GDPR: Hvordan kontrollerer man sine databehandlere?

By 
Henning Mortensen
November 22, 2019

Når GDPR-forordningen skal efterleves, er det helt centralt, at organisationen formår at stille de rette krav til sine samarbejdspartnere – særligt databehandlerne. Men det er ikke gjort med krav. Der er en forventning om, at der følges op på kravene med kontroller, således at det sikres, at kravene faktisk føres ud i livet. Derfor skal den dataansvarlige gennemføre kontroller af sine databehandlere, hvilket er genstanden for denne artikel.

Databehandlere

De organisationer, som virksomheden instruerer i at behandle personoplysninger for sig, har status af at være databehandlere. Et eksempel på en databehandler kan for eksempel være leverandøren af det it-system, som virksomheden bruger til at behandle kundeordrer, hvor oplysningerne bruges til at udføre forretningskritisk arbejde.



Artikel 24 fastslår endvidere organisationens ansvar for behandlingerne. Dette ansvar kan ikke løftes uden at gennemføre kontrol af de aftaler, som indgås.

Artikel 28, stk. 3 påbyder desuden databehandleren at stille al information til rådighed, som organisationen finder nødvendig, for at den kan sikre sig databehandlingen er i overensstemmelse med GDPR-regulativet (compliant). Databehandlere skal herunder stille sig til rådighed for audits. Audits kan gennemføres af organisationen selv eller af en stedfortræder – f.eks. en revisor.

Når man skal fastlægge kontroller, er det en god idé at gå frem efter de krav, der stilles til databehandleren i artikel 28.

Databehandleren skal således f.eks.:

  • Ikke bruge personoplysninger til formål fastsat af ham selv
  • Ikke bruge ikke-godkendte underdatabehandlere
  • Have fortrolighedserklæringer for de ansatte på plads
  • Hjælpe organisationen med bl.a. konsekvensanalyser og udlevelse af de registreredes rettigheder
  • Beredvilligt hjælpe til ved organisationens audits
  • Slette eller tilbagelevere personoplysninger ved ophør af kontrakten
  • Rapportere om eventuelle databrud
  • Have implementeret de aftalte sikkerhedsforanstaltninger

I praksis lægges der særlig stor vægt på, om de rette sikkerhedsforanstaltninger efterleves. Organisationen bør på forhånd, inden databehandleraftalen indgås, lave en vurdering af hvilke risici det kan være relevant at imødegå med foranstaltninger (Risikovurdering).

Disse foranstaltninger skrives ind i databehandleraftalen, og det er dem, der indgår i en audit. På det overordnede plan kan organisationen undersøge, om databehandleren har forskellige certificeringer, som understøtter troen på, at de passende tekniske og organisatoriske sikkerhedsforanstaltninger er implementeret. Det kan f.eks. være, at databehandleren har en ISO2700X eller tilsvarende certificering.

Databehandleren kan også have gennemført flere audits og kan måske fremlægge forskellige revisionserklæringer – f.eks. en ISAE 3402, type II erklæring eller en ISAE 3000 erklæring. Når organisationen skal evaluere disse erklæringer, er det vigtigt at sikre, dels at der ikke er nogen anmærkninger, og dels at de systemer, organisationen anvender fra databehandleren, er indenfor scopet af revisionen.

Da kontrollerne bør afspejle risici og foranstaltninger kan man ikke lave en egentlig one-size-fits-all bruttoliste over kontroller, som passer til alle organisationer. Eksempler på kontroller kan bl.a. være brugerstyring, sikkerhedsopdatering af tjenester, uafhængige penetrationstests, overvågning og logning, backup og foranstaltninger herfor, kryptering, segmentering og fysisk sikkerhed.

Forordningen siger ikke noget om frekvensen og grundigheden af audits. Det overlades derfor til organisationen at fastlægge et niveau, der er i overensstemmelse med de risici, som virksomheden har identificeret.

