Nye afgørelser

Tilsyn med statslige myndigheders tilsyn med databehandlere

Dato: 17-01-2023

Datatilsynet har gennemført seks planlagte tilsyn med fokus på myndigheders tilsyn med databehandlere. Datatilsynet fandt anledning til at udtale kritik i ét tilfælde.

Datatilsynet indledte i efteråret 2021 skriftlige tilsyn med følgende seks statslige myndigheders tilsyn med deres databehandlere:

Men henblik på at udvælge relevante databehandlere bad Datatilsynet i første omgang om at få tilsendt en liste over databehandlere, som myndighederne overlader følsomme og/eller fortrolige oplysninger til.

På baggrund af de fremsendte lister udvalgte Datatilsynet 1-2 databehandlere hos hver myndighed, som Datatilsynet gik videre med i forhold til myndighedens tilsyn med disse databehandlere.

Datatilsynet bad i den forbindelse myndighederne om at svare på:

  • om de havde en plan for tilsyn med de udvalgte databehandlere, herunder deres overvejelser om hyppighed og hvad der bliver ført tilsyn med,
  • hvorvidt myndighederne havde ført tilsyn med de udvalgte databehandlere, og
  • hvordan myndighederne havde fulgt op på eventuelle gennemførte tilsyn med databehandlerne.

Datatilsynet fandt i fem tilfælde ikke grundlag for at tilsidesætte de dataansvarliges vurdering af, at deres tilsyn med deres databehandlere var sket i overensstemmelse med databeskyttelsesreglerne.

Vil du vide mere?

Læs afgørelserne:

Læs Datatilsynets vejledning om tilsyn med databehandlere

Baggrund for tilsynene

Dataansvarlige, der beder en anden part (en databehandler eller en underdatabehandler) om at behandle personoplysninger på sine vegne, skal føre en passende kontrol (tilsyn) med databehandleren.

Datatilsynet offentliggjorde i oktober 2021 en ny, praktisk anvendelig vejledning om, hvordan de dataansvarlige kan føre sådanne tilsyn. Det fremgår af vejledningen, at jo større risici der er for de registrerede ved behandlingen hos databehandleren, jo større krav stilles der til den dataansvarliges tilsyn med databehandleren. Dette gælder både i forhold til, hvordan den dataansvarlige skal føre tilsyn, og hvor ofte det skal ske.