Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.

Chislett Compliance
08/02/2024
Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.
Chislett Compliance logo
Datatilsynet har politianmeldt et privathospital og indstillet til bøde på mindst 1.500.000 kr. Hospitalet har ikke udført sin lovpligtige GDPR-kontrol af leverandører, der er databehandlere. I artiklen kan du læse, hvilke overvejelser alle organisationer bør gøre sig som følge af den nye afgørelse.

Sagen kort

Datatilsynet har 1. februar 2024 offentliggjort, at et privathospital er blevet politianmeldt. Hospitalet er indstillet til en bøde på mindst 1.500.000 kr. Virksomheden har ikke udført den lovpligtige løbende kontrol af sine leverandører, der er databehandlere. 


Databehandlere er bl.a. leverandører, der håndterer personoplysninger på vegne af en anden organisation. GDPR stiller en række krav, når organisationer bruger databehandlere. Et af kravene er, at organisationen løbende skal kontrollere dem. Det er for at sikre en høj grad af sikkerhed om personoplysningerne, når de er i andres varetægt. 

Personoplysninger er fx oplysninger om en organisations kunder, patienter, investorer, ansatte eller lignende. Pligten til at føre kontrol skærpes, hvis oplysningerne inkluderer fx helbreds- eller andre følsomme oplysninger og/eller der er tale om store mængder personoplysninger.


Datatilsynet har ved sin vurdering i sagen bl.a. lagt vægt på, at der ikke blev ført tilsyn med databehandlerne i adskillige år. Derudover håndterede databehandlerne oplysninger om et stort antal personer. Tilsynet fremhævede også, at databehandlerne håndterede særlige kategorier af personoplysninger (følsomme oplysninger) og andre beskyttelsesværdige personoplysninger.


Hvad skal du gøre nu 

Alle organisationer, der bruger leverandører, der er databehandlere, bør handle. Man bør overveje, om man har udført det lovpligtige kontrol med databehandlerne, og om det er gjort tilstrækkeligt. Har man ikke gjort noget, bør man straks gå i gang. Laver man allerede kontrollerne, kan man overveje at genbesøge de udførte kontroller. Blandt andet for at sikre, at man har gjort det, der fremgår af den nye afgørelse. I genbesøget bør følge op på, om kontrollerne er udført risikobaseret. Man bør også se på, om ens risikovurdering afspejler de kriterier, som fremgår af den nye afgørelse. Derfor bør bl.a.  typen af oplysninger (beskyttelsesværdigheden) og omfanget af de oplysninger, der er overladt til databehandleren indgår i risikovurderingen. Man bør også overveje frekvensens af ens kontroller. For centrale databehandlere bør man overveje kontrol jævnligt, fx mindst en gang årligt. Det vil også være i tråd med almindelige risk management-principper.

Væsentlige trin i kontrol af databehandlere

Er man ikke gået i gang endnu med kontrollerne, eller vil man gå systematisk til værks, når man genbesøger dem, kan man følge disse fem trin.


Trin et – risikovurdering 

Det første man bør gøre er at have styr på de lovpligtige risikovurderinger, der skal udføres bl.a. efter databeskyttelsesforordningens artikel 24. Mange organisationer vil nødvendigvis have en stor risiko på brug af databehandlere. Det medfører efter det risikobaserede princip, at kontrollerne skal prioriteres op.

 

Trin to – styr på aftaler og roller

Derefter bør organisationer få styr på aftalerne med leverandører og samarbejdspartnere. Er de databehandlere, dataansvarlige eller slet ikke noget i datasammenhæng? Er der styr på både leverance-aftalen og den lovpligtige databehandleraftale?


Trin tre – sortering af leverandører

I det tredje trin bør man sorter leverandører efter risiko og føre et tilsyn, der passer til det. Organisationer bør have et koncept herfor og en klar metode. Der skal være en rød tråd til risikovurderingerne. Risikofaktorerne fra den nye afgørelse bør inddrages. Yderligere inspiration til risikofaktorer, koncept og metodik kan findes i Datatilsynets Vejledning om tilsyn med databehandlere.

 

Trin fire – anvend gode leverandører

Som det fjerde trin bør organisationer tage de ”lavt hængende frugter”. Det gælder i den anledning om at bruge gode leverandører, der også får lavet relevant compliance-dokumentation. For danske databehandlere kan dokumentationen være ISAE3000-baserede-revisionserklæringer til formålet udviklet af FSR - Danske Revisorer. Gerne revisionserklæringer med høj grad af sikkerhed. For udenlandske databehandlere kan man anmode om revisionserklæringer fx i SOC-formatet (fra American Institute of Certified Public Accountants). Gennemgang og vurdering af revisionserklæringerne kan indgå som central dokumentation for udført kontrol.

 

Trin fem – sørg for kompetence og ressourcer

Som det femte trin bør man sørge for kompetence til opgaveløsningen. Det er en specialiseret opgave. Man bør sætte budget af til opgaveløsningen. Selvom det for mange organisationer umiddelbart kan synes som en ikke-værdiskabende omkostning. For visse organisationer kan der eventuelt findes budget, hvis opgaven kan henføres til CSR/ESG-området. Individets persondatarettigheder indgår ofte som en del af et underliggende element i organisations CSR/ESG-program. 

Hvis man vil vide mere

Har du eller dine medarbejdere brug for opkvalificering indenfor området tilbyder Chislett Compliance kurset ”Kontrol af databehandlere”. Kurset omhandler både lovreglerne og hvordan man i praksis kontrollere sine databehandlere. 

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Har du styr på din eksportkontrol, når du eksporterer varer til udlandet?
Jurainfo logo
EXCLUSIVE
VIDEO
Har du styr på din eksportkontrol, når du eksporterer varer til udlandet?
Eksporterer din virksomhed varer til udlandet? Så er den formentligt underlagt reglerne om eksportkontrol. Annelise Lykke Schmidt, specialist i Trade Compliance, kommer i ovenstående video nærmere ind på reglerne relateret til eksportkontrol.
Force majeure - hvornår kan begrebet anvendes?
Jurainfo logo
EXCLUSIVE
VIDEO
Force majeure - hvornår kan begrebet anvendes?
Mange virksomheder er ikke opmærksomme på at udvide force majeure-begrebet i deres kontrakter og flere anvender begrebet helt forkert. Bliv klogere på hvornår noget er en force majeure-begivenhed og hvornår du kan benytte en force majeure-klausul ved manglende leveringer.
Artikler, der kunne være relevante for dig
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Hvad er en ejeraftale og hvorfor er den så vigtig?
Hvad er en ejeraftale og hvorfor er den så vigtig?
26/11/2024
Kontraktret, Selskabsret
Hotel Nyborg Strand vinder principiel retssag med bistand fra Focus Advokater
Hotel Nyborg Strand vinder principiel retssag med bistand fra Focus Advokater
26/11/2024
Kontraktret, Øvrige
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
29/11/2024
Persondata
Andel Energis varsling af aftaleændringer levede ikke op til reglerne
Andel Energis varsling af aftaleændringer levede ikke op til reglerne
02/12/2024
Kontraktret, E-handel og markedsføring
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
06/12/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted