Kontrol af databehandleren er nødvendigt

Ifølge Datatilsynet skal den dataansvarlige kontrollere, at databehandleren også lever op til de i databehandleraftalen nedskrevne processer. Datatilsynet har derfor udgivet en vejledende udtalelse.

Det har altid været gældende dansk praksis, at dataansvarlige skulle sørge for at kontrollere deres databehandlere.

Senest traf Datatilsynet en afgørelse herom i april 2018, hvor Region Syddanmark i en længere periode slet ikke havde haft en databehandleraftale med virksomheden Rambøll og ej heller havde kontrolleret deres behandling af data.

Datatilsynet rettede en skarp kritik mod regionen, og sagen ville efter de nye regler kunne have medført en bøde. Se afgørelsen her.

Eftersom EU’s databeskyttelsesforordning ikke direkte nævner noget om kontrol af databehandlere, har Datatilsynet følt sig foranlediget til at bekræfte, at den gamle praksis stadig gælder og har derfor udgivet en vejledende tekst om emnet. Læs vejledningen her.