Indhold

Hvordan kontrollerer du dine databehandlere?

Når din virksomhed som dataansvarlig benytter sig af databehandlere, skal parterne indgå en skriftlig databehandleraftale, som du efterfølgende registrerer i din GDPR-Portal. Hvordan uploader jeg en databehandleraftale?

Efter indgåelsen af databehandleraftalen skal du som dataansvarlig løbende påse behandlingen af personoplysninger hos databehandleren. Det bør fremgå af databehandleraftalen, hvordan og hvor ofte kontrollen skal foregå. Kontrollen skal sikre, at databehandleren efterlever indholdet i databehandleraftalen. Hvis der ikke foreligger en databehandleraftale, har du intet grundlag for at gennemføre den lovpligtige kontrol - så sørg for at have databehandleraftaler med alle dine databehandlere og at uploade dem til din GDPR-Portal.

Blandt større it-leverandører bliver det i stigende grad almindeligt at gøre revisorerklæringer eller certificeringer tilgængelige på hjemmesider. Det forenkler naturligvis din kontrol af databehandlere, når du nemt kan downloade dokumentation for, at databehandlerens behandling af personoplysninger er i overensstemmelse med databeskyttelsesforordningen.

I de fleste tilfælde vil du rent praktisk skulle begynde din skriftlige kontrol med at sende databehandleren en e-mail, hvori du efterspørger dokumentation for, at databehandlerens behandling af personoplysninger er i overensstemmelse med databeskyttelsesforordningen. Her er vores forslag til en tekst. Du bør samtidigt oprette en aktivitet i GDPR-Portalen som din dokumentation for at have kontaktet databehandleren. Det gør du på denne måde.

Når du modtager svar fra din databehandler, tjekker du at dokumentationen er i overensstemmelse med indholdet i jeres databehandleraftale og reglerne i databeskyttelsesforordningen. Du er naturligvis velkommen til at kontakte os, hvis du har spørgsmål. Når du har tjekket dokumentationen, gennemfører du kontrollen i GDPR-Portalen.

Dokumentationen fra din databehandler kan komme i form af en revisorerklæring fx en såkaldt ISAE 3000-erklæring eller SOC 2-rapport, hvor du som udgangspunkt kan nøjes med at gennemgå revisorens bemærkninger. Der er intet krav, om at databehandlere skal kunne præsentere en revisorerklæring. I nogle tilfælde fremsender databehandleren derfor sin egen erklæring om behandlingen af persondata, og i andre tilfælde er du henvist til at bede leverandøren besvare et spørgeskema tilpasset indholdet i databehandleraftalen. Du kan finde inspiration til spørgeskeamet under 'Skabeloner' i GDPR-Portalen.

Hvis du overfører persondata til en databehandler i USA, kan du føre kontrol med denne ved at tjekke om den amerikanske virksomhed er certificeret via Privacy Shield-ordningen. Når en virksomhed overholder Privacy Shield-principperne, sikres det at virksomheden giver tilstrækkelig beskyttelse af personlige oplysninger iht. EU’s databeskyttelsesforordning. Du kan søge på Privacy Shield-listen via https://www.privacyshield.gov/list

Skabelon til e-mail

Kære XXX

I er databehandler for os, og vi har derfor indgået en databehandleraftale dateret XXX

Ifølge GDPR-lovgivningen skal dataansvarlige føre kontrol med databehandlere.

Vi vil gerne udføre denne kontrol, og derfor skal vi høre om I får udarbejdet enten

  • en ISAE 3000-erklæring om persondata
  • en ISAE 3402-erklæring
  • eller en anden erklæring vedrørende it-sikkerhed eller persondata

Da dette jf. lovkrav vil være en årligt tilbagevendende kontrol, vil vi også gerne kunne føje en direkte mail-adresse på rette vedkommende/afdeling til sagsmappen. Så undgår vi alle et unødigt tidsspilde.

Hvis I ikke har en revisorerklæring eller egen erklæring, har vi mulighed for at tilsende jer et spørgeskema, som I så kan besvare.

Venlig hilsen

Adresser

Sverigesvej 10
DK-8700 Horsens

Meterbuen 9-13
DK-2740 Skovlunde

CVR

CVR-nr. 38582356

Telefon