Betyder, at regeringen har valgt ikke at gennemføre forslaget. Regeringen forklarer hvorfor.
Betyder, at enkelte dele ikke gennemføres eller gennemføres på en anden måde end Virksomhedsforum har foreslået.
Betyder, at forslaget gennemføres og der iværksættes initiativer for at levere forenkling på området.
Betyder, at regeringen er ved at behandle forslaget fra Virksomhedsforum.
X
Leverandører til den offentlige sektor skal, hvis de løser bestemte typer af opgaver,
underskrive databehandleraftaler med relevante offentlige myndigheder. Det gælder
f.eks., hvis leverandøren er i besiddelse af oplysninger om borgeres adresser, fordi
de får udbragt mad eller er visiteret til plejeprodukter. I de situationer er kunden,
f.eks. en kommune, dataansvarlig, mens leverandøren er databehandler. Mange databehandlere
har underleverandører, f.eks. en leverandør af et CRM-system. Problemet er, at de
offentlige dataansvarlige også stiller en række krav til disse underleverandører,
som de allerede stiller til databehandleren, herunder:
- Indgåelse af databehandleraftale svarende til den databehandleren har indgået
- En årlig revisorerklæring
- Kunden skal godkende underleverandører, inden samarbejdet igangsættes.
Fordi databehandleraftalerne fra de enkelte kommuner ikke er ens, betyder det i praksis,
at en databehandler skal indgå mange forskellige databehandleraftaler med f.eks. en
underleverandør af et CRM-system. Hvor disse aftaler, der kommer fra de dataansvarlige,
stiller forskellige krav, kan underleverandøren blive tvunget til at have forskellige
procedurer afhængig af, hvilken kunde (dataansvarlig) der er tale om. Det er et fordyrende
led, der sjældent direkte påskrives kunden. Kravene til procedurer kan endvidere være
i konflikt med f.eks. en ISO-certificering, da en sådan certificering kan være opnået
på baggrund af nogle af virksomheden allerede fastlagte procedurer. Endelig skal underleverandøren
i nogle tilfælde årligt bekoste en revisorerklæring.
For databehandleren er det tidskrævende at skulle indgå forskellige aftaler med samme
underleverandør afhængig af, hvem kunden (dataansvarlig) er. Potentielt kan en databehandler
skulle indgå 98 forskellige aftaler med en underleverandør, hvis der er tale om en
stor fælleskommunal indkøbsaftale.
Leverandører til den offentlige sektor og deres underleverandører med adgang til information om borgerne.
Virksomhedsforum foreslår, at offentlige dataansvarlige alene skal stille krav
til den databehandler, som der indgås aftale med. Hvor det er relevant, kan den dataansvarlige
beskrive, hvilke krav eventuelle underleverandører skal leve op til, så databehandleren
kan udvælge sine samarbejdspartnere på baggrund heraf.
Er dette ikke muligt, skal det minimum sikres, at alle dataansvarlige stiller samme
krav til leverandør (databehandler) og underleverandører, og en gennemsigtighed omkring
den meromkostning dette påfører leverandøren.
Det er i dag et krav i databeskyttelsesforordningen, at krav om skriftlig aftale
med underdatabehandleren fremgår i databehandleraftalen, samt at databehandleren ikke
må anvende underdatabehandlere uden forudgående specifik eller generel skriftlig godkendelse
fra den dataansvarlige.
Justitsministeriet sætter i løbet af maj 2017 deres betænkning vedr. den nye databeskyttelsesforordning
i høring.
Besvaret oktober 2017.
Forslaget gennemføres.
Regeringen skal bemærke, at der fra den 25. maj 2018 med databeskyttelsesforordningen
gælder nye regler om databeskyttelse i Danmark, herunder om databehandleraftaler.
Efter reglerne i forordningen vil det være muligt for dataansvarlige at pålægge en
underdatabehandler/leverandør de samme betingelser, som pålægges databehandleren/leverandøren.
Dermed kan den dataansvarlige efter de nye regler i aftalen med databehandleren beskrive,
hvilke krav eventuelle underdatabehandlere skal leve op til.
For at sikre at den offentlige sektor og erhvervslivet er bekendte med denne mulighed,
vil Regeringen vejlede om denne problemstilling i en kommende vejledning om dataansvarlige
og databehandlere. Vejledningen planlægges offentliggjort i oktober 2017.
Forslaget er implementeret i 2018
I databeskyttelsesforordningen, der fandt anvendelse fra den 25. maj 2018, opstilles
der i artikel 28, stk. 2, betingelser for, hvornår en databehandler må benytte sig
af andre databehandlere (underdatabehandlere). Dette er en nyskabelse i forhold til
de tidligere gældende regler i persondataloven. Det følger bl.a. heraf, at databehandleren
ikke må gøre brug af en underdatabehandler uden forudgående specifik eller generel
skriftlig godkendelse fra den dataansvarlige.
Forslag nr. 680 er bl.a. gennemført ved, at Datatilsynet og Justitsministeriet i november
2017 har offentliggjort en vejledning om dataansvarlige og databehandlere, hvori det
nærmere er beskrevet, hvad man som databehandler skal gøre, hvis man ønsker at gøre
brug af en underdatabehandler. Vejledningen er tilgængelig på Datatilsynets hjemmeside
her: https://www.datatilsynet.dk/media/6560/dataansvarlige-og-databehandlere.pdf.
Derudover har Datatilsynet – som et supplement til nævnte vejledning –
offentliggjort en skabelon til en standarddatabehandleraftale, som kan findes her:
https://www.datatilsynet.dk/generelt-om-databeskyttelse/vejledninger-og-skabeloner/.
Datatilsynet har i maj 2018 også offentliggjort en vejledende tekst om tilsyn med
databehandlere og underdatabehandlere, som er tilgængelig her: https://www.datatilsynet.dk/media/6865/vejledende-tekst-om-tilsyn-med-databehandlere-og-underdatabehandlere.pdf.
Det forventes på den baggrund, at ovennævnte tiltag vil medvirke til, at de databehandleraftaler,
som leverandører til den offentlige sektor bliver forelagt, i højere grad vil ligne
hinanden. Det bemærkes imidlertid, at kravene til en databehandleraftale afhænger
af, hvilken behandling der er tale om. Kravene til f.eks., hvilke sikkerhedsforanstaltninger
mv. der skal opfyldes hos en databehandler, afhænger således af de konkrete risici,
der forbundet med en behandling af personoplysninger. Det er derfor ikke muligt generelt
at pålægge dataansvarlige, der hører til den offentlige forvaltning, at der stilles
de samme krav til leverandører.