Relevante overvejelser for IT-sikkerhed og compliance
På plenarmødet den 7.-8- oktober 2024 vedtog Det Europæiske Databeskyttelsesråd (EDPB) en ny vejledende udtalelse om dataansvarliges forpligtelser ved brug af databehandlere.
Det danske Datatilsyn har spillet en central rolle i arbejdet og ønskede at skabe en fælles forståelse af reglerne for brug af databehandlere, især ved komplekse services og cloudløsninger. Dette er relevant for virksomheder i både Danmark og resten af Europa, der benytter sig af databehandlere, ofte med flere lag af underleverandører.
De vigtigste punkter i udtalelsen fra EDPB giver virksomheder en ramme til at sikre overholdelse af GDPR i forbindelse med outsourcing og cloud-services. De mest centrale områder, som bør overvejes, omfatter:
Identifikation af databehandlere og underleverandører
- Som dataansvarlig skal man kunne identificere alle databehandlere og deres eventuelle underleverandører. Dette øger gennemsigtigheden og hjælper med at sikre, at databehandlingskæden er i overensstemmelse med GDPR.
Verifikation af databeskyttelsesforpligtelser
- Det er afgørende at sikre, at underdatabehandlere overholder de samme databeskyttelses- forpligtelser som den primære databehandler. Dette kan indebære behovet for yderligere dokumentation eller audits, særligt når man arbejder med cloud-leverandører, hvor databehandlingen ofte foregår i flere lag.
Dokumentation ved overførsel til tredjelande
- Hvis persondata overføres til underdatabehandlere uden for EU/EØS, f.eks. via cloud-løsninger, kræves der omfattende dokumentation for at sikre GDPR-overholdelse. Det er ikke tilstrækkeligt at stole på hoveddatabehandleren; der skal være fuld gennemsigtighed i hele databehandlerkæden.
Muligheder og risici
Den fælles udtalelse understøtter en mere ensartet praksis på tværs af EU, hvilket mindsker risikoen for nationale fortolkningsforskelle og potentielle bøder. Det åbner også mulighed for at styrke kompetencer inden for compliance, databeskyttelse og IT-sikkerhed.
Anbefalinger
- Opdatering af compliance processer: Implementér kontrolmekanismer, der sikrer, at alle databehandlere og deres underleverandører opfylder GDPR-kravene.
- Cloud- kontrakter og SLA’er: Sørg for, at kontrakter med cloud-leverandører omfatter de nye dokumentationskrav, især ved tredjelandsoverførsler.
Læs mere om EDPB’s udtalelse på Datatilsynets hjemmeside: EDPB’s udtalelse
Har din virksomhed brug for hjælp til at får styr på GDPR-reglerne, så kan sure’it hjælpe.
I sure’it har vi de faglige kompetencer og den nødvendige erfaring til at rådgive dig inden for GDPR og IT-sikkerhed. Sure’it kan derfor sammen med dig styrke din virksomheds cyber- og datasikkerhed, databeskyttelse og dataetik.
Læs mere om hvordan vi i sure’it kan hjælpe din virksomhed med GDPR og IT-sikkerhed på https://sureit.dk/services/it-sikkerhed-og-beredskab
Eller kontakt Per Ulrik Nielsen på tlf.: 42 80 60 20, på mail: sureit@sureit.dk eller via kontaktknappen herunder.