-behandling-af-personoplysninger-scorer\">Hvis databehandlerens behandling af personoplysninger scorer:<\/a><\/li><li><a href=\"#tilsynskoncepterne-er-beskrevet-saledes\">Tilsynskoncepterne er beskrevet s\u00e5ledes:<\/a><\/li><li><a href=\"#koncept-1\">Koncept 1<\/a><\/li><li><a href=\"#koncept-2\">Koncept 2<\/a><\/li><li><a href=\"#koncept-3\">Koncept 3<\/a><\/li><li><a href=\"#koncept-4\">Koncept 4<\/a><\/li><li><a href=\"#koncept-5\">Koncept 5<\/a><\/li><li><a href=\"#koncept-6\">Koncept 6<\/a><\/li><\/ol><\/li><li><a href=\"#afsluttende-bemaerkninger\">Afsluttende bem\u00e6rkninger<\/a><\/li><\/ol><\/nav><\/div>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"2-tilsyn-med-databehandlere\"><strong>#2 Tilsyn med databehandlere<\/strong><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Dette er indl\u00e6g nr. 2 i serien om Datatilsynets fokusomr\u00e5der for 2022.<\/em><\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">Den&nbsp;<a href=\"http:\/\/staging.blannercompliance.dk\/index.php\/2023\/06\/14\/gdpr-definitioner\/#dataansvarlig\" data-type=\"URL\" data-id=\"http:\/\/staging.blannercompliance.dk\/index.php\/2023\/06\/14\/gdpr-definitioner\/#dataansvarlig\">dataansvarlige<\/a>&nbsp;har pligt til at udf\u00f8re tilsyn med sine&nbsp;<a href=\"http:\/\/staging.blannercompliance.dk\/index.php\/2023\/06\/14\/gdpr-definitioner\/#databehandler\" data-type=\"URL\" data-id=\"http:\/\/staging.blannercompliance.dk\/index.php\/2023\/06\/14\/gdpr-definitioner\/#databehandler\">databehandlere<\/a>. Vi anbefaler at der udf\u00f8res tilsynsaktiviteter \u00e9n gang \u00e5rligt, da diverse kontrolrapporter og ISAE-erkl\u00e6ringer som udgangspunkt udarbejdes \u00e9n gang \u00e5rligt.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"afgorende-punkter-for-hvordan-der-skal-fores-tilsyn\">Afg\u00f8rende punkter for hvordan der skal f\u00f8res tilsyn:<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Hvor mange personer databehandleren behandler personoplysninger p\u00e5<\/li>\n\n\n\n<li>Om der behandles f\u00f8lsomme personoplysninger (se definition p\u00e5&nbsp;<a href=\"http:\/\/staging.blannercompliance.dk\/index.php\/2023\/06\/14\/gdpr-definitioner\/#folsommeoplysninger\">\u201df\u00f8lsomme oplysninger\u201d<\/a>.)<\/li>\n\n\n\n<li>Om der behandles fortrolige personoplysninger (se definition p\u00e5&nbsp;<a href=\"http:\/\/staging.blannercompliance.dk\/index.php\/2023\/06\/14\/gdpr-definitioner\/#fortroligeoplysninger\" data-type=\"URL\" data-id=\"http:\/\/staging.blannercompliance.dk\/index.php\/2023\/06\/14\/gdpr-definitioner\/#fortroligeoplysninger\">\u201dfortrolige oplysninger\u201d<\/a>.)<\/li>\n\n\n\n<li>Om behandlingen er indgribende p\u00e5 folks privatliv (se definitioner p\u00e5&nbsp;<a href=\"http:\/\/staging.blannercompliance.dk\/index.php\/2023\/06\/14\/gdpr-definitioner\/#indgribendebehandlinger\" data-type=\"URL\" data-id=\"http:\/\/staging.blannercompliance.dk\/index.php\/2023\/06\/14\/gdpr-definitioner\/#indgribendebehandlinger\">\u201dindgribende behandlinger\u201d<\/a>.)<\/li>\n<\/ul>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"datatilsynet-har-udarbejdet-en-pointskala-der-fungerer-saledes\">Datatilsynet har udarbejdet en pointskala der fungerer s\u00e5ledes:<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Under 1000 personer = 1 point<\/li>\n\n\n\n<li>Mellem 1000-10.000 personer = 2 point<\/li>\n\n\n\n<li>Over 10.000 personer = 3 point<\/li>\n\n\n\n<li>F\u00f8lsomme oplysninger = 3 point<\/li>\n\n\n\n<li>Fortrolige oplysninger = 2 point<\/li>\n\n\n\n<li>Indgribende behandlinger = 2 point<\/li>\n<\/ul>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"hvis-databehandlerens-behandling-af-personoplysninger-scorer\">Hvis databehandlerens behandling af personoplysninger scorer:<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>1-2 points kan der v\u00e6lges mellem tilsynskoncept 1-6<\/li>\n\n\n\n<li>3-4 