Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.

Sagen kort

Datatilsynet har 1. februar 2024 offentliggjort, at et privathospital er blevet politianmeldt. Hospitalet er indstillet til en bøde på mindst 1.500.000 kr. Virksomheden har ikke udført den lovpligtige løbende kontrol af sine leverandører, der er databehandlere. 

Databehandlere er bl.a. leverandører, der håndterer personoplysninger på vegne af en anden organisation. GDPR stiller en række krav, når organisationer bruger databehandlere. Et af kravene er, at organisationen løbende skal kontrollere dem. Det er for at sikre en høj grad af sikkerhed om personoplysningerne, når de er i andres varetægt. 

Personoplysninger er fx oplysninger om en organisations kunder, patienter, investorer, ansatte eller lignende. Pligten til at føre kontrol skærpes, hvis oplysningerne inkluderer fx helbreds- eller andre følsomme oplysninger og/eller der er tale om store mængder personoplysninger.

Datatilsynet har ved sin vurdering i sagen bl.a. lagt vægt på, at der ikke blev ført tilsyn med databehandlerne i adskillige år. Derudover håndterede databehandlerne oplysninger om et stort antal personer. Tilsynet fremhævede også, at databehandlerne håndterede særlige kategorier af personoplysninger (følsomme oplysninger) og andre beskyttelsesværdige personoplysninger.

Hvad skal du gøre nu 

Alle organisationer, der bruger leverandører, der er databehandlere, bør handle. Man bør overveje, om man har udført det lovpligtige kontrol med databehandlerne, og om det er gjort tilstrækkeligt. Har man ikke gjort noget, bør man straks gå i gang. Laver man allerede kontrollerne, kan man overveje at genbesøge de udførte kontroller. Blandt andet for at sikre, at man har gjort det, der fremgår af den nye afgørelse. I genbesøget bør følge op på, om kontrollerne er udført risikobaseret. Man bør også se på, om ens risikovurdering afspejler de kriterier, som fremgår af den nye afgørelse. Derfor bør bl.a.  typen af oplysninger (beskyttelsesværdigheden) og omfanget af de oplysninger, der er overladt til databehandleren indgår i risikovurderingen. Man bør også overveje frekvensens af ens kontroller. For centrale databehandlere bør man overveje kontrol jævnligt, fx mindst en gang årligt. Det vil også være i tråd med almindelige risk management-principper.

Væsentlige trin i kontrol af databehandlere

Er man ikke gået i gang endnu med kontrollerne, eller vil man gå systematisk til værks, når man genbesøger dem, kan man følge disse fem trin.

Trin et – risikovurdering 

Det første man bør gøre er at have styr på de lovpligtige risikovurderinger, der skal udføres bl.a. efter databeskyttelsesforordningens artikel 24. Mange organisationer vil nødvendigvis have en stor risiko på brug af databehandlere. Det medfører efter det risikobaserede princip, at kontrollerne skal prioriteres op.

Trin to – styr på aftaler og roller

Derefter bør organisationer få styr på aftalerne med leverandører og samarbejdspartnere. Er de databehandlere, dataansvarlige eller slet ikke noget i datasammenhæng? Er der styr på både leverance-aftalen og den lovpligtige databehandleraftale?

Trin tre – sortering af leverandører

I det tredje trin bør man sorter leverandører efter risiko og føre et tilsyn, der passer til det. Organisationer bør have et koncept herfor og en klar metode. Der skal være en rød tråd til risikovurderingerne. Risikofaktorerne fra den nye afgørelse bør inddrages. Yderligere inspiration til risikofaktorer, koncept og metodik kan findes i Datatilsynets Vejledning om tilsyn med databehandlere.

Trin fire – anvend gode leverandører

Som det fjerde trin bør organisationer tage de ”lavt hængende frugter”. Det gælder i den anledning om at bruge gode leverandører, der også får lavet relevant compliance-dokumentation. For danske databehandlere kan dokumentationen være ISAE3000-baserede-revisionserklæringer til formålet udviklet af FSR - Danske Revisorer. Gerne revisionserklæringer med høj grad af sikkerhed. For udenlandske databehandlere kan man anmode om revisionserklæringer fx i SOC-formatet (fra American Institute of Certified Public Accountants). Gennemgang og vurdering af revisionserklæringerne kan indgå som central dokumentation for udført kontrol.

Trin fem – sørg for kompetence og ressourcer

Som det femte trin bør man sørge for kompetence til opgaveløsningen. Det er en specialiseret opgave. Man bør sætte budget af til opgaveløsningen. Selvom det for mange organisationer umiddelbart kan synes som en ikke-værdiskabende omkostning. For visse organisationer kan der eventuelt findes budget, hvis opgaven kan henføres til CSR/ESG-området. Individets persondatarettigheder indgår ofte som en del af et underliggende element i organisations CSR/ESG-program. 

Hvis man vil vide mere

Har du eller dine medarbejdere brug for opkvalificering indenfor området tilbyder Chislett Compliance kurset ”Kontrol af databehandlere”. Kurset omhandler både lovreglerne og hvordan man i praksis kontrollere sine databehandlere.