Afsluttet tilsyn om brug af personoplysninger som testdata og underdatabehandlere

Dato: 23-10-2020

Datatilsynet har gennemført et planlagt skriftligt tilsyn med fokus på brug af personoplysninger som testdata og brug af underdatabehandlere

Datatilsynet har netop afsluttet et planlagt skriftligt tilsyn med SDC A/S, som omhandlede virksomhedens brug af oplysninger om fysiske personer i testmiljøer og virksomhedens brug af underdatabehandlere.

I forhold til brugen af personoplysninger som testdata fokuserede tilsynet særligt på, om SDC A/S havde foretaget den fornødne vurdering af risikoen for de registreredes rettigheder i testmiljøer, hvor testmiljøet er forskellig fra de systemer i drift, hvor virksomheden som databehandler behandler oplysninger på vegne af de dataansvarlige.

For så vidt angår brugen af underdatabehandlere fokuserede tilsynet navnlig på, om virksomheden har pålagt sine underdatabehandlere de samme forpligtelser, som virksomheden selv – som databehandler – er blevet pålagt i databehandleraftalerne med to udvalgte dataansvarlige.

Brug af oplysninger om fysiske personer i testmiljøer

På baggrund af de modtagne oplysninger valgte Datatilsynet at fokusere på ét it-system.

Datatilsynet kiggede særligt på, om SDC A/S havde foretaget den fornødne vurdering af risikoen for de registreredes rettigheder i forbindelse med brugen af oplysninger om fysiske personer til tests.

Det følger nemlig af databeskyttelsesreglerne, at dataansvarlige og databehandlere skal sørge for – på baggrund af en vurdering af risikoen for de pågældende personers rettigheder – at etablere passende sikkerhedsforanstaltninger. Det er i den forbindelse Datatilsynets opfattelse, at en sådan vurdering som minimum bør tage stilling til:

  • hvilke relevante trusler der er mod fortroligheden, tilgængeligheden og integriteten af de oplysninger, der behandles om de pågældende personer,
  • for hver trussel vurdere sandsynligheden for, at den enkelte trussel er reel for den pågældende behandlingsaktivitet, og
  • for hver trussel vurdere de mulige konsekvenser for personerne.

På baggrund af sandsynligheden og konsekvensen for den enkelte trussel kan risikoen vurderes, herunder med hensynstagen til de eventuelle eksisterende foranstaltninger, der måtte være truffet.

Efter en gennemgang af det materiale, som SDC A/S havde sendt til Datatilsynet, vurderede tilsynet, at virksomhedens risikovurdering ikke indeholdt de ovenfor nævnte elementer. Samlet set fandt Datatilsynet, at SDC A/S i forhold til den konkrete behandling ikke havde foretaget en risikobaseret tilgang til behandlingssikkerheden.

Datatilsynet fandt på den baggrund anledning til at udtale kritik.

Generelt om testmiljøer og produktionsdata

Generelt set skal Datatilsynet indskærpe, at der også i forbindelse med udvikling og test udvises den fornødne opmærksomhed, såfremt der sker behandling af oplysninger om fysiske personer. Datatilsynet har set tilfælde, hvor udviklere enten på egen hånd, i samarbejde med forretningen eller som aftalt led i udviklingen benytter produktionsdata (dvs. oplysninger om fysiske personer fra driftssetuppet) for at sikre kvaliteten af løsningen. Dette er der ikke – nødvendigvis – noget forkert i, så længe der foreligger en vurdering af risikoen for de registreredes rettigheder, og der i overensstemmelse med denne er etableret passende sikkerhed inden behandlingen påbegyndes, og at der i alle de tilfælde, hvor risikoen for den registrerede måtte være høj, er foretaget en konsekvensanalyse.

Lidt firkantet sagt gælder det, at hvis man ønsker at bruge produktionsdata, skal der som udgangspunkt være den samme sikkerhed på ens udviklings- og testmiljø som det, der er vurderet som passende i driftssetuppet.

Datatilsynet forventer at offentliggøre en vejledning om testdata inden udgangen af året.

Brug af underdatabehandlere

I forbindelse med tilsynet gennemgik Datatilsynet en kopi af SDC A/S’ databehandleraftaler med to udvalgte kunder, som SDC A/S er databehandler for. Herudover gennemgik Datatilsynet en kopi af SDC A/S’ aftaler med tre specifikke underdatabehandlere, som SDC A/S gør brug af i forbindelse med den behandling af personoplysninger, som virksomheden foretager på vegne af de to dataansvarlige kunder.

Databeskyttelsesforordningen fastsætter en række specifikke krav til indholdet af en databehandleraftale. Aftalen skal bl.a. indeholde oplysninger om de pligter, som databehandleren har i forhold til at varetage den pågældende opgave for den dataansvarlige, ligesom det skal fremgå af aftalen, om databehandleren må gøre brug af underdatabehandlere i forbindelse med opgaven.

Formålet med gennemgangen af SDC A/S’ aftaler med de to dataansvarlige kunder og de tre underdatabehandlere var særligt at vurdere, om virksomheden har pålagt sine underdatabehandlere de samme forpligtelser, som SDC A/S selv er pålagt af de dataansvarlige.

Efter en gennemgang af aftalerne fandt Datatilsynet, at SDC A/S har pålagt sine underdatabehandlere de samme forpligtelser, som virksomheden selv er blevet pålagt i databehandleraftalerne med to udvalgte dataansvarlige, hvilket er i overensstemmelse med reglerne.

Læs mere

Datatilsynets vejledning om dataansvarlige og databehandlere

Skabelon til databehandleraftaler