Krav om databehandleraftaler: Har din virksomhed styr på jeres IT-leverandører, samarbejdspartnere og andre, der udveksles data med?

De fleste virksomheder har en ekstern IT-leverandør eller en samarbejdspartner, man udveksler data med. Virksomheden vil imidlertid være den dataansvarlige og har derfor visse forpligtelser i henhold til persondataloven. Særligt fokus bør man have på IT-leverandøraftaler. Der skal bl.a. være indgået en databehandleraftale, og virksomheden skal føre kontrol med sikkerheden hos den anvendte databehandler.

Datatilsynet har endnu en gang fokus på de manglende databehandleraftaler og har indledt sager mod Brøndby Kommune og Glostrup Kommune efter det kom frem i medierne, at de tilsyneladende ikke har indgået databehandleraftaler med deres eksterne leverandører til kommunens jobcentre, ligesom der heller ikke føres kontrol med de anvendte databehandlere.

Labora Legals kommentarer

Labora Legal bemærker, at det er vigtigt at have styr på sine data, herunder hvor data flyder hen eller opbevares. Et af de væsentligste tiltag for at beskytte sine data er at have det formelle aftalegrundlag i orden; IT-sikkerheden og personlige oplysninger må ikke kompromitteres. Som virksomhed kan man have mange databehandlere, nogle gange i flere led. Det gør det ekstra nødvendigt at have klare aftaler med sin databehandler og enkle kontrolprocesser i forhold til anvendelsen af underleverandørers krav om information om IT sikkerhedsbrud, sletning efter udløb af aftale eller overholdelse af andre krav til god databehandling.
 

Labora Legal anbefaler, at virksomhederne undersøger, om der er de databehandleraftaler, der skal være i forhold til IT-leverandører etc., herunder om indholdet overholder kravene i persondataloven. Men også andre samarbejdsforhold bør undersøges, om der flyder data over til samarbejdspartneren, i hvilket omfang dette er nødvendigt, og hvorvidt disse data er sikret via en aftale