points kan der v\u00e6lges mellem tilsynskoncept 2-6<\/li>\n\n\n\n<li>5-6 points kan der v\u00e6lges mellem tilsynskoncept 3-6<\/li>\n\n\n\n<li>7-10 points kan der v\u00e6lges mellem tilsynskoncept 5-6<\/li>\n<\/ul>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"tilsynskoncepterne-er-beskrevet-saledes\">Tilsynskoncepterne er beskrevet s\u00e5ledes:<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>KONCEPT 1:<\/strong> Ingen handling, medmindre vi bliver opm\u00e6rksom p\u00e5, at der er noget galt hos databehandleren<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>KONCEPT 2:<\/strong> Vi indhenter skriftlig bekr\u00e6ftelse, fra databehandler p\u00e5, at alle krav i databehandleraftalen stadig efterleves<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>KONCEPT 3:<\/strong> Vi indhenter en skrifteligs status p\u00e5 forhold der er omfattet af databehandleraftalen<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>KONCEPT 4:<\/strong> Vi indhenter bevis for relevante certificeringer eller overholdelse af relevant adf\u00e6rdskodeks<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>KONCEPT 5:<\/strong> Vi indhenter dokumentation p\u00e5 at en uafh\u00e6ngig tredjepart har f\u00f8rt et dokumenteret tilsyn med databehandleren<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>KONCEPT 6:<\/strong> Vi udf\u00f8rer selv et dokumenteret tilsyn med databehandlere<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"bemaerkninger-til-tilsynskoncepterne\">Bem\u00e6rkninger til tilsynskoncepterne<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"koncept-1\">Koncept 1<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Ud over at f\u00f8re tilsyn n\u00e5r der er noget galt hos databehandleren, f.eks. at der opst\u00e5r brud p\u00e5 sikkerheden som databehandler, s\u00e5 ville jeg ogs\u00e5 anbefale at man udf\u00f8rer tilsyn hvis der sker markante \u00e6ndringer i ledelsen eller hos de sikkerhedsansvarlige hos databehandleren. Tilsynet b\u00f8r best\u00e5 i at indhente svar p\u00e5 kontrolskema.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"koncept-2\">Koncept 2<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Denne metode har som udgangspunkt ingen kontrolv\u00e6rdi, da der stilles et overordnet sp\u00f8rgsm\u00e5l og der ingen krav stilles til dokumentation af overholdelsen af kravene i databehandleraftalen. Som minimum vil vi anbefale at kontrollen best\u00e5r i at udsende kontrolskema til databehandler, som de skal besvare.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"koncept-3\">Koncept 3<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Her anbefaler vi at der anvendes et kontrolskema som d\u00e6kker over alle de forpligtelser der er iht databehandleraftalen. Du kan downloade et kontrolskema under indl\u00e6gget.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"koncept-4\">Koncept 4<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Nogle virksomheder har et ISO 27001 certifikat. ISO 27001 certifikatet relaterer sig dog udelukkende til it-sikkerhed og d\u00e6kker ikke alle krav i databehandleraftalen. Her kan man, med fordel, i stedet indhente et ISO 27701 certifikat som omhandler implementering af et privacy information management system. Standarden indeholder alle krav fra ISO 27001 samt databeskyttelsesforordningens krav til behandling af personoplysninger. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Certificeringen er dog relativt ny og ikke s\u00e6rlig udbredt endnu. Vi vil derfor altid anbefale at der ved anvendelse af dette koncept i stedet indhentes dokumentation for at en uafh\u00e6ngig tredjepart har f\u00f8rt tilsyn med at databehandleren overholder kravene i databehandleraftalen. S\u00e5fremt du vil gennemf\u00f8re et tilsyn ved at indhente ISO certifikater, s\u00e5 v\u00e6r opm\u00e6rksom p\u00e5 at certifikatet stadig er g\u00e6ldende, da de udl\u00f8ber hvis de ikke bliver fornyet j\u00e6vnligt.