Da persondataforordningen trådte i kraft havde mange travlt med at få styr på deres databehandleraftaler. Mange er dog ikke klar over, at det ikke er nok blot at have en gyldig databehandleraftale. Der kan først og fremmest være behov for at få opdateret databehandleraftalen, og der skal også føres tilsyn med databehandlerne.
Som dataansvarlig er det vigtigt at have overblik over sine databehandlere. Det er det bl.a., fordi der skal indgås databehandleraftaler med disse, ligesom der også skal føres tilsyn med dem. Det er derfor ikke nok, at man blot har en databehandleraftale.
Det er en god ide at skabe sig overblik over sine databehandlere mindst en gang årligt og sikre sig, at der er indgået databehandleraftaler med dem alle. Der kan ligeledes være behov for at få databehandleraftalen opdateret, hvis databehandlerens opgave ændrer sig.
Hvis du er i tvivl om, hvornår der er tale om en databehandler, kan du finde hjælp i Datatilsynets vejledning om dataansvarlige og databehandlere (se link nederst i denne nyhed).
Som udgangspunkt bør man ligeledes føre tilsyn med sine databehandlere en gang om året.
Tilsynet kan enten ske af en uvildig tredjepart eller af en selv. Ved valget mellem de to modeller skal man bl.a. tage hensyn til hvor kompleks databehandlerkonstruktionen er, og om man selv har den fornødne viden (herunder IT-sikkerhedsmæssige viden) til at udføre tilsynet.
Hvis tilsynet udføres af en uvildig tredjepart udmøntes dette typisk i form af en særlig revisorerklæring, som den dataansvarlige vil få tilsendt. Man skal huske at bede om at få revisorerklæringer tilsendt årligt. Det er den dataansvarliges ansvar at sikre sig, at man løbende får disse erklæringer. Hvis databehandleren ikke tilbyder at få en revisorerklæring udarbejdet og tilsendt uden beregning, kan man selv vælge at få en erklæring udarbejdet for egen regning.
Hvis man selv skal udføre tilsyn, kan tilsynet enten udføres ved, at man fysisk møder op ved sin databehandler for at føre tilsyn, eller det kan gøres skriftligt. Formålet med tilsynet er, at man som dataansvarlig kan sikre sig, at personoplysningerne bliver behandlet i overensstemmelse med reglerne, herunder om de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger er på plads. Når man udfører tilsynet, vil det derfor være en god ide at tage udgangspunkt i databehandleraftalen. Den kan give en vis vejledning om, hvad det nærmere er for forpligtelser, databehandleren skal leve op til.
Læs Datatilsynet vejledninger om dataansvarlige og databehandlere samt om tilsyn med databehandlere her.
Er du fortsat i tvivl om, hvorvidt din samarbejdspartner er databehandler eller ej, har du behov for hjælp i forbindelse med indgåelse af en databehandleraftale, eller skal du føre tilsyn med eksisterende databehandlere, men ved ikke hvordan, er du velkommen til at kontakte os.