Databeskyttelsesforordningen nærmer sig – hvad ved vi?
Med knap seks måneder til at databeskyttelsesforordningen træder i kraft, er både det offentlige og private i fuld gang med forberedelserne. Senest har Datatilsynet offentliggjort deres vejledning om sondringen mellem dataansvarlig og databehandler, og FSR er kommet med en erklæring til brug for revision af databehandlere. Vi samler op og ser frem mod 2018.
Datatilsynets vejledning om sondringen mellem dataansvarlig og databehandler
Inden du begynder at behandle persondata, er det vigtigt at kende din rolle som enten dataansvarlig eller databehandler. Denne rolle har stor betydning for det ansvar og forpligtelser, der hviler på dig. Sondringen er ikke altid nem at lave, og Datatilsynet har derfor udgivet en vejledning med eksempler, der skal hjælpe med at definere rollerne.
Det afgørende for rollefordelingen er, hvem af parterne der bestemmer formålet med – og de væsentligste tekniske hjælpemidler til brug for – behandlingen af persondata. Det er ikke muligt for parterne i et aftaleforhold at bestemme på forhånd, hvem der er dataansvarlig eller databehandler. Vi anbefaler derfor, at såvel formålet som hjælpemidler fremgår klart af aftalen, så det er tydeligt, hvem der har hvilke forpligtelser og ansvar som henholdsvis dataansvarlig eller databehandler, så reglerne kan overholdes.
FSR's erklæring til brug for revision af databehandlere
I databeskyttelsesforordningen stilles der krav til, at den dataansvarlige fører tilsyn med, at databehandleren overholder parternes databehandleraftale. En måde at opfylde dette krav på er ved at lade en uafhængig revisor revidere databehandlerens levering af ydelserne. Foreningen af Statsautoriserede Revisorer (FSR) har udarbejdet en standarderklæring til netop dette formål.
FSR's erklæring kan bruges af revisoren ved revision af databehandleren, og erklæringen kan herefter gives til den dataansvarlige. Erklæringen konkluderer alene effektiviteten af de procedurer og kontroller, som databehandleren har etableret for at sikre en tryg beskyttelse og behandling af personoplysningerne. FSR har også lavet en vejledning og et inspirationskatalog over de mest relevante kontrolmål, som kan bruges til revision af aftaleforhold med karakter af outsourcing og databehandling, herunder aftaler om housing, drift af operativsystemer og databaser samt ansvar for applikationer og processer.
Vi anbefaler derfor, at det i databehandleraftalen fastlægges, hvad den dataansvarliges og dennes revisor skal have adgang til for at kunne overholde tilsynsforpligtelsen. Dette kan lette den dataansvarliges tilsyn og samtidig sikre klare linjer for databehandleren, der således ved, hvad der skal gives adgang til.
Forslag til databeskyttelseslov er offentliggjort
I oktober udkom vores persondataretlige nyhedsbrev i forlængelse af lovforslaget om den nye databeskyttelseslov, hvori Datatilsynets udgivelse af FAQ om databeskyttelse også indgik.
Mere på vej
Datatilsynet planlæger at udgive en række vejledninger frem mod at databeskyttelsesforordningen træder i kraft, herunder særligt vejledninger om cloud computing og håndtering af brud på persondatasikkerheden. Begge vejledninger forventes at blive udgivet i januar.
Vi opdaterer løbende i vores nyhedsbrev, og hvis du vil modtage alle nyheder om persondata fra Kromann Reumert, kan du også tilmelde dig vores persondataretlige nyhedsbrev.
Kontakt
