Hold øje med dine databehandlere: Manglende kontrol kan medføre store bøder
Vi har sagt det før, og vi siger det gerne igen – det er vigtigt at holde snuden i sporet på GDPR-området. Konsekvenserne ved et eventuelt brud på reglerne, herunder bødestraffene, kan være omfangsrige; det er den seneste anmeldelse af privathospital et godt eksempel på
Virksomheder skal have systemer på plads for at sikre, at persondata behandles sikkert og ansvarligt. For konsekvenserne ved ikke at have styr på GDPR kan være store. Det viser en sag fra Datatilsynet, som har politianmeldt et privathospital, der er indstillet til en bøde på 1.500.000 kr. på grund af. manglende overholdelse af GDPR-princippet om ansvarlighed.
Privathospitalet er anmeldt for ikke at føre tilsyn med deres underleverandører, der behandler persondata. Denne sag kaster ikke kun lys over det pågældende hospitals ageren, men fremhæver også den generelle udfordring, som virksomheder står over for med hensyn til at kontrollere de databehandlere, de anvender.
Hvad skal man være opmærksom på på bureauet?
Hvis bureauet benytter sig af underleverandører, som er databehandlere, eksempelvis virksomheder, der på den ene eller anden måde behandler persondata for bureauet eller bureauets kunde – bør man som bureau, udover at have databehandleraftaler, også sørge for at kontrollere dem.
At anvende databehandlere indebærer blandt andet udarbejdelse af risikovurderinger og at få afklaring over rolle- og ansvarsfordelingen i relationen til disse underleverandører.
Læs mere om de konkrete tiltag, man bør foretage her.
Det gode råd nu og her, hvis ikke man har overblik, lyder fra juridisk seniorrådgiver i Kreativitet & Kommunikation, Cecilie Kunz Paulsen:
“Det nemmeste sted at starte er ved sine faste underleverandører, hvor der enten direkte eller mere indirekte indgår persondata i arbejdet. Her er det vigtigt at huske, at persondata, udover kontaktoplysninger, også dækker over blandt andet billede- og videomateriale.”
Husk dine medlemsfordele – kontrol af databehandlere
Konsekvenserne ved manglende compliance i forhold til ansvarlighedsprincippet kan åbenlyst være store. Udover bøder og kontraktbrud med kunder, kan manglende overholdelse også føre til tab af tillid fra kunder og stakeholders – så det er en investering at blive compliant.
KreaKom har derfor indgået en aftale med Bech-Bruun og Legal om to GDPR-værktøjer, hvor det ene, er et overordnet GDPR-værktøj, der er målrettet branchen og giver generelt overblik samt sørger for, at din dokumentation kommer på plads. Det andet værktøj er en DPA-service, der sørger for tilsyn med databehandlere og dermed en mulighed for at lægge disse kontroller eksternt og ikke hos jer på bureauet.
“Kontrol med databehandlere er en svær størrelse – både ved mindre underleverandører, hvor det ikke altid føles proportionelt med den opgave, der skal laves, og ved de større – fordi omfanget er uoverskueligt. Vi har forsøgt at gøre det nemmest muligt for jer på bureauerne med vores GDPR-medlemsfordele, som netop kan hjælpe med et systematisk overblik, men også stå for selve kontrollen med databehandlerne”, siger Cecilie Kunz Paulsen.
Læs mere om fordelene og rabatterne som KreaKom medlem her.