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"koncept-5\">Koncept 5<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Indhentelse af dokumentation for at en uafh\u00e6ngig tredjepart har f\u00f8rt tilsyn med databehandlerens overholdelse af kravene i databehandleraftalen, er altid den mest sikre m\u00e5de at f\u00f8re kontrol p\u00e5. Det er ikke muligt for databehandleren at \u201dpynte\u201d p\u00e5 sandheden og du er sikker p\u00e5 at den der f\u00f8rer kontrol, har erfaring med at f\u00f8re tilsyn og evt. har nogle v\u00e6rkt\u00f8jer der kan afsl\u00f8re uhensigtsm\u00e6ssigheder i databehandlerens sikkerhed. Det er dog vigtigt at huske at du altid b\u00f8r forholde dig til de eventuelle anm\u00e6rkninger som den uafh\u00e6ngige tredjepart har angivet i dokumentationen. Der kan v\u00e6re anm\u00e6rkninger som ikke betyder noget for auditors overordnede konklusion, men som alligevel har stor betydning for dig, is\u00e6r hvis du selv er databehandler med forpligtelser overfor en dataansvarlig. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Derudover skal du forholde dig kritisk til hvilke kontrolaktiviteter\/omr\u00e5der som den uafh\u00e6ngige tredjepart har unders\u00f8gt, da der kan v\u00e6re undladt omr\u00e5der som har v\u00e6sentlig betydning for deres behandling af dine personoplysninger. Som eksempel kan n\u00e6vnes at der i Foreningen for Statsautoriserede Revisorer og Datatilsynets udkast til en ISAE 3000 erkl\u00e6ring med sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale ikke er en kontrolaktivitet der omhandler implementeringen af en beredskabsplan eller fysisk sikring af serverrum, ud over adgangskontrol. Omr\u00e5der som begge er yderst relevante for bl.a. databehandlere der hoster it-milj\u00f8er.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"koncept-6\">Koncept 6<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Vi vil aldrig anbefale at du selv foretager et tilsyn af databehandler medmindre du er uddannet it-revisor eller har indg\u00e5ende kendskab til hvilke handlinger der skal foretages for at opn\u00e5 tilstr\u00e6kkelig sikkerhed for at et givent udsagn fra databehandleren er korrekt. Det tager mange \u00e5r at l\u00e6re hvordan man udf\u00f8rer tilsyn med at sikkerhedsforanstaltninger til beskyttelse af personoplysninger er passende udformet, implementeret og fungerer effektivt. Hvis du alligevel har mod p\u00e5 det, s\u00e5 anbefaler jeg at anvende det f\u00f8romtalte kontrolskema som rettesnor for dit tilsyn. Kontrolskemaet kan downloades nedenfor.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"afsluttende-bemaerkninger\">Afsluttende bem\u00e6rkninger<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Vi vil til enhver tid anbefale at tilsyn gennemf\u00f8res af en uafh\u00e6ngig tredjepart der har erfaring med at f\u00f8re disse tilsyn. Derfor anbefales det at databehandlere som falder ind under koncepterne 3-6, f\u00e5r udarbejdet en ekstern rapport p\u00e5 GDPR som kan udleveres til de dataansvarlige. Dette sparer en masse tid for b\u00e5de den dataansvarlige og databehandleren, is\u00e6r hvis rapporten er anm\u00e6rkningsfri. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Den dataansvarlige undg\u00e5r at skulle udarbejde et tilsynsskema, udsende det, rykke for besvarelse, vurdere svar og stille eventuelt opf\u00f8lgende sp\u00f8rgsm\u00e5l. Databehandleren undg\u00e5r at skulle besvare kontrolskemaer\/tilsynsskemaer fra potentielt mange forskellige dataansvarlige og s\u00e6tte tid af til flere fysiske tilsyn, som i sig selv kan udg\u00f8re en sikkerhedsrisiko.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">Hos Blanner Compliance har vi mulighed for at hj\u00e6lpe med en GDPR-rapport til en fornuftig pris.