Rådet for Digital Sikkerhed har lavet en kortfattet opsummering af de trin, som det er relevant at gå frem efter, når man skal gennemføre sine audits:

  • Skab et ensartet overblik over leverandører og risikovurder dem.
  • Skriv krav til leverandørens sikkerhed ind i kontrakten.
  • Opbyg et rammeværk med roller og rapportering.
  • Mål og overvåg, at leverandøren overholder sikkerhedskravene.
  • Kommuniker løbende om trusler, sårbarheder og risici.

Også andre aktører har skrevet rammeværk, som man med fordel kan tage udgangspunkt i, hvis organisationen ikke selv har stærke kompetencer indenfor kontroller af databehandlere. Der henvises til link-samlingen i slutningen af dette dokument.

Underdatabehandlere

Organisationen har principielt set ansvaret for, at under-databehandlere også kontrolleres i henhold til sikkerhed, fordi den dataansvarlige er ansvarlig for hele databehandlingen. I praksis har den dataansvarlige dog kun begrænsede muligheder for at gennemføre en sådan kontrol. Derfor må kontrollen især gå på, om databehandleren auditerer underdatabehandlerne, og hvilke resultater, disse audits giver anledning til.

Kontrol af andre samarbejdspartnere

Det er ikke alene gjort med kontrol af databehandlerne. Det må lægges til grund, at i det omfang andre samarbejdspartneres sikkerhed har betydning for sikkerheden hos selve organisationen, bør der også gennemføres passende kontroller af samarbejdspartnerne.
En sådan eventuel risiko bør afspejle sig i organisationens risikovurdering, og kontrollerne af samarbejdspartnerne bør anskues som en organisatorisk foranstaltning. Blandt andre samarbejdspartnere kan nævnes kunder, som man har en omfangsrig systemintegration med, halv- eller hel-offentlige serviceprovidere, som man ligeledes er tæt forbundet med digitalt eller andre leverandører, der blot ikke har status af at være databehandler – f.eks. teleselskaber.

Det skal bemærkes, at da disse samarbejdspartnere ikke har karakter af at være databehandlere, er det ikke sikkert at organisationen har instrument til at kræve at gennemføre kontrollerne. Mulighederne herfor vil typisk være reguleret i kontrakten. Dette kan give anledning til justering af kontrakten enten øjeblikkeligt eller ved førstkommende forhandling af kontrakten. Det kan derfor anbefales at gå diplomatisk til værks, når man skal afklare mulighederne for at gennemføre disse kontroller.

Kontrol-framework

Ligesom med de interne kontroller, kan man med fordel indarbejde sine kontroller med databehandlere og andre samarbejdspartnere i et kontrol-framework, der er afledt af de regler, organisationen har opstillet. Kontrollerne kan dermed - på lige fod med de interne kontroller - lægges ind i et årshjul, så man sikrer, at man systematisk kommer hele vejen rundt om det man har planlagt.

Links

Datatilsynets vejledende tekst om tilsyn med databehandlere og underdatabehandlere:
https://www.datatilsynet.dk/media/6865/vejledende-tekst-om-tilsyn-med-databehandlere-og-underdatabehandlere.pdf

DI’s vejledning om kontroller af leverandører:
https://digital.di.dk/SiteCollectionDocuments/Vejledninger/Sikkerhedsmæssige%20overvejelser%20ved%20cloud%20computing%20og%20outsourcing.pdf

Rådet for Digital Sikkerheds vejledning om kontrol af leverandører:
https://static1.squarespace.com/static/5592479ee4b0224fac5497af/t/5b7c18b3562fa704995cb971/1534859443748/RFDS-holdningspapir+leverand%C3%B8rsikkerhed+v0.97+Juni+2018.pdf

Digitaliseringsstyrelsens kravkatalog til leverandører:
https://digst.dk/styring/standardkontrakter/klausuler-til-informationssikkerhed/kravkatalog-til-leverandoerer/

Bech Bruuns DPA service:
https://www.bechbruun.com/da/om-os/extraservices/legal-tech-dpa-service