Har du husket at føre tilsyn med dine databehandlere?

Ejer du en virksomhed – lille som stor – har du et ansvar for at håndtere de persondata, du behandler, forsvarligt. Persondata er oplysninger, som kan tilbagevises til en person, eksempelvis brugernavn, adresse og telefonnummer.

I Danmark er cybertruslen meget høj. Det er derfor nødvendigt at ruste sig mod udefrakommende angreb, så (de irriterende dygtige) hackere ikke får fingrene i personlige oplysninger. Det kan du blandt andet gøre ved at passe ekstra godt på personoplysninger, som din virksomhed har liggende. Se gdpr.dk for mere information.

Når der er andre, som behandler persondata fra din virksomhed

Mange virksomheder bruger eksterne samarbejdspartnere til at løse et eller flere af deres behov. Det kan eksempelvis være til lønadministration eller ved levering og drift af systemer med kundedata. For at de kan løse opgaven, bliver de nødt til at håndtere persondata.

Som dataansvarlig har du et ansvar for, at sikkerheden omkring personoplysningerne er på plads. Derfor er det dig, der skal sørge for, at I indgår en databehandleraftale. Herudover skal du føre tilsyn med, at aftalen overholdes. Du kan altså ikke slippe tøjlerne helt, selvom du overlader denne type opgave til andre.

Få hjælp af Datatilsynet

Datatilsynet har udgivet en vejledning med 6 tilsynskoncepter, som du med fordel kan bruge. Med dem sikrer du dig, at dine databehandlere opfylder det ansvar, du har.

Vi har samlet koncepterne for at skabe det store overblik og (forhåbentligt) gøre det nemt for dig at vælge den måde, du vil føre tilsyn på. Efter du har valgt tilgang, følg da op i vejledningen fra Datatilsynet, så du har en uddybende viden om, hvordan du griber opgaven an.

Vælg mellem 6 koncepter

1. Handel kun på det, hvis du bliver opmærksom på, at der er noget galt hos din databehandler. Dette er kun tilstrækkeligt, hvis programmet hos tredjeparten er et veletableret standardsystem med begrænset persondata.
2. Følg op på (skriftligt), om krav stadig efterleves af databehandler.
3. Tjek op på den status, du årligt får af databehandler – stemmer det?
4. Undersøg om din databehandlers certificering er relevant og opdateret. Eller om vedkommende følger et adfærdskodeks, der giver mening.
5. Overlad ansvaret til en tredjepart med dokumenteret tilsyn, for eksempel et firma med ISAE 3000-revisionserklæring.
6. Før selv dokumenteret tilsyn med databehandler.

Gør det selv eller overlad opgaven til andre

Som koncepterne viser, kan du selv stå for opgaven med at føre tilsyn. Det er også muligt at slippe denne del med koncept nummer 5, men det kræver, at du vælger en tredjepart, som har en brugbar certificering.

Hos Axla har vi en ISAE 3000-revisionserklæring, hvilket stort set fritager vores kunder for at føre tilsyn: En uafhængig revisor har nemlig allerede gjort det. Kunden skal blot bekræfte, at erklæringen dækker alle punkter i databehandleraftalen. I næsten alle tilfælde vil aftalen være dækkende, med mindre den indeholder meget specielle forbehold. Axla er derfor en af dem, du trygt kan overlade opgaven til.