<\/p>\n\n\n\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<div class=\"wp-block-file\"><a id=\"wp-block-file--media-6e31e1b0-fa1f-4ecc-b009-e517cd0e5281\" href=\"http:\/\/staging.blannercompliance.dk\/wp-content\/uploads\/2023\/06\/Kontrolskema-til-tilsyn-med-databehandlere-1.docx\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>&#8220;KONTROLSKEMA TIL TILSYN MED DATABEANDLERE 1&#8221; &#8211; DOWNLOAD HER.<\/strong><\/a><\/div>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Den\u00a0dataansvarlige\u00a0har pligt til at udf\u00f8re tilsyn med sine\u00a0databehandlere. Vi anbefaler at der udf\u00f8res tilsynsaktiviteter \u00e9n gang \u00e5rligt, da diverse kontrolrapporter og ISAE-erkl\u00e6ringer som udgangspunkt udarbejdes \u00e9n gang \u00e5rligt.<\/p>\n","protected":false},"author":1,"featured_media":16249446,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"off","_et_pb_old_content":"<!-- wp:rank-math\/toc-block {\"headings\":[{\"key\":\"c671be98-165a-42e6-94ea-3ab97090d45a\",\"content\":\"#2 Tilsyn med databehandlere\",\"level\":2,\"link\":\"#2-tilsyn-med-databehandlere\",\"disable\":false,\"isUpdated\":false,\"isGeneratedLink\":true},{\"key\":\"7fcc858c-3e64-4124-89a0-a2dc1ed99936\",\"content\":\"Afg\u00f8rende punkter for hvordan der skal f\u00f8res tilsyn:\",\"level\":4,\"link\":\"#afgorende-punkter-for-hvordan-der-skal-fores-tilsyn\",\"disable\":false,\"isUpdated\":false,\"isGeneratedLink\":true},{\"key\":\"cee4b369-debb-478f-ba55-b30c0ff95f3f\",\"content\":\"Datatilsynet har udarbejdet en pointskala der fungerer s\u00e5ledes:\",\"level\":4,\"link\":\"#datatilsynet-har-udarbejdet-en-pointskala-der-fungerer-saledes\",\"disable\":false,\"isUpdated\":false,\"isGeneratedLink\":true},{\"key\":\"35262649-e4b0-4d33-b021-1ade9379a501\",\"content\":\"Hvis databehandlerens behandling af personoplysninger scorer:\",\"level\":4,\"link\":\"#hvis-databehandlerens-behandling-af-personoplysninger-scorer\",\"disable\":false,\"isUpdated\":false,\"isGeneratedLink\":true},{\"key\":\"5768ad74-5464-4352-94eb-717368505f1a\",\"content\":\"Tilsynskoncepterne er beskrevet s\u00e5ledes:\",\"level\":4,\"link\":\"#tilsynskoncepterne-er-beskrevet-saledes\",\"disable\":false,\"isUpdated\":false,\"isGeneratedLink\":true},{\"key\":\"5c3df7ec-0886-4f46-9c06-5fe505038d74\",\"content\":\"Bem\u00e6rkninger til tilsynskoncepterne\",\"level\":3,\"link\":\"#bemaerkninger-til-tilsynskoncepterne\",\"disable\":false,\"isUpdated\":false,\"isGeneratedLink\":true},{\"key\":\"116dece4-25e0-4ac7-b0a2-0e0264e3aa25\",\"content\":\"Koncept 1\",\"level\":4,\"link\":\"#koncept-1\",\"disable\":false,\"isUpdated\":false,\"isGeneratedLink\":true},{\"key\":\"d7d26818-2dde-4899-8697-cdc6c0504083\",\"content\":\"Koncept 2\",\"level\":4,\"link\":\"#koncept-2\",\"disable\":false,\"isUpdated\":false,\"isGeneratedLink\":true},{\"key\":\"4381100c-96ec-4e3b-9f89-abcf3de97f8a\",\"content\":\"Koncept 3\",\"level\":4,\"link\":\"#koncept-3\",\"disable\":false,\"isUpdated\":false,\"isGeneratedLink\":true},{\"key\":\"c551d3fd-e3f9-4fa6-ada9-ded49a34204f\",\"content\":\"Koncept 4\",\"level\":4,\"link\":\"#koncept-4\",\"disable\":false,\"isUpdated\":false,\"isGeneratedLink\":true},{\"key\":\"661a2d40-2b1e-43aa-b382-b996f031d20d\",\"content\":\"Koncept 5\",\"level\":4,\"link\":\"#koncept-5\",\"disable\":false,\"isUpdated\":false,\"isGeneratedLink\":true},{\"key\":\"6bf70083-40d9-4891-a6b1-e793bec41a39\",\"content\":\"Koncept 6\",\"level\":4,\"link\":\"#koncept-6\",\"disable\":false,\"isUpdated\":false,\"isGeneratedLink\":true},{\"key\":\"57996f83-790f-4599-aa33-04537d744e94\",\"content\":\"Afsluttende bem\u00e6rkninger\",\"level\":2,\"link\":\"#afsluttende-bemaerkninger\",\"disable\":false,\"isUpdated\":false,\"isGeneratedLink\":true}],\"listStyle\":\"ol\",\"style\":{\"typography\":{\"fontSize\":\"14px\"}}} -->\n<div class=\"wp-block-rank-math-toc-block\" style=\"font-size:14px\" id=\"rank-math-toc\"><nav><ol><li class=\"\"><a href=\"#2-tilsyn-med-databehandlere\">#2 Tilsyn med databehandlere<\/a><ol><li class=\"\"><a