Et vink med en vognstang om, at der skal føres tilsyn med databehandlere

Datatilsynet har anmeldt et privathospital til politiet og har indstillet til en bøde på ikke under DKK 1.500.000. Privathospitalet havde ikke ført tilsyn med sine databehandlere.

Det er værd at bemærke, at bøden angiveligt ikke skyldes, at der var noget at påtale hos privathospitalets databehandlere, men alene det forhold, at privathospitalet ikke kunne dokumentere, at de havde vurderet deres databehandlere og ført tilsyn.

Datatilsynet fremhæver, at privathospitalet ikke lever op til princippet om ansvarlighed (”accountability”), da privathospitalet ikke har været i stand til at sikre og påvise, at personoplysninger behandles til lovlige og rimelige formål og på en måde, der sikrer tilstrækkelig sikkerhed.

Når en virksomhed eller myndighed overlader behandling af personoplysninger til en anden virksomhed, er det ikke nok ’bare’ at indgå en databehandleraftale.  Inden man overlader behandlingen til en anden, skal man sikre sig, at modtageren er i stand til at overholde behandlingsinstruksen, og leve op til persondatareglerne, og derefter skal man løbende føre tilsyn med at det rent faktisk sker.

Tilstrækkelige tilsyn med databehandlere kræver først og fremmest, at man har overblik over hvilke databehandlere, man gør brug af, og til hvad. Derudover skal man have vurderet hvor indgående tilsyn, der er påkrævet, og hvor ofte det skal gennemføres. Der kan findes god inspiration i Datatilsynets vejledning om tilsyn med databehandlere. Til sidst skal tilsynene naturligvis udføres og dokumenteres.

Kravene er der ikke noget nyt i. Men det er nyt at Datatilsynet nu har hevet bødeblokken frem for overtrædelser. Så måske det er et godt tidspunkt at spørge sig selv om; ’Har vi overblik over alle vores databehandlere – og fører vi tilsyn med dem?’

Kontakt os for specialiseret rådgivning

Vores team af databeskyttelsesspecialister kan hjælpe jer med at identificere jeres databehandlere og rådgive om tilrettelæggelsen og udførelsen af tilsyn med databehandlere.

Seneste nyheder

Vis mere
udbudsret advokat

Manglende erfaring i brug af elektronisk udbudsportal er eget ansvar

maj 08 2024

Læs mere

Ordregivers skønsmæssige kvalitative vurdering tilsidesat i ny kendelse fra Klagenævnet for Udbud

maj 01 2024

Læs mere
cybersecurity datacenter NIS2

Hvad har cybersikkerhed med offentlige kontrakter at gøre – NIS2 i et udbudsretligt lys

apr 24 2024

Læs mere