Spring navigation over
Indhold start

Databehandleraftaler - omfattende krav til underleverandører

Sendt til Justitsministeriet
Dato 07.06.2017
Nummer 680

Status: Behandles
Læs mere om status

Modtag email når forslag ændrer status

 

Gennemføres ikke

Betyder, at regeringen har valgt ikke at gennemføre forslaget. Regeringen forklarer hvorfor.

Gennemføres delvist

Betyder, at enkelte dele ikke gennemføres eller gennemføres på en anden måde end Virksomhedsforum har foreslået.

Gennemføres

Betyder, at forslaget gennemføres og der iværksættes initiativer for at levere forenkling på området.

Behandles

Betyder, at regeringen er ved at behandle forslaget fra Virksomhedsforum.

 

X

Problem

Leverandører til den offentlige sektor skal, hvis de løser bestemte typer af opgaver, underskrive databehandleraftaler med relevante offentlige myndigheder. Det gælder f.eks., hvis leverandøren er i besiddelse af oplysninger om borgeres adresser, fordi de får udbragt mad eller er visiteret til plejeprodukter. I de situationer er kunden, f.eks. en kommune, dataansvarlig, mens leverandøren er databehandler. Mange databehandlere har underleverandører, f.eks. en leverandør af et CRM-system. Problemet er, at de offentlige dataansvarlige også stiller en række krav til disse underleverandører, som de allerede stiller til databehandleren, herunder:

- Indgåelse af databehandleraftale svarende til den databehandleren har indgået
- En årlig revisorerklæring
- Kunden skal godkende underleverandører, inden samarbejdet igangsættes.

Fordi databehandleraftalerne fra de enkelte kommuner ikke er ens, betyder det i praksis, at en databehandler skal indgå mange forskellige databehandleraftaler med f.eks. en underleverandør af et CRM-system. Hvor disse aftaler, der kommer fra de dataansvarlige, stiller forskellige krav, kan underleverandøren blive tvunget til at have forskellige procedurer afhængig af, hvilken kunde (dataansvarlig) der er tale om. Det er et fordyrende led, der sjældent direkte påskrives kunden. Kravene til procedurer kan endvidere være i konflikt med f.eks. en ISO-certificering, da en sådan certificering kan være opnået på baggrund af nogle af virksomheden allerede fastlagte procedurer. Endelig skal underleverandøren i nogle tilfælde årligt bekoste en revisorerklæring.

For databehandleren er det tidskrævende at skulle indgå forskellige aftaler med samme underleverandør afhængig af, hvem kunden (dataansvarlig) er. Potentielt kan en databehandler skulle indgå 98 forskellige aftaler med en underleverandør, hvis der er tale om en stor fælleskommunal indkøbsaftale.

Berørte virksomheder

Leverandører til den offentlige sektor og deres underleverandører med adgang til information om borgerne.

Forslag

Virksomhedsforum foreslår, at offentlige dataansvarlige alene skal stille krav til den databehandler, som der indgås aftale med. Hvor det er relevant, kan den dataansvarlige beskrive, hvilke krav eventuelle underleverandører skal leve op til, så databehandleren kan udvælge sine samarbejdspartnere på baggrund heraf.

Er dette ikke muligt, skal det minimum sikres, at alle dataansvarlige stiller samme krav til leverandør (databehandler) og underleverandører, og en gennemsigtighed omkring den meromkostning dette påfører leverandøren.

Yderligere oplysninger

Det er i dag et krav i databeskyttelsesforordningen, at krav om skriftlig aftale med underdatabehandleren fremgår i databehandleraftalen, samt at databehandleren ikke må anvende underdatabehandlere uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.

Justitsministeriet sætter i løbet af maj 2017 deres betænkning vedr. den nye databeskyttelsesforordning i høring.