href=\"#afgorende-punkter-for-hvordan-der-skal-fores-tilsyn\">Afg\u00f8rende punkter for hvordan der skal f\u00f8res tilsyn:<\/a><\/li><li class=\"\"><a href=\"#datatilsynet-har-udarbejdet-en-pointskala-der-fungerer-saledes\">Datatilsynet har udarbejdet en pointskala der fungerer s\u00e5ledes:<\/a><\/li><li class=\"\"><a href=\"#hvis-databehandlerens-behandling-af-personoplysninger-scorer\">Hvis databehandlerens behandling af personoplysninger scorer:<\/a><\/li><li class=\"\"><a href=\"#tilsynskoncepterne-er-beskrevet-saledes\">Tilsynskoncepterne er beskrevet s\u00e5ledes:<\/a><\/li><li class=\"\"><a href=\"#koncept-1\">Koncept 1<\/a><\/li><li class=\"\"><a href=\"#koncept-2\">Koncept 2<\/a><\/li><li class=\"\"><a href=\"#koncept-3\">Koncept 3<\/a><\/li><li class=\"\"><a href=\"#koncept-4\">Koncept 4<\/a><\/li><li class=\"\"><a href=\"#koncept-5\">Koncept 5<\/a><\/li><li class=\"\"><a href=\"#koncept-6\">Koncept 6<\/a><\/li><\/ol><\/li><li class=\"\"><a href=\"#afsluttende-bemaerkninger\">Afsluttende bem\u00e6rkninger<\/a><\/li><\/ol><\/nav><\/div>\n<!-- \/wp:rank-math\/toc-block -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:heading -->\n<h2 class=\"wp-block-heading\" id=\"2-tilsyn-med-databehandlere\"><strong>#2 Tilsyn med databehandlere<\/strong><\/h2>\n<!-- \/wp:heading -->\n\n<!-- wp:paragraph -->\n<p><em>Dette er indl\u00e6g nr. 2 i serien om Datatilsynets fokusomr\u00e5der for 2022.<\/em><\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:paragraph -->\n<p>Den\u00a0<a href=\"http:\/\/staging.blannercompliance.dk\/index.php\/2023\/06\/14\/gdpr-definitioner\/#dataansvarlig\" data-type=\"URL\" data-id=\"http:\/\/staging.blannercompliance.dk\/index.php\/2023\/06\/14\/gdpr-definitioner\/#dataansvarlig\">dataansvarlige<\/a>\u00a0har pligt til at udf\u00f8re tilsyn med sine\u00a0<a href=\"https:\/\/blannercompliance.dk\/blog\/2022\/GDPR%20definitioner.php#databehandler\">databehandlere<\/a>. Vi anbefaler at der udf\u00f8res tilsynsaktiviteter \u00e9n gang \u00e5rligt, da diverse kontrolrapporter og ISAE-erkl\u00e6ringer som udgangspunkt udarbejdes \u00e9n gang \u00e5rligt.<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:heading {\"level\":4} -->\n<h4 class=\"wp-block-heading\" id=\"afgorende-punkter-for-hvordan-der-skal-fores-tilsyn\">Afg\u00f8rende punkter for hvordan der skal f\u00f8res tilsyn:<\/h4>\n<!-- \/wp:heading -->\n\n<!-- wp:list -->\n<ul><!-- wp:list-item -->\n<li>Hvor mange personer databehandleren behandler personoplysninger p\u00e5<\/li>\n<!-- \/wp:list-item -->\n\n<!-- wp:list-item -->\n<li>Om der behandles f\u00f8lsomme personoplysninger (se definition p\u00e5&nbsp;<a href=\"https:\/\/blannercompliance.dk\/blog\/2022\/GDPR%20definitioner.php#folsommeoplysninger\">\u201df\u00f8lsomme oplysninger\u201d<\/a>.)<\/li>\n<!-- \/wp:list-item -->\n\n<!-- wp:list-item -->\n<li>Om der behandles fortrolige personoplysninger (se definition p\u00e5&nbsp;<a href=\"https:\/\/blannercompliance.dk\/blog\/2022\/GDPR%20definitioner.php#personoplysninger\">\u201dfortrolige oplysninger\u201d<\/a>.)<\/li>\n<!-- \/wp:list-item -->\n\n<!-- wp:list-item -->\n<li>Om behandlingen er indgribende p\u00e5 folks privatliv (se definitioner p\u00e5&nbsp;<a href=\"https:\/\/blannercompliance.dk\/blog\/2022\/GDPR%20definitioner.php#indgribendebehandlinger\">\u201dindgribende behandlinger\u201d<\/a>.)<\/li>\n<!-- \/wp:list-item --><\/ul>\n<!-- \/wp:list -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:heading {\"level\":4} -->\n<h4 class=\"wp-block-heading\" id=\"datatilsynet-har-udarbejdet-en-pointskala-der-fungerer-saledes\">Datatilsynet har udarbejdet en pointskala der fungerer s\u00e5ledes:<\/h4>\n<!-- \/wp:heading -->\n\n<!-- wp:list -->\n<ul><!-- wp:list-item -->\n<li>Under 1000 personer = 1 point<\/li>\n<!-- \/wp:list-item -->\n\n<!-- wp:list-item -->\n<li>Mellem 1000-10.000 personer = 2 point<\/li>\n<!-- \/wp:list-item -->\n\n<!