Spring navigation over
Indhold start

Databehandleraftaler - omfattende krav til underleverandører

Dato07.06.2017
Nummer680

Status: Gennemføres
Læs mere om status

Modtag email når forslag ændrer status

 

Gennemføres ikke

Betyder, at regeringen har valgt ikke at gennemføre forslaget. Regeringen forklarer hvorfor.

Gennemføres delvist

Betyder, at enkelte dele ikke gennemføres eller gennemføres på en anden måde end Virksomhedsforum har foreslået.

Gennemføres

Betyder, at forslaget gennemføres og der iværksættes initiativer for at levere forenkling på området.

Behandles

Betyder, at regeringen er ved at behandle forslaget fra Virksomhedsforum.

 

X

Problem

Leverandører til den offentlige sektor skal, hvis de løser bestemte typer af opgaver, underskrive databehandleraftaler med relevante offentlige myndigheder. Det gælder f.eks., hvis leverandøren er i besiddelse af oplysninger om borgeres adresser, fordi de får udbragt mad eller er visiteret til plejeprodukter. I de situationer er kunden, f.eks. en kommune, dataansvarlig, mens leverandøren er databehandler. Mange databehandlere har underleverandører, f.eks. en leverandør af et CRM-system. Problemet er, at de offentlige dataansvarlige også stiller en række krav til disse underleverandører, som de allerede stiller til databehandleren, herunder:

- Indgåelse af databehandleraftale svarende til den databehandleren har indgået
- En årlig revisorerklæring
- Kunden skal godkende underleverandører, inden samarbejdet igangsættes.

Fordi databehandleraftalerne fra de enkelte kommuner ikke er ens, betyder det i praksis, at en databehandler skal indgå mange forskellige databehandleraftaler med f.eks. en underleverandør af et CRM-system. Hvor disse aftaler, der kommer fra de dataansvarlige, stiller forskellige krav, kan underleverandøren blive tvunget til at have forskellige procedurer afhængig af, hvilken kunde (dataansvarlig) der er tale om. Det er et fordyrende led, der sjældent direkte påskrives kunden. Kravene til procedurer kan endvidere være i konflikt med f.eks. en ISO-certificering, da en sådan certificering kan være opnået på baggrund af nogle af virksomheden allerede fastlagte procedurer. Endelig skal underleverandøren i nogle tilfælde årligt bekoste en revisorerklæring.

For databehandleren er det tidskrævende at skulle indgå forskellige aftaler med samme underleverandør afhængig af, hvem kunden (dataansvarlig) er. Potentielt kan en databehandler skulle indgå 98 forskellige aftaler med en underleverandør, hvis der er tale om en stor fælleskommunal indkøbsaftale.

Berørte virksomheder

Leverandører til den offentlige sektor og deres underleverandører med adgang til information om borgerne.

Forslag

Virksomhedsforum foreslår, at offentlige dataansvarlige alene skal stille krav til den databehandler, som der indgås aftale med. Hvor det er relevant, kan den dataansvarlige beskrive, hvilke krav eventuelle underleverandører skal leve op til, så databehandleren kan udvælge sine samarbejdspartnere på baggrund heraf.

Er dette ikke muligt, skal det minimum sikres, at alle dataansvarlige stiller samme krav til leverandør (databehandler) og underleverandører, og en gennemsigtighed omkring den meromkostning dette påfører leverandøren.

Yderligere oplysninger

Det er i dag et krav i databeskyttelsesforordningen, at krav om skriftlig aftale med underdatabehandleren fremgår i databehandleraftalen, samt at databehandleren ikke må anvende underdatabehandlere uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.

Justitsministeriet sætter i løbet af maj 2017 deres betænkning vedr. den nye databeskyttelsesforordning i høring.

Besvaret oktober 2017.

Forslaget gennemføres.

Regeringen skal bemærke, at der fra den 25. maj 2018 med databeskyttelsesforordningen gælder nye regler om databeskyttelse i Danmark, herunder om databehandleraftaler.

Efter reglerne i forordningen vil det være muligt for dataansvarlige at pålægge en underdatabehandler/leverandør de samme betingelser, som pålægges databehandleren/leverandøren. Dermed kan den dataansvarlige efter de nye regler i aftalen med databehandleren beskrive, hvilke krav eventuelle underdatabehandlere skal leve op til.

For at sikre at den offentlige sektor og erhvervslivet er bekendte med denne mulighed, vil Regeringen vejlede om denne problemstilling i en kommende vejledning om dataansvarlige og databehandlere. Vejledningen planlægges offentliggjort i oktober 2017.

Status juli 2018.

I EU’s databeskyttelsesforordning, der får virkning fra den 25. maj 2018, stilles der i artikel 28, stk. 2, betingelser for, hvornår en databehandler må benytte sig af andre databehandlere (underdatabehandlere). Dette er en nyskabelse i forhold til gældende ret. Det følger bl.a. heraf, at databehandleren ikke må gøre brug af en underdatabehandler uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.

Forslag nr. 680 er bl.a. gennemført ved, at Datatilsynet og Justitsministeriet i november 2017 har offentliggjort en vejledning om dataansvarlige og databehandlere, hvori det nærmere er beskrevet, hvad man som databehandler skal gøre, hvis man ønsker at gøre brug af en underdatabehandler.

Derudover forventes det, at Datatilsynet – som et supplement til nævnte vejledning – primo 2018 offentliggør en skabelon til en standarddatabehandleraftale, ligesom tilsynet forventer at komme med en vejledning om, hvordan man kan påse datasikkerheden hos sine databehandlere.

Det forventes herefter, at databehandlere overholder betingelserne for benyttelse af en underdatabehandler og indhenter den krævede tilladelse fra den dataansvarlige. Kravene til underdatabehandlere strømlines således.