Pexels kindel media 7688460

Løbende kontrol af databehandlere

Nicholas Ørum Keller 9. nov. 2023

Der er i øjeblikket gang i de løbende kontrolrapporter, som dataansvarlige virksomheder har pligt til at få fra deres databehandlere

Datatilsynets holdning er, at dataansvarlige ikke overholder GDPR-reglerne, hvis de ikke sikrer sig, at deres databehandlere overholder GDPR-reglerne. Der er derfor et must for virksomhederne, at dette GDPR-krav også overholdes.

Det ser ud til, at Datatilsynet lægger vægt på, at den dataansvarlige virksomhed rent faktisk påser, at databehandleren har gennemført de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger -aftalt under hensyn til de involverede risici.

Fysiske besøg eller skriftlige erklæringer

Formen for et tilsyn kan både være fysisk besøg og skriftlig informationsindsamling – igen afhængigt af risikovurderingen. Er risikoen høj, skal det ske årligt eller måske endda halvårligt. Ellers kan der gå længere tid imellem kontrollerne.

Fysisk tilsyn

Det kan være anført, at en effektiv stikprøvekontrol alene kan foretages ved fysiske tilsyn. Som argumenter for fysiske tilsyn kan nævnes: Delegation og brug af administrative rettigheder, adgangen til persondata, konkrete opsætninger og indstillinger af den fysiske infrastruktur, efterlevelse af konkrete tekniske foranstaltninger, pålagte sletteregler, overholdelse af konkrete organisatoriske forholdsregler, herunder den fysiske sikkerhed eller databaggrunden for det skriftlige materiale, der på mere daglig basis danner grundlaget for opfølgningen på det niveau af sikkerhed, der er aftalt mellem parterne.

Skriftligt tilsyn

Det kan være løbende afrapporteringer fra databehandleren, f.eks. baseret på ISO 27007 eller andre typer af kontroller, der kan rapporteres om på skrift – eller stikprøver og udvalgte temaområder, der afspejler den dataansvarliges risikovurdering.

Underdatabehandlere

Databehandleren skal sørge for at pålægge underdatabehandlere de samme databeskyttelseskrav, som databehandleren er pålagt – og som udgangspunkt er det databehandleren selv, der skal føre tilsyn med sine underdatabehandlere. Men den dataansvarlige skal sikre sig, at det rent faktisk også sker. Det kan f.eks. ske ved, at databehandleren sender dokumentation for afholdte tilsyn hos underdatabehandlere til den dataansvarlige.

Har I brug for hjælp, så kontakt Nicholas Ørum Keller.

Du kan læse mere om tilsynsreglerne på Datatilsynets hjemmeside
Kontakt
Photo of Nicholas Ørum Keller
Nicholas Ørum Keller
Advokat (L) | Partner

Relateret indhold

Artikel Private
Tine Elise Kristensen • 1. dec. 2024
Artikel Marketingret
Tine Elise Kristensen • 29. nov. 2024
Artikel Erhvervsret
Thomas Grue Baruch • 6. nov. 2024
Artikel Selskabsret
Nicholas Ørum Keller • 30. okt. 2024
Artikel M&A Retssager / Voldgift
Nicholas Ørum Keller • 15. okt. 2024
Artikel Ansættelsesret
Nicholas Ørum Keller • 2. jan. 2024
Artikel Selskabsret Ansættelsesret
Nicholas Ørum Keller • 2. jan. 2024
Artikel Dødsbobehandling Arv og testamente
Tine Elise Kristensen • 2. jan. 2024
Artikel Ansættelsesret
Nicholas Ørum Keller • 12. dec. 2023
Artikel Erhverv
Nicholas Ørum Keller • 6. dec. 2023