Home » Erhverv » GDPR betyder strengere regler for outsourcing af data
GDPR betyder strengere regler for outsourcing af data

GDPR betyder strengere regler for outsourcing af data

Share
Altid virksomhedens ansvar

Det er ikke nyt, at man som dataansvarlig har ansvaret for, at der indgås en skriftlig aftale, når man overlader persondata til en ekstern databehandler. Det nye ligger i listen af forhold, som nu skal indgå i aftalen, herunder f.eks. organisatoriske og tekniske krav til databehandleren, særlige betingelser for samarbejde samt kommunikation mellem den dataansvarlige virksomhed og behandleren.

Endvidere er risikofordeling i forbindelse med aftalebrud en faktor, man er nødt til at forholde sig til. Det betyder, at virksomheden er nødt til at gennemgå sine eksisterende aftaler for at sikre, de er på niveau med GDPR.

”Som virksomhed er man ansvarlig for den EU-borger, man har fået data fra, da det er mellem borger og virksomhed, der indgås en kontrakt i relation til persondata. At man som virksomhed vælger at outsource databehandling til et tredjeland, fordi det f.eks. er billigere, ændrer ikke ved, at ansvaret ved et eventuelt databrud pålægges ens egen virksomhed”, siger Niels Christian Døcker.

Det er dog gennemgående for GDPR, at der er en større frihedsgrad i forbindelse med almindelige persondata end i forbindelse med personfølsomme data. Persondata dækker over f.eks. navn og alder, mens personfølsomme data kan være oplysninger om helbred.

Tag udgangspunkt i ISO 27001

Kravene til beskyttelse af informationer efter ISO 27001 fungerer som et velegnet skelet til at tackle de nye lovkrav i persondataforordningen. Eller sagt på en anden måde – hvis databehandleren lever op til denne internationale standard, er man nået et godt stykke med henblik på at leve op til persondataforordningen. Ifølge kommunikationskonsulent Nina Vindel fra Dansk Standard er ISO 27001 kendt verden over.

Det er persondataforordningen ikke, hvilket er endnu et godt argument for, at virksomhederne læner sig op ad denne, når virksomhederne skal sikre sig, at den eksterne databehandler uden for EU lever op til lovkravene. Omdrejningspunktet for standarden er risikostyring. ISO 27001 giver således et overblik over organisationens informationer og understøtter en passende beskyttelse af de data, som outsources.

Se også:  Nu får Danmark en mærkningsordning for it-sikkerhed

Standarden kan altså være med til at sikre, at der udarbejdes aftaler, og at man med afsæt i et opdateret risikobillede følger op på outsourcingpartnerens performance. Derved kan man indbygge foranstaltninger til at beskytte de registrerede personers rettigheder, som er afstemt efter en vurdering af risici i den konkrete leverandørrelation.

Forslagene til kontroller i ISO 27001’s anneks kræver, at man som virksomhed tager aktivt stilling til behovet for at overvåge eller måske auditere sine leverandørers services. Standardens generelle fokus på dokumentation af organisationens informationssikkerhedsadfærd er også i tråd med forordningens fokus på dokumentation af lovmedholdelighed.

Skærpede bødeforhold

Også de skærpede bødeforhold ved eventuelle databrud afhænger af typen af data. Er der tale om almindelige persondata, er bødeniveauet op mod 2 procent af virksomhedens globale omsætning, mens det er op mod 4 procent, hvis der er tale om personfølsomme data.

Det er dermed afgørende at have overblik over, hvilken type data, man som virksomhed overdrager til et tredjeland. Ofte outsources opgaver forbundet til kunde-betjening, programmering eller arkivering. Herudover er det udbredt at bruge Cloud Providers til dataopbevaring. Typen af data, der outsources, afhænger dog i høj grad af typen af virksomhed, og derved er gevinsten ved outsourcing også forskellig.

Persondataforordningen kræver, at man tager stilling til sikkerheden af de persondata, som databehandleren får mellem hænderne, og at man gør sig overvejelser om, hvor de pågældende data rent fysisk befinder sig, hvor længe de opbevares, og hvordan de tilbagekaldes, arkiveres eller slettes.

Danske virksomheder skal altså have et klart billede af, hvilken type data, de overdrager, og hvordan data bliver behandlet hos leverandøren. For at skabe dette overblik kan virksomhederne med fordel anvende den internationale standard for informationssikkerhed, ISO 27001 som udgangspunkt.

Danmark er nødt til at rette ind

Persondataforordningen med gyldighed fra 25. maj afløser et direktiv fra 1995, der i dag er håbløst forældet. Når der er tale om en forordning, betyder det samtidig, at det nye regelsæt er løftet op på EU’s øverste myndighedsniveau. Ikke desto mindre har man åbnet op for, at de enkelte lande på mere end 50 punkter kan tilpasse regelsættet lokalt, hvilket er helt usædvanligt for en forordning.

Se også:  Politisk berufsverbot i sikkerhedsbranchen

Det skal derfor blive interessant at se, hvilke lokale tilpasninger, der vil ske i Danmark, hvor især de nye muligheder for bøder i millionklassen er en helt ny dagsorden. ”I andre lande er man allerede vant til store bøder. Eksempelvis i Italien, hvor en virksomhed for nogle år siden blev idømt en bøde på 5,3 millioner euro for brud på datasikkerheden.

Den største bøde, Datatilsynet har udstedt i Danmark, er på 25.000 kroner, hvilket ingenlunde animerer virksomhederne til måske at bruge en mindre formue på sådan en som mig med henblik på at sikre, at databehandlingsprocesserne lever op til lovgivningen”, siger advokat Niels Christian Døcker, der dog imødeser en overgangsordning, inden de helt store bøder begynder at falde.

Ifølge persondataforordningen er bødetaksterne på op til 2 og 4 procent af virksomhedernes omsætning en øvre grænse, men Niels Christian Døcker er ikke i tvivl om, at Datatilsynet så at sige af politiske og kollegiale hensyn er nødt til at følge de høje bødeniveauer i udlandet.

I modsat fald kunne man forestille sig, at udenlandske virksomheder ville spekulere i små bødestørrelser og lade sig registrere i Danmark med henblik på at få eventuelle sager behandlet af de danske myndigheder – og det ville ikke være velset i EU-systemet.

TAGS
Datalovgivning
EU
gdpr
persondataforordning

DEL DENNE
Share


Mest populære
Populære
Nyeste
Tags

Find os på de sociale medier

Modtag dagligt IT-nyhedsbrev

Få gratis tech-nyheder i din mail-indbakke alle hverdage. Læs mere om IT-UPDATE her

Find os på FaceBook

Alt om DATA

Lautrupsgade 7,
DK-2100 København Ø
Telefon: 33 91 28 33
redaktion@altomdata.dk

Datatid TechLife

Lautrupsgade 7,
DK-2100 København Ø
Telefon: 33 91 28 33
redaktion@datatid.dk

Audio Media A/S

CVR nr. 16315648,
Lautrupsgade 7,
DK-2100 København Ø
Telefon: 33 91 28 33
info@audio.dk
Annoncesalg / Prislister:
Lars Bo Jensen: lbj@audio.dk Telefon: 40 80 44 53
Annoncer: Medieinformation


Alt om DATA, Datatid TechLife  © 2020
Privatlivspolitik og cookie information - Audio Media A/S