Indhold

Hvordan kontrollerer du dine databehandlere?

Når din virksomhed som dataansvarlig benytter sig af databehandlere, skal parterne indgå en skriftlig databehandleraftale, som du efterfølgende registrerer i din GDPR-Portal. Hvordan uploader jeg en databehandleraftale?

Efter indgåelsen af databehandleraftalen skal du som dataansvarlig løbende påse behandlingen af personoplysninger hos databehandleren. Det bør fremgå af databehandleraftalen, hvordan og hvor ofte kontrollen skal foregå. Kontrollen skal sikre, at databehandleren efterlever indholdet i databehandleraftalen. Hvis der ikke foreligger en databehandleraftale, har du intet grundlag for at gennemføre den lovpligtige kontrol - så sørg for at have databehandleraftaler med alle dine databehandlere og at uploade dem til din GDPR-Portal.

Blandt større it-leverandører bliver det i stigende grad almindeligt at gøre revisorerklæringer eller certificeringer tilgængelige på hjemmesider. Det forenkler naturligvis din kontrol af databehandlere, når du nemt kan downloade dokumentation for, at databehandlerens behandling af personoplysninger er i overensstemmelse med databeskyttelsesforordningen.

I de fleste tilfælde vil du rent praktisk skulle begynde din skriftlige kontrol med at sende databehandleren en e-mail, hvori du efterspørger dokumentation for, at databehandlerens behandling af personoplysninger er i overensstemmelse med databeskyttelsesforordningen. Her er vores forslag til en tekst. Du bør samtidigt oprette en aktivitet i GDPR-Portalen som din dokumentation for at have kontaktet databehandleren. Det gør du på denne måde.

Når du modtager svar fra din databehandler, tjekker du at dokumentationen er i overensstemmelse med indholdet i jeres databehandleraftale og reglerne i databeskyttelsesforordningen. Du er naturligvis velkommen til at kontakte os, hvis du har spørgsmål. Når du har tjekket dokumentationen, gennemfører du kontrollen i GDPR-Portalen.

Dokumentationen fra din databehandler kan komme i form af en revisorerklæring fx en såkaldt ISAE 3000-erklæring eller SOC 2-rapport, hvor du som udgangspunkt kan nøjes med at gennemgå revisorens bemærkninger. Der er intet krav, om at databehandlere skal kunne præsentere en revisorerklæring. I nogle tilfælde fremsender databehandleren derfor sin egen erklæring om behandlingen af persondata, og i andre tilfælde er du henvist til at bede leverandøren besvare et spørgeskema tilpasset indholdet i databehandleraftalen. Du kan finde inspiration til spørgeskeamet under 'Skabeloner' i GDPR-Portalen.

Du skal være særligt opmærksom, hvis du overfører persondata til en databehandler i USA. Tidligere har EU - U.S. Privacy Shield været en sikkerhed for, at personlige oplysninger, der blev overført, var tilstrækkeligt beskyttet. Sidenhen er denne ordning dog blevet ugyldiggjort, hvorfor der skal anvendes nye overførselsgrundlag for at opnå den tilstrækkelige beskyttelse.

Relevante overførselsgrundlag der kan anvendes:

  • EU-kommissionens standardkontraktbestemmelser også kaldet SCC’er vil være den primære kontraktlige garanti for sikkerheden, når der overføres data over Atlanten. Det skal dog som altid vurderes, hvorvidt dataimportøren i USA er i stand til at leve op til kravene i SCC’erne, og om beskyttelsesniveauet er tilstrækkeligt.
  • Transfer Impact Assessment, også kaldet en TIA, er en udvidet risikovurdering, der skal udarbejdes, når der sker overførsler til usikre tredjelande, herunder USA.
  • Overførsel kan også ske med hjemmel i en af de særlige undtagelser i forordningens art. 49, stk. 1.
    - samtykke
    - opfyldelse af kontrakt
    - nødvendighed af hensyn til samfundets interesser
    - nødvendighed for at retskrav kan fastlægges, gøres gældende eller forsvares
    - beskyttelse af den registreredes vitale interesser

Når du har sikret dig, at overførselsgrundlag er tilstrækkeligt, skal du på baggrund af dette indhente kontroldokumentation.

  • Her kan anvendes en SOC 2 revisorerklæring. Her skal du dog være opmærksom på, at denne kun garanterer IT-sikkerhed og ikke GDPR-compliance. Det vil altså sige, at du selv skal vurdere, hvorvidt erklæringen er GDPR compliant.
  • Andre erklæringer eller certificeringer kan også komme på tale, afhængigt af ydelsens art og omfang. Som dataansvarlig er det dit ansvar at vide, hvilke sikkerhedsforanstaltninger der er nødvendige for netop de oplysninger, du overfører.

Skabelon til e-mail

Kære XXX

I er databehandler for os, og vi har derfor indgået en databehandleraftale dateret XXX

Ifølge GDPR-lovgivningen skal dataansvarlige føre kontrol med databehandlere.

Vi vil gerne udføre denne kontrol, og derfor skal vi høre om I får udarbejdet enten

  • en ISAE 3000-erklæring om persondata
  • en ISAE 3402-erklæring
  • eller en anden erklæring vedrørende it-sikkerhed eller persondata

Da dette jf. lovkrav vil være en årligt tilbagevendende kontrol, vil vi også gerne kunne føje en direkte mail-adresse på rette vedkommende/afdeling til sagsmappen. Så undgår vi alle et unødigt tidsspilde.

Hvis I ikke har en revisorerklæring eller egen erklæring, har vi mulighed for at tilsende jer et spørgeskema, som I så kan besvare.

Venlig hilsen

Adresse

Uraniavej 6
DK-8700 Horsens

CVR

CVR-nr. 38582356