Et vink med en vognstang om, at der skal føres tilsyn med databehandlere

Det er værd at bemærke, at bøden angiveligt ikke skyldes, at der var noget at påtale hos privathospitalets databehandlere, men alene det forhold, at privathospitalet ikke kunne dokumentere, at de havde vurderet deres databehandlere og ført tilsyn.

Datatilsynet fremhæver, at privathospitalet ikke lever op til princippet om ansvarlighed (”accountability”), da privathospitalet ikke har været i stand til at sikre og påvise, at personoplysninger behandles til lovlige og rimelige formål og på en måde, der sikrer tilstrækkelig sikkerhed.

Når en virksomhed eller myndighed overlader behandling af personoplysninger til en anden virksomhed, er det ikke nok ’bare’ at indgå en databehandleraftale.  Inden man overlader behandlingen til en anden, skal man sikre sig, at modtageren er i stand til at overholde behandlingsinstruksen, og leve op til persondatareglerne, og derefter skal man løbende føre tilsyn med at det rent faktisk sker.

Tilstrækkelige tilsyn med databehandlere kræver først og fremmest, at man har overblik over hvilke databehandlere, man gør brug af, og til hvad. Derudover skal man have vurderet hvor indgående tilsyn, der er påkrævet, og hvor ofte det skal gennemføres. Der kan findes god inspiration i Datatilsynets vejledning om tilsyn med databehandlere. Til sidst skal tilsynene naturligvis udføres og dokumenteres.

Kravene er der ikke noget nyt i. Men det er nyt at Datatilsynet nu har hevet bødeblokken frem for overtrædelser. Så måske det er et godt tidspunkt at spørge sig selv om; ’Har vi overblik over alle vores databehandlere – og fører vi tilsyn med dem?’