Baker Tilly Denmark Legal Logo
Close
Pexels kindel media 7688460
Nyheder

Løbende kontrol af databehandlere

Wivi H. Larsen 9. nov. 2023
Artikel
Compliance (GDPR/ESG)

Der er i øjeblikket gang i de løbende kontrolrapporter, som dataansvarlige virksomheder har pligt til at få fra deres databehandlere

Datatilsynets holdning er, at dataansvarlige ikke overholder GDPR-reglerne, hvis de ikke sikrer sig, at deres databehandlere overholder GDPR-reglerne. Der er derfor et must for virksomhederne, at dette GDPR-krav også overholdes.

Det ser ud til, at Datatilsynet lægger vægt på, at den dataansvarlige virksomhed rent faktisk påser, at databehandleren har gennemført de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger -aftalt under hensyn til de involverede risici.

Fysiske besøg eller skriftlige erklæringer

Formen for et tilsyn kan både være fysisk besøg og skriftlig informationsindsamling – igen afhængigt af risikovurderingen. Er risikoen høj, skal det ske årligt eller måske endda halvårligt. Ellers kan der gå længere tid imellem kontrollerne.

Fysisk tilsyn

Det kan være anført, at en effektiv stikprøvekontrol alene kan foretages ved fysiske tilsyn. Som argumenter for fysiske tilsyn kan nævnes: Delegation og brug af administrative rettigheder, adgangen til persondata, konkrete opsætninger og indstillinger af den fysiske infrastruktur, efterlevelse af konkrete tekniske foranstaltninger, pålagte sletteregler, overholdelse af konkrete organisatoriske forholdsregler, herunder den fysiske sikkerhed eller databaggrunden for det skriftlige materiale, der på mere daglig basis danner grundlaget for opfølgningen på det niveau af sikkerhed, der er aftalt mellem parterne.

Skriftligt tilsyn

Det kan være løbende afrapporteringer fra databehandleren, f.eks. baseret på ISO 27007 eller andre typer af kontroller, der kan rapporteres om på skrift – eller stikprøver og udvalgte temaområder, der afspejler den dataansvarliges risikovurdering.

Underdatabehandlere

Databehandleren skal sørge for at pålægge underdatabehandlere de samme databeskyttelseskrav, som databehandleren er pålagt – og som udgangspunkt er det databehandleren selv, der skal føre tilsyn med sine underdatabehandlere. Men den dataansvarlige skal sikre sig, at det rent faktisk også sker. Det kan f.eks. ske ved, at databehandleren sender dokumentation for afholdte tilsyn hos underdatabehandlere til den dataansvarlige.

Har I brug for hjælp, så kontakt Wivi H. Larsen

Du kan læse mere om tilsynsreglerne på Datatilsynets hjemmeside
Læs mere om
Kontakt
Photo of Wivi H. Larsen
Wivi H. Larsen
Advokat (H)
Læs mere

Relateret indhold

Artikel Ansættelsesret
Loyalitetspligt og konkurrencehandlinger
Nicholas Ørum Keller • 2. jan. 2024
Artikel Selskabsret Ansættelsesret
Konkurrenceklausul for medarbejder-aktionær? Her er 3 faldgruber der gør klausulen ugyldig
Nicholas Ørum Keller • 2. jan. 2024
Artikel Dødsbobehandling Arv og testamente
Dødsboskifteformer i Danmark
Sajitha Sureshkanna • 2. jan. 2024
Artikel Ansættelsesret
Må du opsige far, inden han går på barsel?
Nicholas Ørum Keller • 12. dec. 2023
Artikel Arv og testamente Ægtepagt
Har I sikret hinanden?
Sajitha Sureshkanna • 6. dec. 2023
Artikel Erhverv
Sådan beskattes crowdfunding
Wivi H. Larsen • 6. dec. 2023
Artikel Compliance (GDPR/ESG)
Persondata på arbejdspladsen
6. dec. 2023
Artikel Retssager / Voldgift
Ambi-sager og EU-ret
Steen Petersen • 5. dec. 2023
Artikel Arv og testamente Ægtepagt Separation og skilsmisse
Mine, dine og vores børn – moderne sammenbragte familier
Sajitha Sureshkanna • 3. dec. 2023
Artikel Marketingret
Social Selling på LinkedIn
Nicholas Ørum Keller • 28. nov. 2023