-- wp:list-item -->\n<li>Over 10.000 personer = 3 point<\/li>\n<!-- \/wp:list-item -->\n\n<!-- wp:list-item -->\n<li>F\u00f8lsomme oplysninger = 3 point<\/li>\n<!-- \/wp:list-item -->\n\n<!-- wp:list-item -->\n<li>Fortrolige oplysninger = 2 point<\/li>\n<!-- \/wp:list-item -->\n\n<!-- wp:list-item -->\n<li>Indgribende behandlinger = 2 point<\/li>\n<!-- \/wp:list-item --><\/ul>\n<!-- \/wp:list -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:heading {\"level\":4} -->\n<h4 class=\"wp-block-heading\" id=\"hvis-databehandlerens-behandling-af-personoplysninger-scorer\">Hvis databehandlerens behandling af personoplysninger scorer:<\/h4>\n<!-- \/wp:heading -->\n\n<!-- wp:list -->\n<ul><!-- wp:list-item -->\n<li>1-2 points kan der v\u00e6lges mellem tilsynskoncept 1-6<\/li>\n<!-- \/wp:list-item -->\n\n<!-- wp:list-item -->\n<li>3-4 points kan der v\u00e6lges mellem tilsynskoncept 2-6<\/li>\n<!-- \/wp:list-item -->\n\n<!-- wp:list-item -->\n<li>5-6 points kan der v\u00e6lges mellem tilsynskoncept 3-6<\/li>\n<!-- \/wp:list-item -->\n\n<!-- wp:list-item -->\n<li>7-10 points kan der v\u00e6lges mellem tilsynskoncept 5-6<\/li>\n<!-- \/wp:list-item --><\/ul>\n<!-- \/wp:list -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:heading {\"level\":4} -->\n<h4 class=\"wp-block-heading\" id=\"tilsynskoncepterne-er-beskrevet-saledes\">Tilsynskoncepterne er beskrevet s\u00e5ledes:<\/h4>\n<!-- \/wp:heading -->\n\n<!-- wp:paragraph -->\n<p><strong>KONCEPT 1:<\/strong> Ingen handling, medmindre vi bliver opm\u00e6rksom p\u00e5, at der er noget galt hos databehandleren<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:paragraph -->\n<p><strong>KONCEPT 2:<\/strong> Vi indhenter skriftlig bekr\u00e6ftelse, fra databehandler p\u00e5, at alle krav i databehandleraftalen stadig efterleves<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:paragraph -->\n<p><strong>KONCEPT 3:<\/strong> Vi indhenter en skrifteligs status p\u00e5 forhold der er omfattet af databehandleraftalen<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:paragraph -->\n<p><strong>KONCEPT 4:<\/strong> Vi indhenter bevis for relevante certificeringer eller overholdelse af relevant adf\u00e6rdskodeks<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:paragraph -->\n<p><strong>KONCEPT 5:<\/strong> Vi indhenter dokumentation p\u00e5 at en uafh\u00e6ngig tredjepart har f\u00f8rt et dokumenteret tilsyn med databehandleren<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:paragraph -->\n<p><strong>KONCEPT 6:<\/strong> Vi udf\u00f8rer selv et dokumenteret tilsyn med databehandlere<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:heading {\"level\":3} -->\n<h3 class=\"wp-block-heading\" id=\"bemaerkninger-til-tilsynskoncepterne\">Bem\u00e6rkninger til tilsynskoncepterne<\/h3>\n<!-- \/wp:heading -->\n\n<!-- wp:heading {\"level\":4} -->\n<h4 class=\"wp-block-heading\" id=\"koncept-1\">Koncept 1<\/h4>\n<!-- \/wp:heading -->\n\n<!-- wp:paragraph -->\n<p>Ud over at f\u00f8re tilsyn n\u00e5r der er noget galt hos databehandleren, f.eks. at der opst\u00e5r brud p\u00e5 sikkerheden som databehandler, s\u00e5 ville jeg ogs\u00e5 anbefale at man udf\u00f8rer tilsyn hvis der sker markante \u00e6ndringer i ledelsen eller hos de sikkerhedsansvarlige hos databehandleren. Tilsynet b\u00f8r best\u00e5 i at indhente svar p\u00e5 kontrolskema.<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:heading {\"level\":4} -->\n<h4 class=\"wp-block-heading\" id=\"koncept-2\">Koncept 2<\/h4>\n<!-- \/wp:heading -->\n\n<!-- wp:paragraph -->\n<p>Denne metode har som udgangspunkt ingen kontrolv\u00e6rdi, da der stilles et overordnet sp\u00f8rgsm\u00e5l og der ingen krav stilles til dokumentation af overholdelsen af kravene i databehandleraftalen. Som minimum vil vi anbefale at kontrollen best\u00e5r i at udsende kontrolskema til databehandler, som de skal besvare.