Når du som privat virksomhed, offentlig myndighed eller institution behandler personoplysninger, har du som dataansvarlig ofte et behov for at overlade personoplysninger til eksterne leverandører – såkaldte databehandlere – der på dine vegne og efter dine instrukser behandler de pågældende oplysninger.
I sådanne situationer har du også et ansvar for, at dine databehandlere – på samme måde som dig selv – behandler oplysningerne forsvarligt. Du skal som dataansvarlige således føre et passende tilsyn med dine databehandlere.
Men hvad er et passende tilsyn? Hvordan kan man føre tilsyn? Hvad skal man føre tilsyn med og hvor ofte? De spørgsmål besvarer denne nye vejledning via en vejledende model med en simpel pointskala og seks illustrative tilsynskoncepter, der illustrerer anvendelsen af pointsystemet.
Opbygget med input fra interessenter
Vejledning om tilsyn med databehandlere er lavet på baggrund af efterspørgsel fra Datatilsynets interessenter, som vi også har inddraget løbende i forbindelse med udarbejdelsen:
“Udsyn og interaktion er centrale værdier i Datatilsynets strategiske grundlag. Vi har derfor løbende inddraget interessenter i udarbejdelsesprocessen og målrettet arbejdet på at gøre vejledningen praktisk anvendelig. Pointskalaen og de seks tilsynskoncepter skal bidrage til, at de dataansvarlige føler sig bedre rustet til at kunne udføre et passende tilsyn med deres databehandlere,” udtaler cand.jur. og souschef i Vejledning og informationssikkerhed, Katrine Valbjørn Trebbien.
De seks vejledende tilsynskoncepter
Den vejledende model består af en vejledende pointskala, som kan give dig en fornemmelse af, hvor risikofyldt behandlingen af personoplysninger er. I tilknytning hertil er der udarbejdet seks illustrative tilsynskoncepter, som gradvist stiller større og større krav til din gennemførelse af tilsynet – dvs. koncept 1 er det mindst ressourcekrævende, og koncept 5 og 6 vil normalt være de mest ressourcekrævende.
I pointskalaen er det bl.a. afgørende, hvor mange personer du som dataansvarlig overlader oplysninger om til din databehandler. Afhængigt af, hvor mange point du som dataansvarlige får i pointskalaen, kan du tage udgangspunkt i de seks forskellige tilsynskoncepter, der således gradvist stiller større og større krav til omfanget og udførslen af dit tilsyn.
Kort sagt; større risiko giver flere point, og flere point betyder, at der stilles flere krav til dit tilsyn med databehandleren.
Læs vejledning om tilsyn med databehandlere her
Vil du vide mere?
Læs om dataansvarlige og databehandlere her.