Nye initiativer-risikovurdering
Quick Tips Risikovurdering

Datatilsynets standard for Databehandleraftaler – fastlæggelse af krav til behandlingssikkerheden

Datatilsynet meddelte i sidste uge, at den skabelon til en standarddatabehandleraftale, som tilsynet i december 2019 fik ”blåstemplet” som standardkontraktbestemmelser af Det Europæiske Databeskyttelsesråd (EDPB), nu også kan bruges i Norge og Sverige. Tilsynsmyndighederne i Norge og Sverige vil således fremover anerkende de danske standardkontraktbestemmelser, som om de var udarbejdet af dem selv. 

Anvendelsen af standardkontraktbestemmelserne har lettet arbejdet med udarbejdelsen af databehandleraftaler ganske betydeligt. Udarbejdelsen af databehandleraftaler baseret på standarden handler i praksis om at fylde relevant indhold i standardaftalens bilag. I den sammenhæng er bilag C.2, der handler om den dataansvarliges krav til behandlingssikkerheden, helt centralt.

I forordningens art. 32 om behandlingssikkerhed fremgår det at ”under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.”

Det er vores erfaring, at det ofte volder den dataansvarlige problemer at udmønte et ”passende” sikkerhedsniveau i konkrete sikkerhedskrav i databehandleraftalen. Derfor et par overordnede betragtninger om, hvad man skal være særlig opmærksom på.

For det første er det naturligvis et helt afgørende startpunkt for enhver analyse af sikkerhedskrav i en databehandleraftale, at den dataansvarlige har et relativt præcist overblik, hvilke behandlingsaktiviteter, databehandleren skal gennemføre på dennes vegne, og hvilke personoplysninger, der behandles. Det skyldes grundlæggende, at de sikkerhedskrav, der skal stilles, skal være proportionale (eller passende) i forhold til ”værdien” af de behandlede oplysninger, og væsentligheden af behandlingsaktiviteterne, set fra den registreredes synspunkt. For at støtte vurderingen af, hvor værdifulde de outsourcede behandlingsaktiviteter og de dertil knyttede personoplysninger er, kan den dataansvarlige udarbejde en lille scoringsmodel, der ”scorer” oplysningerne i forskellige dimensioner, fx oplysningernes kategori (almindelige, særligt regulerede og følsomme), behandlingsaktiviteternes omfang (antallet af oplysninger, opdateringsfrekvens), behandlingernes karakter (ny teknologi, biometri, lokationsdata, profilering, automatisk afgørelse). Scoringen kan give et bud på om behandlingsaktiviteterne/personoplysningerne er meget-, noget- eller mindre værdifulde for den registrerede. Det kan være nyttigt også at vurdere, om behandlingsaktiviteterne er vigtigst fra et fortroligheds, – integritets- eller et tilgængelighedssynspunkt. På den måde kan de krævede sikkerhedsforanstaltninger målrettes mod at beskytte mod trusler, der virker gennem de kanaler (tab af fortrolighed, tab af integritet, tab af tilgængelighed), som har størst betydning.

For det andet er det vigtig fastslå, at indholdet af art. 32 grundlæggende kan oversættes til, at den dataansvarlige (og databehandleren) skal gennemføre en risikovurdering for at identificere de konkrete foranstaltninger, der er ”passende” i sammenhængen. Det skyldes at begrebet ”risiko” i ét tal udtrykker ”den varierende sandsynlighed” for at en trussel materialiserer sig, og ”alvoren” eller konsekvensen, hvis det sker. Jo højere den anslåede risiko ved en specifik trussel er, jo højere er det ”passende” sikkerhedsniveau alt andet lige. En GDPR risikovurdering adskiller sig fra en ”almindelig” IT-risikovurdering både ved det perspektiv, der anlægges, og ved udvælgelsen af, hvilke ”aktiver”, der skal indgå analysen. I en almindelig IT-risikovurdering vurderes risiciene ud fra den virksomhed eller organisation, som ejer de aktiver (i form af processer, data, applikationer og infrastruktur), som virksomheden bruger til at udføre sine forretningsaktiviteter. Det betyder, at de konsekvenser man ser på, er konsekvenser for virksomheden/den dataansvarlige. Scopet for risikovurderingen – det der er truet af noget – er i en ”almindelig” IT-risikovurdering, alle virksomhedens forretningsaktiviteter og alle de understøttende aktiver, som virksomheden anvender. I en GDPR-risikovurdering analyserer man derimod risiciene fra den registreredes. Scopet for analysen er derfor alene de forretningsaktiviteter, som den dataansvarlige/virksomheden udfører, der omfatter behandlinger af personoplysninger. Forretningsaktiviteter, som ikke kræver behandling af personoplysninger, skal ikke med i GDPR-risikovurderingen.

For det tredje er det vigtigt, at de konkrete krav til behandlingssikkerheden afspejler den type af databehandlerrelation, der er tale om. Der er stor forskel både på vægtningen og tyngden af krav til sikkerhedsforanstaltninger i henholdsvis en SAAS-model, en klassisk hosting-aftale og en aftale, der handler om business process outsourcing. I den sidste type af aftale kontrollerer databehandleren eksempelvis typisk ikke den benyttede IT-platform, hvorfor kravene i en sådan aftale primært vil handle om medarbejdersikkerhed og brugen af mobilt udstyr. I en SAAS-aftale køber man grundlæggende adgang til funktioner i en applikation på standardvilkår, hvor det underliggende IT-miljø er en black-box for kunden, og hvor modellen er ons-size-fits-all. Her må kunden grundlæggende overveje, om leverandørens beskrivelse af servicevilkår og IT-sikkerhed er tilfredsstillende, og i bekræftende fald så i øvrigt mere eller mindre tilpasse kravene til sikkerhed i databehandleraftalen så de passer til de foranstaltninger, leverandøren rent faktisk har implementeret.

Det er ikke en nem øvelse at ramme de rigtige krav – særlig, når man ikke arbejder med IT-sikkerhed til daglig.

Læs mere om, hvordan Pdhub kan hjælpe dig videre på din GDPR-rejse på www.pdhub.dk, eller kontakt os på telefon +45 7233 2233

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *