Spring navigation over
Indhold start

Databehandleraftaler - uensartet praksis på tværs af kommuner

Sendt til Justitsministeriet
Dato 07.06.2017
Nummer 682

Status: Behandles
Læs mere om status

Modtag email når forslag ændrer status

 

Gennemføres ikke

Betyder, at regeringen har valgt ikke at gennemføre forslaget. Regeringen forklarer hvorfor.

Gennemføres delvist

Betyder, at enkelte dele ikke gennemføres eller gennemføres på en anden måde end Virksomhedsforum har foreslået.

Gennemføres

Betyder, at forslaget gennemføres og der iværksættes initiativer for at levere forenkling på området.

Behandles

Betyder, at regeringen er ved at behandle forslaget fra Virksomhedsforum.

 

X

Problem

Leverandører til den offentlige sektor skal, hvis de løser bestemte typer af opgaver, underskrive databehandleraftaler med relevante offentlige myndigheder. Det gælder f.eks., hvis leverandøren er i besiddelse af oplysninger om borgeres adresser, fordi de får udbragt mad eller er visiteret til plejeprodukter. I de situationer er kunden, f.eks. en kommune, dataansvarlig, mens leverandøren er databehandler.

DI’s medlemsvirksomheder oplever, at kommunernes praksis varierer i forhold til, 1) hvornår der stilles krav om databehandleraftaler, og 2) hvordan databehandleraftaler ser ud, herunder uens krav om revisionspåtegninger på tværs af kommuner.

Bl.a. er der varierende krav til, hvorvidt de samme databehandleraftaler skal indgås med leverandørens underleverandører inkl. krav om revisionspåtegning og uanmeldt kontrol. Det er omkostningstungt for dataleverandøren at forestå og håndtere de mange forskellige aftaler med divergerende krav.

Medlemsvirksomheder af DI har konkret oplevet, at kommunernes praksis varierer. Generelt er det virksomhedernes indtryk, at kommunerne ukritisk og per automatik stiller krav om databehandleraftaler, uden at det er konkret begrundet i den opgave, som virksomhederne skal løse for kommunen. Det resulterer i et unødvendigt omkostningsfordyrende element.

I forbindelse med et udbud fra Københavns Kommune i sommeren 2016 stillede en konkret virksomhed i tilbudsfasen et skriftligt spørgsmål til kommunen om, hvorvidt det var relevant at anvende en databehandleraftale. Efter genovervejelse konkluderede kommunen, at kravet ikke var relevant, og de frafaldt kravet. I andre tilfælde har kommuner fastholdt et tilsvarende krav.

Berørte virksomheder

I praksis alle leverandører til offentlige myndigheder og institutioner.

DI har kendskab til konkrete virksomhedseksempler på tværs af brancherne handel, rådgivning, bygge og anlæg samt IT.

Forslag

Virksomhedsforum foreslår, at der udarbejdes klare og ensartede retningslinjer for, hvornår databehandleraftaler bør anvendes af kommuner, og hvornår det ikke er nødvendigt at anvende en databehandleraftale i forhold til hidtidig praksis samt en fælles standard for en databehandleraftale, som anvendes i alle kommuner.

Nye krav i medfør af ikrafttrædelse af Persondataforordningen fra 25. maj 2018 bør indtænkes i løsningen. Der tænkes særligt på de øgede dokumentationskrav og håndtering af de registreredes rettigheder samt databehandlerens nye direkte forpligtelser.

Yderligere oplysninger

KOMBIT har netop lanceret en kommunal standard databehandler aftale.

Det løser potentielt set ønsket om en fælles standard, men ikke nødvendigvis, da kommunerne ikke er pålagt at benyttet aftalen. Desuden mangler der også fortsat klare og ensartede retningslinjer for den nødvendige brug af databehandleraftaler og de forskellige elementer heri – særligt de dele der ikke følger af lovgivning.

Persondataloven
Sikkerhedsbekendtgørelsen