Flere og flere dataansvarlige myndigheder anvender eksterne leverandører til driften af f.eks. deres it-systemer.
Det følger af persondatalovens § 42, stk. 1, at såfremt den dataansvarlige myndighed i den forbindelse overlader personoplysninger til en databehandler (en ekstern leverandør), skal myndigheden (aktivt) påse, at databehandleren har truffet de nødvendige sikkerhedsforanstaltninger. Herudover skal den dataansvarlige myndighed efter persondatalovens § 42, stk. 2, indgå en skriftlig aftale (en databehandleraftale) med databehandleren. Af denne aftale skal det bl.a. fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige myndighed, og at sikkerhedsreglerne i persondatalovens § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren.
Senest har Datatilsynet indledt to sager af egen drift mod henholdsvis Brøndby Kommune og Glostrup Kommune, idet det i pressen var kommet frem, at kommunerne tilsynelandende ikke havde indgået databehandleraftaler med deres eksterne leverandører til kommunens jobcentre, ligesom der tilsyneladende heller ikke var ført kontrol med sikkerheden hos de anvendte databehandlere.
Se Datatilsynets pressemeddelelse her
Opmærksomheden henledes også på sikkerhedsbekendtgørelsen (BKG 528/2000) og sikkerhedsvejledningen (vejl. 37/2001), hvori persondatalovens sikkerhedskrav i relation til offentlige myndigheder nærmere er udmøntet.
Se sikkerhedsbekendtgørelsen her
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
Skal din artikel også udgives via Jurainfo og udsendes direkte, via e-mail, til personer og virksomheder som specifikt efterspørger viden og kompetencer inden for dit område? Ansøg om en profil her.
