Nummer: 7

TJEKLISTER OG VEJLEDNINGER TIL KONTROL AF DATABEHANDLERE

Virksomheder føler sig usikre på, om de i dag lever op til reglerne om kontrol af databehandlere. Regelforum anbefaler, at Datatilsynet udarbejder tjeklister og/eller vejledninger, som dataansvarlige kan bruge til kontrol af databehandlere. Dette vil skabe ensartethed på tværs af virksomheders kontrol- og dokumentationskrav og give virksomhederne en øget sikkerhed for, at de efterlever lovgivningen. 

Dato:
22. juni 2020
Type af anbefaling:
National lovgivning
Tema:
GDPR
Ansvarlig ministerium:
Justitsministeriet
Status på anbefaling:
Følges

I følge Databeskyttelsesforordningens artikel 24 stk. 1 skal dataansvarlige kunne påvise, at deres behandling af persondata er i overensstemmelse med forordningen. Dette gælder også behandlinger, der er lagt ud til en databehandler, med hvem den dataansvarlige er forpligtet til at føre kontrol. 
 
Hverken forordningen eller de eksisterende vejledninger fra Datatilsynet indeholder retningslinjer for denne kontrol eller omfanget af dokumentationskrav i forhold til reglernes overholdelse. Det er derfor op til den enkelte dataansvarlige at fastlægge retningslinjer for dette. 
 
Det skaber en generel udfordring for de dataansvarlige, men særligt i forbindelse med brug af databehandlere, hvor behandlingen foretages af tredjemand, men stadig under de dataansvarliges fulde ansvar. 
 
Udfordringen rammer imidlertid også databehandlerne. 
 
Databehandlere, der agerer på vegne af mange dataansvarlige, f.eks. leverandører af IT-løsninger el. datacentraler, bliver udsat for mange forskellige krav til kontrol, herunder både i form af fysiske kontrolbesøg, spørgeskemaer m.m. 
 
Det gælder både for dataansvarlige og databehandlere, at køb af tredjepartserklæringer fra revisor eller advokat, vil være en urimelig omkostningstung løsning for mange virksomheder. Selv for simple erklæringer vil prisen ligge mellem 75.-100.000 kr. pr. erklæring. Hertil kommer virksomhedens interne ressourcer, der bruges til forberedelse af revision. Det er endvidere uklart, hvorvidt en erklæring vil udgøre en tilstrækkelig kontrol.
 
Samtidig skaber det problemer, i de tilfælde hvor databehandleren er en stor global virksomhed. Her kan den dataansvarlige have vanskeligt ved indledningsvist at stille specifikke krav til databehandleren, samt efterfølgende reelt at kontrollere databehandlingen.
 

Anbefaling

Regelforum anbefaler, at Datatilsynet udarbejder vejledninger eller tjeklister for kontrol af databehandlere. Anbefalingerne bør udarbejdes med inddragelse af relevante interessenter og med eksempler i forhold til specifikke databehandlingssituationer. 
 
Regelforum anbefaler, at tjeklister og/eller vejledninger tilpasses efter virksomhedens størrelse og kompleksitet i databehandlingen i tråd med forordningens risikobaserede tilgang.

Potentiale

Denne problemstilling vurderes at ramme bredt over brancher, men rammer særligt SMV’er med begrænsede (personale og økonomiske) ressourcer til compliance og kontrol. Dokumentationskravet er en betydelig byrde for de fleste virksomheder. 

Igangværende initiativer

Der foreligger en officiel ISO-standard (ISO 27007) for opstilling af kontroller med databehandlere. Revisorerne (FSR) har også udarbejdet en standarderklæring specifikt for databehandlere baseret (ISAE 3000 For databehandlere). Datatilsynets medvirken til lanceringen af erklæringen udarbejdet af revisorerne (FSR) sidste år har skabt tvivl om, hvorvidt erklæringen er obligatorisk. 
 
Som nævnt er standarder og erklæringer en meget dyr løsning for virksomhederne.

Relevant regulering

Databeskyttelsesforordningens artikel 24 stk. 1

Svar til Regelforum

Datatilsynet har i maj 2018 udarbejdet en vejledende tekst om tilsyn med databehandlere og underdatabehandlere. Datatilsynet vil opdatere og uddybe denne tekst i lyset af anbefalingen og nærmere overveje, om det er muligt at udarbejde en tjekliste el.lign. Den opdaterede vejledning forventes at kunne offentliggøres i 2. kvartal af 2021