Sådan skal du føre tilsyn med dine databehandlere for at leve op til GDPR

Indsigt
26.01.2026

Når du som privat virksomhed eller offentlig myndighed modtager og behandler personoplysninger om borgere, dine kunder, dine ansatte eller andre, har du pligt til at behandle personoplysningerne forsvarligt. Det betyder også, at du skal føre tilsyn med de leverandører, der behandler personoplysninger på dine vegne. I denne artikel får du indsigt i, hvordan du skal føre tilsyn for at leve op til GDPR.

Person trykker på personoplysninger

Hvem er dine databehandlere?

Nogle gange, når du behandler personoplysninger, får du brug for at overlade oplysningerne til eksterne leverandører, som herefter behandler oplysningerne efter din instruks. 

Det kan f.eks. være et lønbureau, der står for din lønadministration, leverandøren af et ESDH-system til håndtering af dine borgeres data eller leverandøren af et kundehåndteringssystem (CRM), som indeholder oplysninger om dine kundens ordrer, betalingsoplysninger m.m. 

I disse tilfælde bliver leverandøren databehandler for dig, og det stiller nogle krav til dig som dataansvarlig. Som dataansvarlig skal du sikre, at dine databehandlere også behandler oplysningerne forsvarligt. Du skal derfor sikre dig, at: 

  1. Du først får udarbejdet en god databehandleraftale med din databehandler
  2. Du dernæst fører tilsyn med, at databehandleren lever op til den aftale, I har indgået 

Hvad skal der stå i en databehandleraftale?

Kravene til en databehandleraftale fremgår af databeskyttelsesforordningens artikel 28, og databehandleraftalen skal bl.a. regulere: 

 

  • At databehandleren gennemfører passende sikkerhedsforanstaltninger for at sænke risikoen for, at den registreredes personoplysninger går tabt eller kompromitteres.
  • At databehandleren ikke gør brug af en underdatabehandler uden din godkendelse.
  • At databehandleren pålægger eventuelle underdatabehandlere samme forpligtelser, som du pålægger databehandleren.
  • At databehandleren bistår dig f.eks. i forhold til din forpligtelse til at anmelde brud på persondatasikkerheden til Datatilsynet, herunder at databehandleren underretter dig uden unødig forsinkelse, så du kan overholde pligten om indberetning til Datatilsynet inden 72 timer.
  • At databehandleren sletter eller tilbageleverer alle personoplysninger til dig, når databehandlerens service til dig ophører.
  • At databehandleren stiller alle oplysninger til rådighed, der er nødvendige for, at du kan føre et passende tilsyn med databehandlerens behandling af personoplysninger på dine vegne. 

Kontakt

Mød teamet

Del:

Få hjælp til din databehandleraftale

Skal du indgå en databehandleraftale, og er du i tvivl om, hvorvidt den lever op til reglerne i GDPR? Eller skal du i gang med at udarbejde en helt ny databehandleraftale? 

 

Så kan vores specialister i databeskyttelse sikre indholdet for dig og skræddersy aftalen til netop din organisation.

 

Se, hvordan vi kan hjælpe dig

Hvorfor skal du føre tilsyn? 

Tilsyn med dine databehandlere har det formål at sikre, at den indgåede databehandleraftale overholdes, og at databehandleren har gennemført de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger. Tilsynet sikrer dig også leverandørstyring og giver dig mulighed for at leve op til kravene i GDPR.

 

Det er som udgangspunkt kravene i den underskrevne databehandleraftale, der danner rammerne for, hvad du skal føre tilsyn med.

Hvordan fører du tilsyn med dine databehandlere?

Tilsynsformen skal tilpasses den enkelte databehandler ud fra en vurdering af risikoen for den registrerede. Risikoen forbundet med behandlingen har også indflydelse på hyppigheden af tilsynet.

