Manglende tilsyn med databehandlere koster dyrt

Hvornår har du sidst ført tilsyn med jeres databehandlere?

Det spørgsmål kan få den dårlige samvittighed frem hos de fleste. For i en travl hverdag er det et punkt på to do-listen, som nemt kan blive udsat.

Som dataansvarlig er man ansvarlig for at føre tilsyn med sine databehandlere. Man kan med andre ord ikke blot overlade persondata til andre og stole blindt på, at databehandleren passer godt på personoplysningerne. Som dataansvarlig er man forpligtet til at føre kontrol med, at det rent faktisk sker.

Et af Datatilsynets kontrolområder har for nyligt været tilsyn med databehandlere, og den kontrol har nu affødt en politianmeldelse af et privathospital, som ikke havde ført den fornødne kontrol. Privathospitalet er den anledning indstillet til en bøde på ikke under 1.500.000 kr.

Du kan læse Datatilsynets pressemeddelelse her: Privathospitalet Capio A/S indstilles til bøde (datatilsynet.dk)

Har du styr på dine databehandlere?

Først og fremmest er det en god ide at tjekke op på, at man har en gyldig databehandleraftale med alle sine databehandlere. Man kan fx se på kontoen ”IT” i økonomisystemet og se, hvilke systemer man betaler for. Det vil være en god indikator for, hvilke databehandlere man har. Dernæst tjekker man så, at man rent faktisk har en underskrevet databehandleraftale med den pågældende.

Hvordan fører man kontrol?

Det svarer Datatilsynet på i en grundig vejledning, som du finder her: Datatilsynet_Vejledning om tilsyn med databehandlere

Overordnet set handler det om at få inddelt sine databehandlere i nogle forskellige kategorier, alt efter hvor mange persondata de behandler, og hvor følsomme data, der er tale om.

Jo flere oplysninger og jo flere følsomme oplysninger – jo mere grundigt tilsyn skal man føre.

Dermed en opfordring til, at man får tjekket op på, hvornår der sidst er ført kontrol.

Hvis der er spørgsmål, er du altid velkommen til at række ud til DM&T.