Databehandleraftaler og kommunernes ansvarlighed

Databehandleraftaler og kommunernes ansvarlighed

Det er værd for kommunernes dataansvarlige at kigge databehandleraftalerne efter i sømmene. Databehandleraftalerne står højt på listen hos Datatilsynet, når der skal udføres kontrolbesøg. En af de nye ting i databeskyttelsesforordningen er, at kommunen skal påvise at den overholder loven og her er databehandleraftaler et godt udgangspunkt.
I takt med at ikrafttrædelsestidspunktet for den nye databeskyttelsesforordning stille og roligt nærmer sig, begynder mange dataansvarlige at tage egne processer og datahåndtering op til overvejelse. For kommunernes vedkommende er interessen ikke mindst ligeledes vakt til live af Datatilsynets kritik på baggrund af nogle stikprøver foretaget i 2016. Ud fra stikprøverne og nogle opfølgende besøg, kunne Datatilsynet i sin årsrapport for 2016 konstatere, at der var forbedringsmuligheder i behandlingen af person-
data og overholdelse af processer og formalia. Et tilbagevendende problem var manglende skriftlige databehandleraftaler.
En anden motivationsfaktor er de administrative bøder, brud på datasikkerheden kan afstedkomme, og ikke mindst den potentielle størrelse heraf. I det lovforslag til databeskyttelsesloven der netop er blevet fremsat 25. oktober fremgår det, at offentlige myndigheder kan blive pålagt administrative bøder på op til 16 mio. kr.
De statslige myndigheder har ligeledes været i Datatilsynets søgelys, og i oktober 2017 kunne Datatilsynet offentliggøre en nyhed om, at også de statslige myndigheder i syv ud af otte undersøgte tilfælde ikke havde overholdt persondatalovens regler. Igen var der et problem med de manglende skriftlige databehandleraftaler.
Datatilsynets tilsynsstrategi, der gælder frem til 2018, indebærer, at der skal foretages kontrolbesøg i kommunerne. Ligesom det gælder i dag, vil Datatilsynet i henhold til databeskyttelsesforordningen fremover være forpligtet til aktivt og på eget initiativ at gennemføre tilsyn. Uden at ville agere spåmand om Datatilsynets fremtidige strategi på området, er der nok grund til at antage, at tilsyn er en tilbagevendende begivenhed, som kommunerne skal forholde sig til.
 
Databehandleraftaler
Der er dermed rigeligt med grunde for de dataansvarlige til at se sig selv efter i sømmene. Et godt sted at starte kunne være databehandler-
aftalerne. Dette skyldes at databehandleraftalen på mange måder er omdrejningspunktet for databehandlerens og den dataansvarliges forpligtelser i henhold til databeskyttelsesforordningen. Samtidigt er tilstedeværelsen af skriftlige korrekte databehandleraftaler et selvstændigt kritikpunkt for flere af de stikprøver Datatilsynet foretager.
Den dataansvarlige er forpligtet til at træffe passende organisatoriske og tekniske foranstaltninger for at sikre og kunne påvise at behandling af data er lovlig. Hvis der anvendes en databehandler skal denne tilsvarende kunne garantere, at der gennemføres passende organisatoriske og tekniske foranstaltninger.
Med andre ord er der et sammenfald i de forpligtelser som den dataansvarlige og databehandleren har, og dermed vil databehandleraftalen være en effektiv måde for den dataansvarlige at påvise at der er truffet de fornødne foranstaltninger, såfremt tilsynsmyndigheden en dag skulle kigge forbi. Eller endnu værre: såfremt der skulle ske et sikkerhedsbrud.
 
Ansvarlighed
Begrebet ”ansvarlighed” er et nyt centralt begreb i databeskyttelsesforordningen. Kort fortalt går det ud på, at den dataansvarlige eller databehandleren står til regnskab for, at behandlingsreglerne i forordningen overholdes. Det skal kunne ”påvises” at reglerne er overholdt. Dette lille ord ”påvise” indebærer blandt andet, at bevisbyrden for at overholde regler og principper i medfør af databeskyttelsesforordningen ligger hos den dataansvarlige eller databehandleren.
Med indførelse af begrebet ”ansvarlighed” er det forordningens formål, at lade den dataansvarlige og databehandleren tage større ansvar for, at der gennemføres passende foranstaltninger til de enkelte behandlings-
opgaver om personfølsomme data.
På den ene side gives der dermed større frihedsgrader til den dataansvarlige og databehandler i forhold til at fastsætte passende foranstaltninger for at opretholde behandlingssikkerheden. Det betyder blandt andet, at der under hensyntagen til behandlingens karakter kan gradueres, således at der ikke skal træffes de samme sikkerhedsforanstaltninger for et landsdækkende kritisk system, som en lille lokal løsning. 
På den anden side skal det til enhver tid kunne ”påvises”, at de foranstaltninger der er truffet, er passende. Dette udtryk ”passende” har karakter af en elastik, som den dataansvarlige skal være opmærksom på. Hvis omfanget eller arten af databehandlingen ændres, kan det således være at de hidtidige ”passende” foranstaltninger skal revurderes. Det samme gælder ved teknologisk udvikling.
 
Hvad så nu kommune?
Som Datatilsynets stikprøvekontrol har vist, kan det nemt risikeres, at en kommune ikke har tilstrækkelige databehandleraftaler med alle sine databehandlere. Da princippet om ansvarlighed blandt andet indebærer, at kommunen skal kunne påvise overholdelse af persondatareglerne, må det foreslås, at databehandleraftaler er det første punkt på tjeklisten hos de ansvarlige personer i kommunen. Formentligt ligger punktet også ret højt oppe på Datatilsynets tjekliste.
En god start på at påvise kommunens lovlige behandling af data, kunne således være ved at præstere en komplet og vedligeholdt liste over databehandlere, inklusive databehandleraftaler.
Bemærk at der er kommet nye indholdsmæssige krav til databehandleraftalerne. Spørgsmålet er derfor, hvordan man skal forholde sig til eksisterende databehandleraftaler – skal de genforhandles?
Spørgsmålet kan nok besvares på to måder. For det første er der ikke overgangsbestemmelser, der giver hjemmel til at have ikke-opdaterede databehandleraftaler i en periode. For det andet betyder reglerne om ansvarlighed, at den dataansvarlige fra forordningens ikrafttræden den 25. maj 2018 skal kunne påvise lovlig behandling af data i medfør af forordningen. Det er ikke tilstrækkeligt, at påvise at den ikke-gældende persondatalov overholdes. Hvis der ikke foreligger opdaterede lovlige databehandleraftaler, må det derfor være tvivlsomt, om den ”påvisning” falder heldigt ud.
Endelig bør kommunen benytte lejligheden til at indarbejde princippet om ”ansvarlighed” i sine databehandleraftaler, således at kommunen har sikkerhed for, at niveauet for passende foranstaltninger for den enkelte databehandlingsopgave skrues op og ned i takt med ændringer i behandlingens karakter, samt den teknologiske udvikling.
 
 
 
 
 
Danske IT-Advokater er en brancheorganisation for certificerede IT-advokater i Danmark, der i væsentligt omfang beskæftiger sig med it og telecom. Kit-Magasinet og Danske IT-advokater samarbejder redaktionelt om faglige relevante emner.