<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:heading {\"level\":4} -->\n<h4 class=\"wp-block-heading\" id=\"koncept-3\">Koncept 3<\/h4>\n<!-- \/wp:heading -->\n\n<!-- wp:paragraph -->\n<p>Her anbefaler vi at der anvendes et kontrolskema som d\u00e6kker over alle de forpligtelser der er iht databehandleraftalen. Du kan downloade et kontrolskema under indl\u00e6gget.<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:heading {\"level\":4} -->\n<h4 class=\"wp-block-heading\" id=\"koncept-4\">Koncept 4<\/h4>\n<!-- \/wp:heading -->\n\n<!-- wp:paragraph -->\n<p>Nogle virksomheder har et ISO 27001 certifikat. ISO 27001 certifikatet relaterer sig dog udelukkende til it-sikkerhed og d\u00e6kker ikke alle krav i databehandleraftalen. Her kan man, med fordel, i stedet indhente et ISO 27701 certifikat som omhandler implementering af et privacy information management system. Standarden indeholder alle krav fra ISO 27001 samt databeskyttelsesforordningens krav til behandling af personoplysninger. Certificeringen er dog relativt ny og ikke s\u00e6rlig udbredt endnu. Vi vil derfor altid anbefale at der ved anvendelse af dette koncept i stedet indhentes dokumentation for at en uafh\u00e6ngig tredjepart har f\u00f8rt tilsyn med at databehandleren overholder kravene i databehandleraftalen. S\u00e5fremt du vil gennemf\u00f8re et tilsyn ved at indhente ISO certifikater, s\u00e5 v\u00e6r opm\u00e6rksom p\u00e5 at certifikatet stadig er g\u00e6ldende, da de udl\u00f8ber hvis de ikke bliver fornyet j\u00e6vnligt.<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:heading {\"level\":4} -->\n<h4 class=\"wp-block-heading\" id=\"koncept-5\">Koncept 5<\/h4>\n<!-- \/wp:heading -->\n\n<!-- wp:paragraph -->\n<p>Indhentelse af dokumentation for at en uafh\u00e6ngig tredjepart har f\u00f8rt tilsyn med databehandlerens overholdelse af kravene i databehandleraftalen, er altid den mest sikre m\u00e5de at f\u00f8re kontrol p\u00e5. Det er ikke muligt for databehandleren at \u201dpynte\u201d p\u00e5 sandheden og du er sikker p\u00e5 at den der f\u00f8rer kontrol, har erfaring med at f\u00f8re tilsyn og evt. har nogle v\u00e6rkt\u00f8jer der kan afsl\u00f8re uhensigtsm\u00e6ssigheder i databehandlerens sikkerhed. Det er dog vigtigt at huske at du altid b\u00f8r forholde dig til de eventuelle anm\u00e6rkninger som den uafh\u00e6ngige tredjepart har angivet i dokumentationen. Der kan v\u00e6re anm\u00e6rkninger som ikke betyder noget for auditors overordnede konklusion, men som alligevel har stor betydning for dig, is\u00e6r hvis du selv er databehandler med forpligtelser overfor en dataansvarlig. Derudover skal du forholde dig kritisk til hvilke kontrolaktiviteter\/omr\u00e5der som den uafh\u00e6ngige tredjepart har unders\u00f8gt, da der kan v\u00e6re undladt omr\u00e5der som har v\u00e6sentlig betydning for deres behandling af dine personoplysninger. Som eksempel kan n\u00e6vnes at der i Foreningen for Statsautoriserede Revisorer og Datatilsynets udkast til en ISAE 3000 erkl\u00e6ring med sikkerhed om informationssikkerhed og foranstaltninger i henhold til databehandleraftale ikke er en kontrolaktivitet der omhandler implementeringen af en beredskabsplan eller fysisk sikring af serverrum, ud over adgangskontrol. Omr\u00e5der som begge er yderst relevante for bl.a. databehandlere der hoster it-milj\u00f8er.<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:heading {\"level\":4} -->\n<h4 class=\"wp-block-heading\" id=\"koncept-6\">Koncept 6<\/h4>\n<!-- \/wp:heading -->\n\n<!-- wp:paragraph -->\n<p>Vi vil aldrig anbefale at du selv foretager et tilsyn af databehandler medmindre du er uddannet it-revisor eller har indg\u00e5ende kendskab til hvilke handlinger der skal foretages for at opn\u00e5 tilstr\u00e6kkelig sikkerhed for at et givent udsagn fra databehandleren er korrekt. Det tager mange \u00e5r at l\u00e6re hvordan man udf\u00f8rer tilsyn med at sikkerhedsforanstaltninger til beskyttelse af personoplysninger er passende udformet, implementeret og fungerer effektivt. Hvis du alligevel har mod p\u00e5 det, s\u00e5 anbefaler jeg at anvende det f\u00f8romtalte kontrolskema som rettesnor for dit tilsyn. Kontrolskemaet kan downloades nedenfor.