For at sikre, at I som dataansvarlige bliver ved at leve op til jeres forpligtelser, er det bl.a. afgørende, at I har styr på jeres databehandleraftaler. Her følger nogle lette fif til at få en god rutine i den forbindelse.
Når I skal etablere en god rutine i forbindelse med databehandleraftaler, er det en god idé at:
- Sørge for at opbevare alle jeres databehandleraftaler samlet. Gem dem f.eks. i en mappe på jeres drev.
- Gemme en liste over alle jeres databehandlere i den samme mappe. Tilføj også de samarbejdspartnere, som I har valgt ikke at have databehandleraftaler med og noter evt. begrundelse (f.eks. ”ikke databehandler”, ”selvstændig dataansvarlig” mv.).
- Gennemgå listen som en fast del af jeres GDPR-opfølgning f.eks. halvårligt. Er listen fortsat dækkende? Skal der slettes eller tilføjes databehandlere? Skal nogle af aftalerne opdateres på baggrund af ændringer i samarbejdet eller i organisationen?
Hvorfor laver vi databehandleraftaler?
Rådgivninger vil, som alle andre organisationer, ofte have brug for at inddrage eksterne aktører i opgaver, som omfatter behandling af personoplysninger. Det kan f.eks. være konsulenthuse, som gennemfører brugerevalueringer, chatudbydere eller virksomheder, som yder support i forhold til regnskab, IT eller løn. I disse tilfælde er rådgivningen dataansvarlig, mens de eksterne aktører, som behandler personoplysninger på vegne af rådgivningen, vil være data-behandlere.
Som dataansvarlig har man ansvar for at sikre, at databehandlerne træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte data. Dette sikres ved at indgå databehandleraftaler med de eksterne aktører, som pålægger disse at behandle data korrekt og sikkert, så behandlingen lever op til kravene i Databeskyttelsesforordningen og -loven. En databehandleraftale er en bindende kontrakt, som skal være skriftlig og skal opbevares elektronisk.
Find Datatilsynets skabelon til en databehandleraftale under Datatilsynets vejledninger.
Læs også mere om forskellen på, hvornår man er hhv. dataansvarlig og databehandler i RådgivningsDanmarks Vejledning om Databeskyttelsesforordningen og -loven, som kan findes her.
Hvorfor månedens GDPR-fif?
RådgivningsDanmark har søsat et større GRDP-projekt og har generelt fokus på at understøtte medlemmerne i at blive og forblive GDPR-compliant, så vi i fællesskab passer godt på vores brugeres data. Et vigtig skridt i denne retning er at få indarbejdet GDPR-compliance som en integreret del af den daglige drift, sådan at vedligehold af dokumentation, sletning af data, opfølgning på indgåede aftaler mv. sker fast og foregår efter en cyklus.
Som et led heri giver vi i hvert nyhedsbrev en række helt enkle anbefalinger, som kan understøtte indsatsen og bidrage til gode GDPR-rutiner.