Betyder, at regeringen har valgt ikke at gennemføre forslaget. Regeringen forklarer hvorfor.
Betyder, at enkelte dele ikke gennemføres eller gennemføres på en anden måde end Virksomhedsforum har foreslået.
Betyder, at forslaget gennemføres og der iværksættes initiativer for at levere forenkling på området.
Betyder, at regeringen er ved at behandle forslaget fra Virksomhedsforum.
X
Leverandører til den offentlige sektor skal, hvis de løser bestemte typer af opgaver,
underskrive databehandleraftaler med relevante offentlige myndigheder. Det gælder
f.eks., hvis leverandøren er i besiddelse af oplysninger om borgeres adresser, fordi
de får udbragt mad eller er visiteret til plejeprodukter. I de situationer er kunden,
f.eks. en kommune, dataansvarlig, mens leverandøren er databehandler. Mange databehandlere
har underleverandører, f.eks. en leverandør af et CRM-system. Problemet er, at de
offentlige dataansvarlige også stiller en række krav til disse underleverandører,
som de allerede stiller til databehandleren, herunder:
- Indgåelse af databehandleraftale svarende til den databehandleren har indgået
- En årlig revisorerklæring
- Kunden skal godkende underleverandører, inden samarbejdet igangsættes.
Fordi databehandleraftalerne fra de enkelte kommuner ikke er ens, betyder det i praksis,
at en databehandler skal indgå mange forskellige databehandleraftaler med f.eks. en
underleverandør af et CRM-system. Hvor disse aftaler, der kommer fra de dataansvarlige,
stiller forskellige krav, kan underleverandøren blive tvunget til at have forskellige
procedurer afhængig af, hvilken kunde (dataansvarlig) der er tale om. Det er et fordyrende
led, der sjældent direkte påskrives kunden. Kravene til procedurer kan endvidere være
i konflikt med f.eks. en ISO-certificering, da en sådan certificering kan være opnået
på baggrund af nogle af virksomheden allerede fastlagte procedurer. Endelig skal underleverandøren
i nogle tilfælde årligt bekoste en revisorerklæring.
For databehandleren er det tidskrævende at skulle indgå forskellige aftaler med samme
underleverandør afhængig af, hvem kunden (dataansvarlig) er. Potentielt kan en databehandler
skulle indgå 98 forskellige aftaler med en underleverandør, hvis der er tale om en
stor fælleskommunal indkøbsaftale.
Leverandører til den offentlige sektor og deres underleverandører med adgang til information om borgerne.
Virksomhedsforum foreslår, at offentlige dataansvarlige alene skal stille krav
til den databehandler, som der indgås aftale med. Hvor det er relevant, kan den dataansvarlige
beskrive, hvilke krav eventuelle underleverandører skal leve op til, så databehandleren
kan udvælge sine samarbejdspartnere på baggrund heraf.
Er dette ikke muligt, skal det minimum sikres, at alle dataansvarlige stiller samme
krav til leverandør (databehandler) og underleverandører, og en gennemsigtighed omkring
den meromkostning dette påfører leverandøren.
Det er i dag et krav i databeskyttelsesforordningen, at krav om skriftlig aftale
med underdatabehandleren fremgår i databehandleraftalen, samt at databehandleren ikke
må anvende underdatabehandlere uden forudgående specifik eller generel skriftlig godkendelse
fra den dataansvarlige.
Justitsministeriet sætter i løbet af maj 2017 deres betænkning vedr. den nye databeskyttelsesforordning
i høring.
Besvaret oktober 2017.
Forslaget gennemføres.
Regeringen skal bemærke, at der fra den 25. maj 2018 med databeskyttelsesforordningen
gælder nye regler om databeskyttelse i Danmark, herunder om databehandleraftaler.
Efter reglerne i forordningen vil det være muligt for dataansvarlige at pålægge en
underdatabehandler/leverandør de samme betingelser, som pålægges databehandleren/leverandøren.
Dermed kan den dataansvarlige efter de nye regler i aftalen med databehandleren beskrive,
hvilke krav eventuelle underdatabehandlere skal leve op til.
For at sikre at den offentlige sektor og erhvervslivet er bekendte med denne mulighed,
vil Regeringen vejlede om denne problemstilling i en kommende vejledning om dataansvarlige
og databehandlere. Vejledningen planlægges offentliggjort i oktober 2017.
Status juli 2018.
I EU’s databeskyttelsesforordning, der får virkning fra den 25. maj 2018, stilles
der i artikel 28, stk. 2, betingelser for, hvornår en databehandler må benytte sig
af andre databehandlere (underdatabehandlere). Dette er en nyskabelse i forhold til
gældende ret. Det følger bl.a. heraf, at databehandleren ikke må gøre brug af en underdatabehandler
uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.
Forslag nr. 680 er bl.a. gennemført ved, at Datatilsynet og Justitsministeriet i november
2017 har offentliggjort en vejledning om dataansvarlige og databehandlere, hvori det
nærmere er beskrevet, hvad man som databehandler skal gøre, hvis man ønsker at gøre
brug af en underdatabehandler.
Derudover forventes det, at Datatilsynet – som et supplement til nævnte vejledning
– primo 2018 offentliggør en skabelon til en standarddatabehandleraftale, ligesom
tilsynet forventer at komme med en vejledning om, hvordan man kan påse datasikkerheden
hos sine databehandlere.
Det forventes herefter, at databehandlere overholder betingelserne for benyttelse
af en underdatabehandler og indhenter den krævede tilladelse fra den dataansvarlige.
Kravene til underdatabehandlere strømlines således.