Hvis en virksomhed opbevarer eller behandler data på vegne af en anden virksomhed, skal der mellem parterne udarbejdes en databehandleraftale. Hvis en sådan skriftlig aftale ikke forefindes, overholder man ikke lovgivningen.
Der er en række minimumskrav til en databehandleraftale.
Af aftalen skal det klart fremgå, at databehandleren alene agerer ud fra instrukser fra den dataansvarlige. Det skal også fremgå, af databehandleren skal foretage en række tekniske foranstaltninger af sikkerhedsmæssig art for at sikre, at de omhandlende data ikke ødelægges, mistes, kommer til vedkommendes kendskab, misbruges af uvedkommende eller anvendes til formål som er i modstrid med gældende lovgivning.
Hvis der hos databehandleren anvendes hjemmearbejdspladser, skal det fremgå af aftalen.
Hvis den dataansvarlige er en offentlig myndighed, skal det fremgå af sikkerhedsbekendtgørelsen, som ikke kun gælder hos den dataansvarlige, men også hos databehandleren.
Det er vigtigt at forstå, at man som dataansvarlig har det endelige ansvar for at persondata opbevares og behandles i overensstemmelse med lovgivningen. Dette gør sig også gældende, selv om man har outsourcet opgaver til en ekstern IT leverandør.
I forbindelse med ansættelsen af nye medarbejdere kan man have udbedt sig helbredsoplysninger og straffeattester. Begge dele er at betragte som følsomme personoplysninger og skal som sådan opbevares og behandles på en måde, som overholder reglerne i Persondataforordningen.
Det er i den forbindelse helt ligegyldigt, om det er virksomheden selv eller det er en ekstern leverandør, som står for behandlingen og opbevaringen af data. Ansvaret i forhold til lovgivningen påhviler alene den dataansvarlige – altid virksomheden selv.
Det er derfor vigtigt, at du som dataansvarlig sætter dig grundigt ind i en evt. leverandørs sikkerhedspolitik. Du bør som dataansvarlig afkræve en sådan leverandør dokumentation for, at denne lever op til reglerne i Persondataforordningen.
Du bør som minimum have kendskab til, hvordan leverandøren løbende overholder lovgivningen, hvor mange medarbejdere hos leverandøren har adgang til data, hvordan man sikrer sig mod misbrug af adgangen til data, hvordan leverandøren sikrer sig mod tab af data og endelig hvilke forholdsregler, leverandøren har taget, mod at tredjepart - fx ved et hackerangreb – skaffer sig uretmæssig adgang til følsomme data.
Man skal huske på, at i tilfælde hvor der sker brud på lovgivningen, er det den dataansvarlige der ifalder straf, også selvom det er databehandleren, som ikke overholder lovgivningen. Det er derfor, den dataansvarlige skal have styr på relationen til eventuelle databehandlere.