 

Det skal i databehandleraftalen aftales, hvilken type tilsyn der skal anvendes. Følgende former for tilsyn kan vælges (afhængig af risikoen):

 

  • Databehandleren bekræfter skriftligt at alle krav i databehandleraftalen stadig efterleves
  • Databehandleren giver dig årligt – enten direkte eller via sin hjemmeside – en skriftlig status på forhold der er omfattet af databehandleraftalen
  • Databehandleren har en relevant og opdateret certificering som er relevant for dine behandlingsaktiviteter
  • Din databehandler kan selv stille en uafhængig tilsynsrapport til rådighed, typisk en såkaldt revisorerklæring.
  • Du fører selv – eller med hjælp fra en ekstern – et dokumenteret tilsyn med databehandleren. Dette kan f.eks. være ved udsendelse af et spørgeskema eller ved fysisk kontrol på databehandlerens adresse.

 

Ved vurderingen af, hvilket type tilsyn du skal gennemføre, skal du foretage en risikovurdering af databehandleren. Du kan med fordel anvende Datatilsynets pointsystem, som du kan læse mere om nedenfor.

Vi kan hjælpe dig med tilsynet

Skal du føre tilsyn med dine databehandlere, så kan vores specialister i databeskyttelse hjælpe dig.

 

Vi har mange års erfaring med at føre tilsyn med databehandlere, og vi kan hjælpe dig, så du får sikkerhed for, at GDPR er overholdt.

 

Sådan sikrer vi, at du overholder kravene til tilsyn

Hvor tit bør du føre tilsyn?

Hvor ofte du skal føre tilsyn med dine databehandlere afhænger af, hvor høj en risiko, der er forbundet med behandlingen af de registreredes personoplysninger. 

 

Hvis behandlingen af personoplysninger indebærer en høj risiko for de registrerede, skal tilsynet med databehandleren gennemføres med hyppige intervaller.  

 

Et af de allervigtigste formål med databehandleraftalen er netop at sikre, at den registreredes oplysninger ikke mistes eller kompromitteres. Tilsyn med dette er vigtigere, jo højere risikoen bliver. 

Hvordan vurderer du, om risikoen er høj for den registrerede?

Som hovedregel kan du tage udgangspunkt i, at risikoen bliver højere, og behovet for hyppigere tilsyn stiger:
 

  • Jo flere personoplysninger, databehandleren behandler
  • Jo mere følsomme eller fortrolige personoplysninger, der behandles
  • Jo mere indgribende overfor den registrerede, behandlingen er 

En databehandler, der håndterer medicinkort og helbredsoplysninger for hele Danmarks befolkning, vil altså have et hyppigere behov for tilsyn, end en databehandler der kun indsamler og opbevarer mailadresser i forbindelse med udsendelse af et årligt nyhedsbrev til en lille sportsforenings medlemmer.

 

Det kan være vanskeligt at vurdere risikoen for de registrerede, og Datatilsynet har derfor udviklet en model, som kan støtte dig i din risikovurdering. 

 

Modellen består af en pointskala, som kan give dig en fornemmelse af, hvor risikofyldt en behandling af personoplysninger er for den registrerede. Jo højere pointtal på skalaen du når frem til, jo mere omfangsrigt og hyppigt bør dit tilsyn være. 

 

Du kan læse mere i Datatilsynets vejledning om tilsyn med databehandlere her. 

HjulmandKaptains anbefalinger til dit tilsyn

Når du skal føre tilsyn, anbefaler vi: 

 

  1. at du tilrettelægger et struktureret tilsyn, og
  2. at en risikovurdering danner grundlag for tilsynsform og hyppighed

Er du i tvivl om, hvordan du konkret skal gribe opgaven an, så ræk endelig ud for hjælp og rådgivning. Vi tilbyder flere løsninger.

Lad HjulmandKaptains specialister i databeskyttelse hjælpe dig

Har du brug for hjælp til at udføre en risikovurdering eller til selve tilsynet, så hjælper vi dig gerne. 

Vi kan både stå for det løbende tilsyn med dine databehandlere, eller vi kan samarbejde med dig om udarbejdelsen af et tilsynskoncept, som du selv kan tage udgangspunkt i. 

 

Kontakt os for at høre mere om, hvordan vi kan hjælpe dig. Den første kontakt er naturligvis uforpligtende. 

Vores team

Nyheder

Se flere
Se flere

Tilmeld dig
HjulmandKaptains
nyhedsbrev

Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.

 

Tilmeld nyhedsbrev