Rigsrevisionen kritiserer en række myndigheders styring af databehandlere og Datatilsynets tilsynsstrategi

Af Rigsrevisionens beretning fremgår det, at myndighedernes styring af databehandlere ikke har været tilstrækkelig.

Dette skyldes, at myndighederne ikke har sikret, at outsourcede følsomme og fortrolige data opbevares sikkert hos de eksterne databehandlere.

Myndighederne har i den forbindelse bl.a. tilsidesat opfyldelse af kravet om udarbejdelse af risikovurderinger, indgåelse af databehandleraftaler og at føre tilsyn med databehandlerne.

Risikovurdering og kontrol af databehandlere

Rigsrevisionen har i undersøgelsen gennemgået 148 it-systemer, hvor opbevaringen af persondata er outsourcet af myndighederne.

På baggrund af undersøgelsen konkluderes følgende:

• Der er ikke udarbejdet risikovurdering for 58 % af deres it-systemer, inden der er indgået en databehandleraftale. Dermed har myndighederne intet grundlag for at kunne fastsætte passende sikkerhedsforanstaltninger og planlægge tilsyn. Bekymringen går også særligt på de tilfælde, hvor der benyttes en cloududbyder, hvor standardvilkår godkendes uden tilstrækkeligt klarhed over indhold af vilkårene.
• Der er ikke indgået skriftlig databehandleraftale for 14 % af systemerne.
• Der er ikke ført tilsyn med deres databehandlere for 23 % af systemerne, og i 40 % af de udførte tilsyn er der ikke foretaget den tilstrækkelige opfølgning på tilsynenes resultater.
• Og afsluttende har myndighederne ikke kendskab til alle underdatabehandlere for 24 % af systemerne og dermed har myndighederne ikke haft den forudgående viden om underdatabehandlernes behandling.

Kritik af Datatilsynets tilsynsstrategi

Rigsrevisionen finder ikke, at Datatilsynet har ydet den tilstrækkelige understøttelse af myndighedernes styring af databehandlere.

De fremhæver blandt andet følgende kritikpunkter:

• Det vurderes ikke, at Datatilsynet har ført et risikobaseret tilsyn. Der er ikke udarbejdet risikoanalyser til at understøtte tilsynsplan, og deres strategi vurderes ikke ajourført.
• Datatilsynet har afsluttet for få tilsyn, hvilket efterlader myndighederne med få afgørelser, som de kan benytte som fortolkningsbidrag i forhold til efterlevelse af reglerne.

Du kan læse hele Rigsrevisionens beretning her

Vores kommentarer

Denne beretning viser med al tydelighed, hvor vigtigt det er at forholde sig til risikoen forud for outsourcing af behandling af persondata hos en ekstern databehandler.

Den risikobaserede tilgang er omdrejningspunktet for efterlevelse af persondataforordningen og danner grundlaget for fastsættelse af de rette sikkerhedsforanstaltninger samt indholdet og omfanget af tilsynet med databehandleren.

Det er derfor vigtigt, at alle organisationer får udarbejdet de relevante risikovurderinger, og at vurderingerne i den forbindelse også dokumenteres.

Har du spørgsmål eller brug for rådgivning?

Har du spørgsmål til udarbejdelsen af din virksomheds eller organisations risikovurderinger og/eller gennemførelsen af tilsyn med databehandlere, eller har du brug for sparring i forhold til kravenes betydning for din virksomhed eller organisation, er du altid velkommen til at kontakte en af vores eksperter i persondataret.