Spring navigation over
Indhold start

Databehandleraftaler - uensartet praksis på tværs af kommuner

Dato07.06.2017
Nummer682

Status: Gennemføres delvist
Læs mere om status

Modtag email når forslag ændrer status

 

Gennemføres ikke

Betyder, at regeringen har valgt ikke at gennemføre forslaget. Regeringen forklarer hvorfor.

Gennemføres delvist

Betyder, at enkelte dele ikke gennemføres eller gennemføres på en anden måde end Virksomhedsforum har foreslået.

Gennemføres

Betyder, at forslaget gennemføres og der iværksættes initiativer for at levere forenkling på området.

Behandles

Betyder, at regeringen er ved at behandle forslaget fra Virksomhedsforum.

 

X

Problem

Leverandører til den offentlige sektor skal, hvis de løser bestemte typer af opgaver, underskrive databehandleraftaler med relevante offentlige myndigheder. Det gælder f.eks., hvis leverandøren er i besiddelse af oplysninger om borgeres adresser, fordi de får udbragt mad eller er visiteret til plejeprodukter. I de situationer er kunden, f.eks. en kommune, dataansvarlig, mens leverandøren er databehandler.

DI’s medlemsvirksomheder oplever, at kommunernes praksis varierer i forhold til, 1) hvornår der stilles krav om databehandleraftaler, og 2) hvordan databehandleraftaler ser ud, herunder uens krav om revisionspåtegninger på tværs af kommuner.

Bl.a. er der varierende krav til, hvorvidt de samme databehandleraftaler skal indgås med leverandørens underleverandører inkl. krav om revisionspåtegning og uanmeldt kontrol. Det er omkostningstungt for dataleverandøren at forestå og håndtere de mange forskellige aftaler med divergerende krav.

Medlemsvirksomheder af DI har konkret oplevet, at kommunernes praksis varierer. Generelt er det virksomhedernes indtryk, at kommunerne ukritisk og per automatik stiller krav om databehandleraftaler, uden at det er konkret begrundet i den opgave, som virksomhederne skal løse for kommunen. Det resulterer i et unødvendigt omkostningsfordyrende element.

I forbindelse med et udbud fra Københavns Kommune i sommeren 2016 stillede en konkret virksomhed i tilbudsfasen et skriftligt spørgsmål til kommunen om, hvorvidt det var relevant at anvende en databehandleraftale. Efter genovervejelse konkluderede kommunen, at kravet ikke var relevant, og de frafaldt kravet. I andre tilfælde har kommuner fastholdt et tilsvarende krav.

Berørte virksomheder

I praksis alle leverandører til offentlige myndigheder og institutioner.

DI har kendskab til konkrete virksomhedseksempler på tværs af brancherne handel, rådgivning, bygge og anlæg samt IT.

Forslag

Virksomhedsforum foreslår, at der udarbejdes klare og ensartede retningslinjer for, hvornår databehandleraftaler bør anvendes af kommuner, og hvornår det ikke er nødvendigt at anvende en databehandleraftale i forhold til hidtidig praksis samt en fælles standard for en databehandleraftale, som anvendes i alle kommuner.

Nye krav i medfør af ikrafttrædelse af Persondataforordningen fra 25. maj 2018 bør indtænkes i løsningen. Der tænkes særligt på de øgede dokumentationskrav og håndtering af de registreredes rettigheder samt databehandlerens nye direkte forpligtelser.

Yderligere oplysninger

KOMBIT har netop lanceret en kommunal standard databehandler aftale.

Det løser potentielt set ønsket om en fælles standard, men ikke nødvendigvis, da kommunerne ikke er pålagt at benyttet aftalen. Desuden mangler der også fortsat klare og ensartede retningslinjer for den nødvendige brug af databehandleraftaler og de forskellige elementer heri – særligt de dele der ikke følger af lovgivning.

Persondataloven
Sikkerhedsbekendtgørelsen

Besvaret oktober 2017.

Forslaget gennemføres delvist.

Regeringen skal bemærke, at det allerede følger af de gældende regler om databeskyttelse, at der altid skal udarbejdes en databehandleraftale, når en dataansvarlig, herunder en kommune, vælger at overlade det til en anden at udføre en behandling af personoplysninger på den dataansvarliges vegne.

Regeringen vil således gennemføre denne del af forslaget ved at adressere problemstillingen om kommuners uensartede praksis i en kommende vejledning om dataansvarlige og databehandlere.

Vejledningen udarbejdes på baggrund af databeskyttelsesforordningen og planlægges offentliggjort i oktober 2017.

Selve vejledningsindsatsen har til formål at sikre klare og ensartede retningslinjer for, hvornår der skal være en databehandleraftale, og hvad denne aftale skal indeholde.

Som følge af vejledningsindsatsen på området for databehandleraftaler, er det den umiddelbare forventning, at der vil blive udarbejdet standarder for disse aftaler i diverse sektorer, såsom inden for det kommunale område mv.

På denne baggrund udarbejdes der ikke en standard for databehandleraftaler i regeringens vejledningsindsats på området. Denne del af forslaget gennemføres derfor ikke.

Status juli 2018.

I EU’s databeskyttelsesforordning, der får virkning fra den 25. maj 2018, følger det af artikel 28, stk. 3, at en databehandlers behandling skal være reguleret af en databehandleaftale, der er bindende for databehandleren med hensyn til den dataansvarlige. Det følger allerede af den gældende persondatalovs § 42, stk. 2, at der skal indgås en skriftlig databehandleraftale, når der sker gennemførelse af en behandling ved en databehandler. I forhold til gældende ret, stilles der i forordningen flere og mere detaljerede krav til selve databehandleraftalen.

Forslag nr. 682 fra Virksomhedsforum er gennemført ved, at Datatilsynet og Justitsministeriet i november 2017 har offentliggjort en vejledning om dataansvarlige og databehandlere, hvori der redegøres for kravet om udfærdigelse af en databehandleraftale – som også gælder kommunerne, når de er dataansvarlige.

Derudover forventes det, at Datatilsynet – som et supplement til nævnte vejledning – primo 2018 offentliggør en skabelon til en standarddatabehandleraftale, ligesom tilsynet forventer at komme med en vejledning om, hvordan man kan påse datasikkerheden hos sine databehandlere.

Når en offentlig myndighed har vurderet, at man er dataansvarlig, skal der altid udarbejdes en databehandleraftale, hvis den dataansvarlige endvidere har vurderet, at der foreligger en databehandlerkonstruktion. De specifikke krav som en databehandleraftale ifølge databeskyttelsesforordningen skal indeholde, henvises der ligeledes til i vejledningen, så offentlige myndigheder let kan orientere sig herom.

Det vurderes, at effekten af ændringerne vil være en ensartet praksis på tværs af kommunerne i forhold til 1) hvornår der stilles krav om databehandleraftaler, og 2) kravene der fastsættes til databehandleren iht. databehandleraftalen.