<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:heading -->\n<h2 class=\"wp-block-heading\" id=\"afsluttende-bemaerkninger\">Afsluttende bem\u00e6rkninger<\/h2>\n<!-- \/wp:heading -->\n\n<!-- wp:paragraph -->\n<p>Vi vil til enhver tid anbefale at tilsyn gennemf\u00f8res af en uafh\u00e6ngig tredjepart der har erfaring med at f\u00f8re disse tilsyn. Derfor anbefales det at databehandlere som falder ind under koncepterne 3-6, f\u00e5r udarbejdet en ekstern rapport p\u00e5 GDPR som kan udleveres til de dataansvarlige. Dette sparer en masse tid for b\u00e5de den dataansvarlige og databehandleren, is\u00e6r hvis rapporten er anm\u00e6rkningsfri. Den dataansvarlige undg\u00e5r at skulle udarbejde et tilsynsskema, udsende det, rykke for besvarelse, vurdere svar og stille eventuelt opf\u00f8lgende sp\u00f8rgsm\u00e5l. Databehandleren undg\u00e5r at skulle besvare kontrolskemaer\/tilsynsskemaer fra potentielt mange forskellige dataansvarlige og s\u00e6tte tid af til flere fysiske tilsyn, som i sig selv kan udg\u00f8re en sikkerhedsrisiko.<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:paragraph -->\n<p>Hos Blanner Compliance har vi mulighed for at hj\u00e6lpe med en GDPR-rapport til en fornuftig pris.<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:spacer {\"height\":\"30px\"} -->\n<div style=\"height:30px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->\n\n<!-- wp:file {\"id\":16248859,\"href\":\"http:\/\/staging.blannercompliance.dk\/wp-content\/uploads\/2023\/06\/Kontrolskema-til-tilsyn-med-databehandlere-1.docx\",\"showDownloadButton\":false} -->\n<div class=\"wp-block-file\"><a id=\"wp-block-file--media-6e31e1b0-fa1f-4ecc-b009-e517cd0e5281\" href=\"http:\/\/staging.blannercompliance.dk\/wp-content\/uploads\/2023\/06\/Kontrolskema-til-tilsyn-med-databehandlere-1.docx\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>\"KONTROLSKEMA TIL TILSYN MED DATABEANDLERE 1\" - DOWNLOAD HER.<\/strong><\/a><\/div>\n<!-- \/wp:file -->\n\n<!-- wp:spacer {\"height\":\"20px\"} -->\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n<!-- \/wp:spacer -->","_et_gb_content_width":"","footnotes":""},"categories":[22],"tags":[],"dipi_cpt_category":[],"class_list":["post-16248858","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datatilsyn"],"_links":{"self":[{"href":"https:\/\/blannercompliance.dk\/index.php\/wp-json\/wp\/v2\/posts\/16248858","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blannercompliance.dk\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blannercompliance.dk\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blannercompliance.dk\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blannercompliance.dk\/index.php\/wp-json\/wp\/v2\/comments?post=16248858"}],"version-history":[{"count":22,"href":"https:\/\/blannercompliance.dk\/index.php\/wp-json\/wp\/v2\/posts\/16248858\/revisions"}],"predecessor-version":[{"id":16249445,"href":"https:\/\/blannercompliance.dk\/index.php\/wp-json\/wp\/v2\/posts\/16248858\/revisions\/16249445"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blannercompliance.dk\/index.php\/wp-json\/wp\/v2\/media\/16249446"}],"wp:attachment":[{"href":"https:\/\/blannercompliance.dk\/index.php\/wp-json\/wp\/v2\/media?parent=16248858"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blannercompliance.dk\/index.php\/wp-json\/wp\/v2\/categories?post=16248858"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blannercompliance.dk\/index.php\/wp-json\/wp\/v2\/tags?post=16248858"},{"taxonomy":"dipi_cpt_category","embeddable":true,"href":"https:\/\/blannercompliance.dk\/index.php\/wp-json\/wp\/v2\/dipi_cpt_category?post=16248858"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}