Husk at føre kontrol med databehandlere

Efter at det er kommet frem i medierne, at jobcentrene i Brøndby og Glostrup Kommune ikke har indgået de påkrævede databehandleraftaler med deres databehandlere, har Datatilsynet af egen drift indledt sager mod de to kommuner.

Baggrunden er blandt andet, at de to kommuner som dataansvarlige ikke - som påkrævet i persondataloven - har ført tilstrækkelig kontrol med deres eksterne IT-leverandører, der som databehandlere skal opfylde en række sikkerhedskrav.

Med sagerne sætter Datatilsynet endnu engang fokus på sikkerhedskravene ved anvendelse af en ekstern IT-leverandør til behandling af personoplysninger. Undersøgelsen ligger i forlængelse af Datatilsynets udtalelse tilbage i juni måned 2012 om sikkerhedskrav ved behandling af personoplysninger i Microsofts cloudløsning Office 365.

I denne udtalelse fremhævede Datatilsynet, at der stilles krav til den dataansvarlige om indgåelse af en skriftlig aftale med databehandlere, ligesom den dataansvarlige er forpligtet til at føre kontrol med, at kravene om sikkerhedsforanstaltninger overholdes hos databehandleren.

Disse krav gælder for alle databehandlere, og ikke blot for cloudløsninger.

Det er derfor vigtigt som dataansvarlig at sikre sig, at databehandleren opfylder persondatalovens sikkerhedskrav ved blandt (1) at indgå en skriftlig databehandleraftale med det krævede indhold, (2) at foretage en risiko- og sikkerhedsvurdering af brugen af databehandleren ved aftalens indgåelse, og (3) at føre løbende kontrol med databehandleren.

Du kan læse Datatilsynets nyhed om indledning af sager mod de to kommuner her.

Du kan læse Datatilsynets udtalelse om behandling af personoplysninger i cloudløsningen Office 365 her.