Menu

GDPR: Husker du at føre tilsyn med dine databehandlere?

Datatilsynet er klar med en praktisk vejledning til, hvordan du kan føre tilsyn med dine databehandlere. Et pointsystem guider dig til, hvilket tilsyn der er passende og hvor ofte det skal udføres.

08. november 2021 Af Camilla Christensen , cc@dmogt.dk

GDPR-arbejdet har en tendens til at gå lidt i glemmebogen nogle gange. Men det er et kontinuerligt arbejde, og det indebærer bl.a., at der skal føres tilsyn med databehandlerne.

Denne opgave har tidligere været meget ukonkret og svær at finde ud af, hvordan man griber an. Det gør Datatilsynet nu noget ved, når de i en ny vejledning beskriver en praktisk metode til at gennemføre tilsynene.

Først og fremmest skal du have styr på, hvem dine databehandlere er. Lav en liste til formål og sørg for, at der er indgået en gyldig databehandleraftale med dem alle.

Dernæst skal du give dem point. Jo flere personer, der behandles oplysninger om, og jo mere følsom og fortrolige oplysninger, der behandles – jo flere point. Og jo flere point, jo grundigere tilsyn. 

Husk, at vurdering hele tiden skal tage udgangspunkt i risikoen for den registrerede – ikke for virksomheden. Hvor sandsynligt er det, at noget går galt, og hvad vil konsekvensen være for den registrerede, hvis det sker?

Det lyder måske umiddelbart simpelt, men det kan alligevel være en svær øvelse, for det kræver kendskab til de forskellige databehandlere, og hvilke oplysninger de behandler.

Heldigvis giver den nye vejledning fra Datatilsynet en række eksempler, som kan hjælpe virksomhederne, når de skal lave deres vurderinger.

Det mener DM&T:

Opgaven med at føre tilsyn med databehandlere har været meget diffus, og derfor er det rart med en vejledning, som går til opgaven med en praktisk vinkel. Det er også positivt at læse, at der ikke nødvendigvis skal udføres tilsyn hvert år, og at selve tilsynet i mange tilfælde kan klares med en god dialog med databehandleren.

Hent den nye vejledning her: Sådan kan du føre tilsyn med dine databehandlere (datatilsynet.dk)

"