Databehandleraftaler - omfattende krav til underleverandører

Problem

Leverandører til den offentlige sektor skal, hvis de løser bestemte typer af opgaver, underskrive databehandleraftaler med relevante offentlige myndigheder. Det gælder f.eks., hvis leverandøren er i besiddelse af oplysninger om borgeres adresser, fordi de får udbragt mad eller er visiteret til plejeprodukter. I de situationer er kunden, f.eks. en kommune, dataansvarlig, mens leverandøren er databehandler. Mange databehandlere har underleverandører, f.eks. en leverandør af et CRM-system. Problemet er, at de offentlige dataansvarlige også stiller en række krav til disse underleverandører, som de allerede stiller til databehandleren, herunder:

- Indgåelse af databehandleraftale svarende til den databehandleren har indgået
- En årlig revisorerklæring
- Kunden skal godkende underleverandører, inden samarbejdet igangsættes.

Fordi databehandleraftalerne fra de enkelte kommuner ikke er ens, betyder det i praksis, at en databehandler skal indgå mange forskellige databehandleraftaler med f.eks. en underleverandør af et CRM-system. Hvor disse aftaler, der kommer fra de dataansvarlige, stiller forskellige krav, kan underleverandøren blive tvunget til at have forskellige procedurer afhængig af, hvilken kunde (dataansvarlig) der er tale om. Det er et fordyrende led, der sjældent direkte påskrives kunden. Kravene til procedurer kan endvidere være i konflikt med f.eks. en ISO-certificering, da en sådan certificering kan være opnået på baggrund af nogle af virksomheden allerede fastlagte procedurer. Endelig skal underleverandøren i nogle tilfælde årligt bekoste en revisorerklæring.

For databehandleren er det tidskrævende at skulle indgå forskellige aftaler med samme underleverandør afhængig af, hvem kunden (dataansvarlig) er. Potentielt kan en databehandler skulle indgå 98 forskellige aftaler med en underleverandør, hvis der er tale om en stor fælleskommunal indkøbsaftale.

Berørte virksomheder

Leverandører til den offentlige sektor og deres underleverandører med adgang til information om borgerne.

Forslag

Virksomhedsforum foreslår, at offentlige dataansvarlige alene skal stille krav til den databehandler, som der indgås aftale med. Hvor det er relevant, kan den dataansvarlige beskrive, hvilke krav eventuelle underleverandører skal leve op til, så databehandleren kan udvælge sine samarbejdspartnere på baggrund heraf.

Er dette ikke muligt, skal det minimum sikres, at alle dataansvarlige stiller samme krav til leverandør (databehandler) og underleverandører, og en gennemsigtighed omkring den meromkostning dette påfører leverandøren.

Yderligere oplysninger

Det er i dag et krav i databeskyttelsesforordningen, at krav om skriftlig aftale med underdatabehandleren fremgår i databehandleraftalen, samt at databehandleren ikke må anvende underdatabehandlere uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.

Justitsministeriet sætter i løbet af maj 2017 deres betænkning vedr. den nye databeskyttelsesforordning i høring.

Besvaret oktober 2017.

Forslaget gennemføres.

Regeringen skal bemærke, at der fra den 25. maj 2018 med databeskyttelsesforordningen gælder nye regler om databeskyttelse i Danmark, herunder om databehandleraftaler.

Efter reglerne i forordningen vil det være muligt for dataansvarlige at pålægge en underdatabehandler/leverandør de samme betingelser, som pålægges databehandleren/leverandøren. Dermed kan den dataansvarlige efter de nye regler i aftalen med databehandleren beskrive, hvilke krav eventuelle underdatabehandlere skal leve op til.

For at sikre at den offentlige sektor og erhvervslivet er bekendte med denne mulighed, vil Regeringen vejlede om denne problemstilling i en kommende vejledning om dataansvarlige og databehandlere. Vejledningen planlægges offentliggjort i oktober 2017.

Forslaget er implementeret i 2018

I databeskyttelsesforordningen, der fandt anvendelse fra den 25. maj 2018, opstilles der i artikel 28, stk. 2, betingelser for, hvornår en databehandler må benytte sig af andre databehandlere (underdatabehandlere). Dette er en nyskabelse i forhold til de tidligere gældende regler i persondataloven. Det følger bl.a. heraf, at databehandleren ikke må gøre brug af en underdatabehandler uden forudgående specifik eller generel skriftlig godkendelse fra den dataansvarlige.

Forslag nr. 680 er bl.a. gennemført ved, at Datatilsynet og Justitsministeriet i november 2017 har offentliggjort en vejledning om dataansvarlige og databehandlere, hvori det nærmere er beskrevet, hvad man som databehandler skal gøre, hvis man ønsker at gøre brug af en underdatabehandler. Vejledningen er tilgængelig på Datatilsynets hjemmeside her: https://www.datatilsynet.dk/media/6560/dataansvarlige-og-databehandlere.pdf.

Derudover har Datatilsynet – som et supplement til nævnte vejledning – offentliggjort en skabelon til en standarddatabehandleraftale, som kan findes her: https://www.datatilsynet.dk/generelt-om-databeskyttelse/vejledninger-og-skabeloner/. Datatilsynet har i maj 2018 også offentliggjort en vejledende tekst om tilsyn med databehandlere og underdatabehandlere, som er tilgængelig her: https://www.datatilsynet.dk/media/6865/vejledende-tekst-om-tilsyn-med-databehandlere-og-underdatabehandlere.pdf.

Det forventes på den baggrund, at ovennævnte tiltag vil medvirke til, at de databehandleraftaler, som leverandører til den offentlige sektor bliver forelagt, i højere grad vil ligne hinanden. Det bemærkes imidlertid, at kravene til en databehandleraftale afhænger af, hvilken behandling der er tale om. Kravene til f.eks., hvilke sikkerhedsforanstaltninger mv. der skal opfyldes hos en databehandler, afhænger således af de konkrete risici, der forbundet med en behandling af personoplysninger. Det er derfor ikke muligt generelt at pålægge dataansvarlige, der hører til den offentlige forvaltning, at der stilles de samme krav til leverandører.