Tilsyn med databehandlere
Hvis en virksomhed benytter databehandlere, som f.eks. et lønbureau til at behandle personoplysninger om medarbejdere, skal der indgås en databehandleraftale. Den kan udformes på Datatilsynets nationale skabelon, som kan findes via nedenstående link.
Virksomheden skal være opmærksom på, at det ikke er tilstrækkeligt at indgå en databehandleraftale, og så gemme aftalen i en mappe. Virksomheden er stadig dataansvarlige, selvom den konkrete behandling af personoplysninger foregår hos databehandleren, eller hos dennes underdatabehandlere. Derfor har virksomheden også ansvaret for at kontrollere, at persondataforordningen overholdes hos databehandlere og underdatabehandlere, og at behandlingssikkerheden er i orden.
Hvis datatilsynet kommer på besøg skal virksomheden både kunne fremvise databehandleraftaler og påvise at der føres tilsyn med databehandlernes overholdelse af reglerne.
Tilsyn tager udgangspunkt i en kontrol af de aftalte sikkerhedsforanstaltninger og kan ske både fysisk og ved indsamling af skriftlig dokumentation. Formen afhænger af risikoen, ved høj risiko kan fysiske tilsyn være nødvendige. Hyppigheden af tilsyn afhænger ligeledes af risikoen, ved høj risiko anbefales halv- eller helårlig kontrol, ved lav risiko kan tilsyn gennemføres med en lavere frekvens.
For så vidt angår underdatabehandlere skal tilsynet udføres af databehandleren, men virksomheden skal sikre sig, at tilsynet gennemføres og indhente skriftlig dokumentation herfor.
FSR-forenede revisorer har i samarbejde med Datatilsynet udarbejdet en erklæring, der kan hjælpe virksomheder og revisorer med at gennemføre tilsynet.