Tilsyn af databehandlere

Af Sascha Hegner Specht

Datatilsynet har i Maj 2018 udsendt en vejledning om tilsyn med sine databehandlere. Den skærper i bund og grund blot ansvaret for at den dataansvarlige også sikrer at deres databehandlere overholder sikkerheden med persondata.
Det er altså den dataansvarliges opgave at kontrollere at databehandleren lever op til aftalen.

Men frygt ikke! Rigtig mange større virksomheder har som kutyme at få udarbejdet en revisorerklæring (Eks. ISAE 3402), der vurderer sikkerheden hos virksomheden og stille denne til rådighed for sine kunder (de dataansvarlige). Læs derfor databehandler-aftalen igennem, eller spørg til deres procedure for den slags inden du indgår aftalen.

Stil spørgsmål

Stil f.eks. din databehandler spørgsmål som:

  • Hvor mange medarbejdere har adgang til data, og hvordan undgår I misbrug af adgangen til data?
  • Hvordan sikrer I data mod hackerangreb?
  • Hvordan sikrer I, at data ikke går tabt fx ved en vandskade eller brand?
  • Hvad gør I løbende for at sikre jer, at I overholder gældende lovgivning, og hvordan dokumenterer I det over for jeres kunder?
    (Kilde: advodan.dk – link nederst)

Bemærk også at kravet til sikkerhedsniveauet hos din databehandler afhænger af hvilke personoplysninger der er tale om. Er det almindelige oplysninger (art. 6-oplysninger), så kan et skriftelig tilsyn af sikkerhedsniveauet derfor være tilstrækkeligt. Altså skriv en mail med ovenstående spørgsmål (vejledende) og bede dem om at besvare det… Simpelt!

Kilder og link