Tilsyn med databehandlere

Når man som privat virksomhed, offentlig myndighed eller institution behandler personoplysninger, har man – som dataansvarlig – et ansvar for, at behandlingen sker på en forsvarlig måde. Behandling af personoplysninger skal bl.a. ske på et lovligt grundlag, der skal være etableret passende sikkerhed, og man skal være i stand til at sikre overholdelsen af de registreredes rettigheder.

I mange tilfælde har man som dataansvarlig behov for at overlade personoplysninger til eksterne leverandører – såkaldte databehandlere. Eksempler på databehandlere er SaaS-løsninger, MS365, regnskabssystemer, CRM-systemer, lønsystemer m.v., men kan også gøre sig gældende for mere specifikke leverancer, f.eks. visse typer support- og konsulentydelser.

Man kan ikke udlicitere ansvaret

Behandlingen skal reguleres af en databehandleraftale med en detaljeret instruks til databehandleren, som bl.a. indeholder de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger. Man kan udlicitere opgaven, men ikke ansvaret, og man er derfor ansvarlig for, at databehandleren – på samme måde som en selv – behandler oplysningerne forsvarligt. Det betyder bl.a., at, man skal sikre sig, at aftalen overholdes, og det gøres ved at føre tilsyn med databehandleren.

Tilsynsform og frekvens

Tilsynsformen og frekvensen af tilsyn baseres på en konkret risikovurdering af databehandlingen og kan bestå i f.eks. fysisk besøg eller skriftligt tilsyn. Et skriftligt tilsyn kan foretages på flere måder, fx:

Databehandleren har udført dokumenterbare egenkontroller eller udarbejdet ledelseserklæring.

Databehandleren besvarer et kontrolskema/spørgeskema, som modtages fra den dataansvarlige.

Databehandleren har en relevant og opdateret certificering eller et adfærdskodeks.

Ved gennemgang af udarbejdet revisionserklæring (ISAE 3000 eller SOC 2).

Som udgangspunkt bør tilsyn foretages minimum en gang årligt, men konkrete omstændigheder kan bevirke, at dette udgangspunkt kan fraviges i både op- og nedadgående retning.

Gennemførelse af tilsyn

Tilsyn er ofte en omfattende og tidskrævende opgave, som består i indhentning af tilsynsmateriale, gennemgang af databehandleraftalen og modtaget dokumentation samt stillingtagen til og håndtering af eventuelle observationer. Tilsynet bør udmøntes i en tilsynsrapport, som dokumenterer det udførte tilsyn og som danner grundlag for det videre arbejde med den pågældende databehandling.

BDO kan føre tilsynet for jer

BDO udarbejder rapporter med en stillingtagen til, om den indgåede databehandleraftale er fyldestgørende og en gennemgang af den modtagne dokumentation, som ligger til grund for tilsynet. Hver enkelt databehandler kategoriseres efter en forud fastsat skala baseret på den samlede vurdering af den foretagne databehandling. Konstaterede udeståender/forhold til udbedring ledsages af konkrete anbefalinger. Rapporten er baseret på BDO’s forståelse af tilsynsopgaven og er baseret på de aktuelle erfaringer inden for databehandlerkonstruktioner, krav til databehandleraftaler og relevante revisionserklæringer og certificeringer.

Med BDO Persondata får I: