Eksterne kontroller

Eksterne kontroller

Når forordningen skal efterleves, er det helt centralt, at organisationen formår at stille de rette krav til sine samarbejdspartnere – særligt databehandlerne. Men det er ikke gjort med krav. Der er en forventning om, at der følges op på kravene med kontroller, således at det sikres, at kravene faktisk føres ud i livet. Derfor skal den dataansvarlige gennemføre kontroller af sine databehandlere, hvilket er genstanden for denne artikel.

Databehandlere

De organisationer, som virksomheden instruerer i at behandle personoplysninger for sig, har status af at være databehandlere. Artikel 24 fastslår organisationens ansvar for behandlingerne. Et sådant ansvar kan ikke løftes uden at gennemføre kontrol af de aftaler, som indgås. Artikel 28, stk. 3 fastslår, at databehandleren skal stille al den information til rådighed, som organisationen finder er nødvendigt, for at den kan sikre sig, at databehandlingen er compliant med reguleringen. Databehandlere skal herunder stille sig til rådighed for audits. Audits kan gennemføres af organisationen selv eller af en stedfortræder – f.eks. en revisor.

Når man skal fastlægge kontroller, er det en god idé at gå frem efter de krav, der stilles til databehandleren i artikel 28. Databehandleren skal således f.eks.:

  • ikke bruge personoplysninger til formål fastsat af ham selv
  • ikke bruge ikke-godkendte underdatabehandlere
  • have fortrolighedserklæringer for de ansatte på plads
  • hjælpe organisationen med bl.a. konsekvensanalyser og udlevelse af de registreredes rettigheder
  • beredvilligt hjælpe til ved organisationens audits
  • slette eller tilbagelevere personoplysninger ved ophør af kontrakten
  • rapportere om eventuelle databrud
  • have implementeret de aftalte sikkerhedsforanstaltninger

I praksis lægges der særlig stor vægt på, om de rette sikkerhedsforanstaltninger efterleves. Organisationen bør på forhånd, inden databehandleraftalen indgås, lave en vurdering af hvilke risici, som det kan være relevant at imødegå med foranstaltninger. Disse foranstaltninger skrives ind i databehandleraftalen og det er disse foranstaltninger, som skal underkastes en audit. På det overordnede plan kan organisationen undersøge om databehandleren har forskellige certificeringer, som understøtter troen på, at de passende tekniske og organisatoriske sikkerhedsforanstaltninger er implementeret. Det kan f.eks. være at databehandleren har en ISO2700X eller tilsvarende certificering. Databehandleren kan også have fået gennemført diverse audits og kan måske fremlægge forskellige revisionserklæringer – f.eks. en ISAE 3402, type II erklæring eller en ISAE 3000 erklæring. Når organisationen skal evaluere disse erklæringer, er det vigtigt at sikre sig, dels at der ikke er nogen anmærkninger, og dels at de systemer, organisationen anvender hos databehandleren, er indenfor scope af revisionen.

Da kontrollerne bør afspejle risici og foranstaltninger kan man ikke lave en egentlig bruttoliste over kontroller, som passer på enhver organisation. Som eksempler på kontroller kan bl.a. nævnes brugerstyring, sikkerhedsopdatering af tjenester, uafhængige penetrationstests, overvågning og logning, backup, kryptering, segmentering og fysisk sikkerhed.

Forordningen siger ikke noget om frekvensen og grundigheden af audit. Det overlades derfor til organisationen at fastlægge et niveau i overensstemmelse med risici.

Rådet for Digital Sikkerhed har lavet en kortfattet opsummering af de trin, som det er relevant at gå frem efter, når man skal gennemføre sine audits:

  • Skab et ensartet overblik over leverandører og risikovurder dem.
  • Skriv krav til leverandørens sikkerhed ind i kontrakten.
  • Opbyg et rammeværk med roller og rapportering.
  • Mål og overvåg, at leverandøren overholder sikkerhedskravene.
  • Kommuniker løbende om trusler, sårbarheder og risici.

Også andre aktører har skrevet rammeværk, som man med fordel kan tage udgangspunkt i, hvis organisationen ikke selv har stærke kompetencer indenfor kontroller af databehandlere. Der henvises til link-samlingen i slutningen af dette dokument.

Underdatabehandlere

Organisationen har principielt set ansvaret for, at underdatabehandlere også kontrolleres med hensyn til sikkerhed, fordi den dataansvarlige er ansvarlig for hele behandlingen. I praksis har den dataansvarlige dog kun begrænsede muligheder for at gennemføre en sådan kontrol. Derfor må kontrollen især gå på, om databehandleren auditerer underdatabehandlerne og hvilke resultater disse audits giver anledning til.

Kontrol af andre samarbejdspartnere

Det er ikke alene gjort med kontrol af databehandlerne. Det må lægges til grund, at i det omfang andre samarbejdspartneres sikkerhed har betydning for sikkerheden hos organisationen, så bør der også gennemføres passende kontroller hos disse samarbejdspartnere. En sådan eventuel risiko bør afspejle sig i organisationens risikovurdering, og kontrollerne af samarbejdspartnerne bør anskues som en organisatorisk foranstaltning. Blandt disse andre samarbejdspartnere kan nævnes kunder, som man har en omfangsrig systemintegration med, halv- eller hel-offentlige serviceprovidere, som man ligeledes at tæt forbundet med digitalt eller andre leverandører, der blot ikke har status af at være databehandler – f.eks. teleselskaber.

Det skal bemærkes, at da disse samarbejdspartnere ikke har karakter af at være databehandlere, er det ikke sikkert at organisationen har et instrument til at kræve at gennemføre kontrollerne. Mulighederne herfor vil typisk være reguleret i kontrakten. Det kan give anledning til justering af kontrakten enten øjeblikkeligt eller ved førstkommende forhandling af kontrakten. Det kan derfor anbefales at gå diplomatisk til værks, når man skal afklare mulighederne for at gennemføre disse kontroller.

Kontrol-framework

Ligesom med de interne kontroller, kan man med fordel indarbejde kontrollerne med databehandlere og andre samarbejdspartnere i et kontrol-framework, der er afledt af de regler, organisationen har opstillet. Kontrollerne kan dermed på lige fod med de interne kontroller lægges ind i et årshjul, så man sikrer, at man systematisk kommer hele vejen rundt om det, som man har planlagt. 

Links

Datatilsynets vejledende tekst om tilsyn med databehandlere og underdatabehandlere:
https://www.datatilsynet.dk/media/6865/vejledende-tekst-om-tilsyn-med-databehandlere-og-underdatabehandlere.pdf

DI’s vejledning om kontroller af leverandører:
https://digital.di.dk/SiteCollectionDocuments/Vejledninger/Sikkerhedsmæssige%20overvejelser%20ved%20cloud%20computing%20og%20outsourcing.pdf

Rådet for Digital Sikkerheds vejledning om kontrol af leverandører:
https://static1.squarespace.com/static/5592479ee4b0224fac5497af/t/5b7c18b3562fa704995cb971/1534859443748/RFDS-holdningspapir+leverand%C3%B8rsikkerhed+v0.97+Juni+2018.pdf

Digitaliseringsstyrelsens kravkatalog til leverandører:
https://digst.dk/styring/standardkontrakter/klausuler-til-informationssikkerhed/kravkatalog-til-leverandoerer/

Bech Bruuns DPA service:
https://www.bechbruun.com/da/om-os/extraservices/legal-tech-dpa-service 

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin