Datatilsynet skærper kravene til brug af databehandlere

16 kommuner har fået en irettesættelse af Datatilsynets nye tilsynsenhed bl.a. for manglende intern kontrol med behandling af persondata samt manglende kontrol af sikkerheden hos deres databehandlere. Afgørelserne giver et billede af, at tilsynsenheden har skærpet tonen vedrørende overholdelse af persondataloven.

Datatilsynet har offentliggjort en række afgørelser, der omhandler 16 kommuners brud på persondataloven. Tilsynets nyhed om sagen kan læses her, mens afgørelserne kan findes her.

Inspektionerne blev gennemført som ti "skrivebordsinspektioner", hvor tilsynet alene har indsamlet oplysninger gennem spørgeskemaer mv. samt seks "traditionelle tilsyn", hvor tilsynet efter indsamling af oplysninger var på besøg hos kommunen. Tilsynet mangler forsat svar fra én kommune.

Skærpet kritik fra Datatilsynet

Tilsynsenheden har i fire tilfælde fastslået, at kommunerne havde meget omfattende mangler i efterlevelsen af persondataloven. Man valgte derfor at orientere de pågældende byråd om brud på persondataloven, hvilket kun sker meget sjældent. I de fire sager udtalte tilsynet "meget kritisabelt", hvilket er den tredje højeste kritik-grad tilsynet anvender. På tilsynets hjemmeside findes der to tilfælde, hvor der er udtalt "særdeles kritisabelt" og "overordentligt kritisabelt", hvoraf sidstnævnte blev udtalt i Hackersagen. Derudover ses der ikke i perioden 2013-2015 at være udtalt tilsvarende kritik ved tilsynets inspektioner hos kommuner eller private.

Der er altså tale om en skærpet tone fra den nye tilsynsenhed. Tonen må samtidigt anses som et klart signal til dataansvarlige om, at de skal få bedre styr på deres behandling af persondata inden- og udenfor matriklen. Det gælder både for offentlige organisationer og private virksomheder.

Hvis man ikke overholder reglerne i persondataloven, vil det samtidig være usandsynligt, at man overholder de strengere krav der følger af persondataforordningen, som finder anvendelse fra 25. maj 2018.

Fokuspunkter for tilsynsenheden

Datatilsynets tilsynsstrategi for 2016 - 2018 drager bl.a. paralleller til udfordringerne med den kommende persondataforordning. Derudover fremhæves vigtigheden af, at dataansvarlige - såvel offentlige som private - retter fokus på beskyttelse af personoplysninger. Strategien er tilgængelig her.

Tilsynsenhedens fokus i 2016 har bl.a. været på dataansvarliges interne kontroller med behandling af persondata samt kontrol af sikkerheden hos databehandlere.

I 2015 havde tilsynet bl.a. fokus på databehandleraftaler (persondatalovens § 42, stk. 2), hvor tilsynet anmodede om at få udleveret den dataansvarliges aftaler i forbindelse med inspektionerne. Tilsynsenheden er altså gået et spadestik dybere i 2016 og vil nu sikre sig, at de dataansvarlige faktisk fører kontrol af sikkerheden hos deres databehandlere som foreskrevet i persondatalovens § 42, stk. 1.

Plesners anbefaling

I lyset af tilsynsenhedens fokuspunkter frem til 2018, herunder tilsynets skærpede tone, kan man som dataansvarlig passende spørge sig selv, om man har tilstrækkelige interne kontroller med behandling af persondata og tilsvarende har kontrolleret sikkerheden hos de databehandlere, som man bruger - og at man kan dokumentere dette.

Hvis svaret er nej, og man samtidig kun lige har fået rettet fokus på ens behandling af personoplysninger, har Plesner udarbejdet 8 gode råd til, hvordan man bør tage fat på arbejdet med at leve op til persondataforordningen, der kan findes her.

De nugældende regler i persondataloven bliver med persondataforordningen skærpet, og særligt kravet om ansvarlighed ('accountability', jf. artikel 5 (2) og 24) vil være nyt for de fleste; Herefter skal de dataansvarlige kunne dokumentere, at der er truffet foranstaltninger, der giver en rimelig grad af sikkerhed for, at behandling af persondata sker i overensstemmelse med persondataforordningen, dvs. bl.a. interne kontroller vedrørende overholdelse af reglerne og kontrol med sikkerheden hos databehandlere.

Det kan ikke afvises, at Datatilsynets nye tilsynsenhed - i det omfang det var muligt -  har skelet til det kommende krav om ansvarlighed og har ønsket at give de dataansvarlige et forvarsel om, at der forestår et stort arbejde med at blive klar til de nye regler i persondataforordningen. Dette er særligt tilfældet for dataansvarlige, der ikke overholder persondataloven.

De databehandlere, der kan hjælpe kunderne med at føre kontrol med sikkerheden og med at dokumentere indholdet af kontrollen, vil have et stort kommercielt forspring, da de dataansvarlige vil blive nødt til at være mere kritiske med deres valg af databehandler.

Seneste nyt om Persondata

Persondata