I forhold til persondataloven dækker betegnelsen databehandler over den person eller det firma, der behandler personoplysningerne på vegne af den dataansvarlige, men hvad skal du egentlig vide om databehandleren og datasikkerhed?
Den dataansvarlige er den, der, enten alene eller sammen med andre, træffer afgørelse om, til hvilket formål og med hvilke hjælpermidler, der må foretages en behandling af personoplysninger. Det er databehandleren, der behandler personoplysningerne. Databehandleren er altså underlagt en instruktionsbeføjelse fra den dataansvarlige.
Datasikkerhed
Ifølge persondatalovens §§ 41 og 42 skal den dataansvarlige og databehandleren træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at
- Oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes
- Oplysninger kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven
Der kan for eksempel være tale om forhold som manglende adgangsbegrænsning og kontrol ved fratrædelser, manglende opdatering af IT-systemer, løbende passwordopdateringer, videregivelse af oplysninger til 3. mand og hackerangreb.
Kontrakt mellem dataansvarlig og databehandler
Af persondatalovens § 42, stk. 1 fremgår det, at den dataansvarlige har pligt til at sikre og påse et tilstrækkeligt sikkerhedsniveau hos databehandleren, og af § 42, stk. 2 fremgår det, at der er krav om en skriftlig kontrakt mellem den dataansvarlige og databehandleren.
– Som dataansvarlig er man altså også underlagt nogle krav, når det gælder behandling af persondata. De handler for eksempel om, at man skal have adgang til IT-rapporter fra databehandleren, og at der skal indgås en skriftlig kontrakt med databehandleren, hvori det blandt andet fremgår, at databehandleren kun må handle på instruks fra den dataansvarlige, forklarer advokat Christian Parbo fra Penta Advokater, der har tre råd til den dataansvarlige:
- Få overblik over de eksisterende politikker og procedurer og få udarbejdet oplysnings- og samtykketekster
- Skab overblik over datastrømmene
- Indhent tilladelse til behandling af personoplysninger, få klarhed over manglende databehandlingsaftaler og sørg for træning af relevante medarbejdere