Baggrund og Problem
I følge Databeskyttelsesforordningens artikel 24 stk. 1 skal dataansvarlige kunne påvise, at deres behandling af persondata er i overensstemmelse med forordningen. Dette gælder også behandlinger, der er lagt ud til en databehandler, med hvem den dataansvarlige er forpligtet til at føre kontrol.
Hverken forordningen eller de eksisterende vejledninger fra Datatilsynet indeholder retningslinjer for denne kontrol eller omfanget af dokumentationskrav i forhold til reglernes overholdelse. Det er derfor op til den enkelte dataansvarlige at fastlægge retningslinjer for dette.
Det skaber en generel udfordring for de dataansvarlige, men særligt i forbindelse med brug af databehandlere, hvor behandlingen foretages af tredjemand, men stadig under de dataansvarliges fulde ansvar.
Udfordringen rammer imidlertid også databehandlerne.
Databehandlere, der agerer på vegne af mange dataansvarlige, f.eks. leverandører af IT-løsninger el. datacentraler, bliver udsat for mange forskellige krav til kontrol, herunder både i form af fysiske kontrolbesøg, spørgeskemaer m.m.
Det gælder både for dataansvarlige og databehandlere, at køb af tredjepartserklæringer fra revisor eller advokat, vil være en urimelig omkostningstung løsning for mange virksomheder. Selv for simple erklæringer vil prisen ligge mellem 75.-100.000 kr. pr. erklæring. Hertil kommer virksomhedens interne ressourcer, der bruges til forberedelse af revision. Det er endvidere uklart, hvorvidt en erklæring vil udgøre en tilstrækkelig kontrol.
Samtidig skaber det problemer, i de tilfælde hvor databehandleren er en stor global virksomhed. Her kan den dataansvarlige have vanskeligt ved indledningsvist at stille specifikke krav til databehandleren, samt efterfølgende reelt at kontrollere databehandlingen.
Anbefaling
Anbefaling
Regelforum anbefaler, at Datatilsynet udarbejder vejledninger eller tjeklister for kontrol af databehandlere. Anbefalingerne bør udarbejdes med inddragelse af relevante interessenter og med eksempler i forhold til specifikke databehandlingssituationer.
Regelforum anbefaler, at tjeklister og/eller vejledninger tilpasses efter virksomhedens størrelse og kompleksitet i databehandlingen i tråd med forordningens risikobaserede tilgang.
Potentiale
Denne problemstilling vurderes at ramme bredt over brancher, men rammer særligt SMV’er med begrænsede (personale og økonomiske) ressourcer til compliance og kontrol. Dokumentationskravet er en betydelig byrde for de fleste virksomheder.
Igangværende initiativer
Der foreligger en officiel ISO-standard (ISO 27007) for opstilling af kontroller med databehandlere. Revisorerne (FSR) har også udarbejdet en standarderklæring specifikt for databehandlere baseret (ISAE 3000 For databehandlere). Datatilsynets medvirken til lanceringen af erklæringen udarbejdet af revisorerne (FSR) sidste år har skabt tvivl om, hvorvidt erklæringen er obligatorisk.
Som nævnt er standarder og erklæringer en meget dyr løsning for virksomhederne.
Relevant regulering
Databeskyttelsesforordningens artikel 24 stk. 1
Regeringens svar
Svar til Regelforum
Datatilsynet har i maj 2018 udarbejdet en vejledende tekst om tilsyn med databehandlere og underdatabehandlere. Datatilsynet vil opdatere og uddybe denne tekst i lyset af anbefalingen og nærmere overveje, om det er muligt at udarbejde en tjekliste el.lign. Den opdaterede vejledning forventes at kunne offentliggøres i 2. kvartal af 2021
Regeringens afrapportering af anbefalingen
Initiativet er gennemført med en mindre forsinkelse. Datatilsynet har således den 29. oktober 2021 på hjemmesiden offentliggjort en vejledning vedrørende tilsyn med databehandlere.
Forsinkelsen skyldes, at Datatilsynet har vægtet inddragelsen af interessenterne højt, og at der ved udarbejdelse af vejledningen har været et særligt fokus på, at den skal være nemt tilgængelig og anvendelig for små og mellemstore virksomheder (SMV) uden særlige kompetencer på databeskyttelsesområdet.