Velkommen til webinaret: Databehandlere –udvalgt praksis ......Velkommen til webinaret:...

www.complycloud.com

Velkommen til webinaret:

Databehandlere – udvalgt praksis

27. maj 2020

Husk at slå din mikrofon og kamera fra

Vi starter kl. 12

http://www.complycloud.com/

2

Martin Folke VasehusCertificeret IT-advokat

Erfaring• IT-advokat og medlem af Danske IT-Advokater• 11 år med IT og digitalisering (8 hos Bruun & Hjejle)• IT-Branchens Sikkerhedsudvalg• Master-studier ved IT-Universitetet• ISO 27001 Lead Implementor• Ekstern lektor ved Juridisk Fakultet, KU

Specialer• GDPR og compliance-programmer• It-kontrakter og it-outsourcing• It-forsikring og cyber-skader og –ansvar• It-retssager og voldgiftssager

www.complycloud.com

www.complycloud.com 3

Q&A og afslutning3

1 Introduktion til databehandlere

2 Udvalgt praksis

Programmet


Q&A og afslutning3


2 Udvalgt praksis


Den overordnede tjekliste til databehandlere:

Er der indgået databehandleraftaler?

Overholder aftalerne de indholdsmæssige krav?

Bliver der ført tilsyn med databehandlere?

Bliver der ført tilsyn med underdatabehandlere?

Har I lister/fortegnelser over databehandlere?


Den overordnede tjekliste:







Har I defineret roller? Databehandler eller dataansvarlig?

• Hvem bestemmer formål?

• Agerer den ene på den andens vegne?

• Er der aftalt en instruksbeføjelse?

• Er behandlingen outsourcing?

• Hvem bestemmer tekniske hjælpemidler?

• Hvem bestemmer, om der skal ske sletning?

• Er der transparens for de registrerede personer, og hvad forventer de med rimelighed?

Dataansvarlig leverandør

Databehandler

Dataansvarlig

? ?


Den overordnede tjekliste:






Fri dataudveksling i EU/EØS

Der kræves ”almindelig compliance”, dvs. databehandleraftaler

Lande udenfor EU/EØS = tredjelande

For tredjelande er der ikke fri dataudveksling

Overførsel til tredjelande


USA

USA er ikke et sikkert tredjeland. Der er indgået særaftale kaldet EU-USA PrivacyShield.

Virksomheder, der har ”selv-registreret” sig Privacy Shield, er sikre.

Overførsel til tredjelandeDatabehandleraftalen skal angive tredjelande og overførselsgrundlaget. I praksis bruges oftest Privacy

Shield for USA og Kommissionens Standardkontraktbestemmelser for øvrige lande.

Sikre tredjelande

• Andorra• Argentina• Australien (begrænset)• Canada (begrænset)• Channel Islands• Færøerne• Israel• Japan• New Zealand• Schweitz• Uruguay


Dataansvarlig

Databehandler

Underdatabehandler

Underdatabehandler

Underdatabehandlere• Aftalen skal angive alle underdatabehandlere med

virksomhedsnavn og adresse samt behandlingsaktiviteter.

• Aftalen bør også angive, hvordan der skal føres tilsyn med underdatabehandlere.

• Det er typisk en fordel for begge parter at aftale, at databehandleren forestår tilsyn med underdatabehandlere og sender dokumentation herfor til den dataansvarlige.

• Forpligtelsen til at angive underdatabehandlere i aftalen og føre tilsyn gælder formentlig kun ”to led ned” – dvs. underdatabehandlernes underdatabehandlere er ikke omfattet.


Q&A og afslutning3


2 Udvalgt praksis


Case # 1 og 2

Randers Kommune og Viborg Kommune

14

Case: Randers Kommune

www.citlaw.dk

Datatilsynet konkluderede følgende efter sit tilsyn:

Randers Kommune havde ikke levet op til kravene i databeskyttelsesforordningens artikel 28, stk. 3, navnlig pga følgende:

Randers Kommune havde blandt andet ikke indgået aftaler med 68 af kommunens databehandlere, der – som et minimum – indeholder en beskrivelse af de forpligtelser, som er nævnt i forordningens artikel 28, stk. 3.

Kommunen havde i enkelte tilfælde ikke i tilstrækkelig grad forholdt sig til, hvordan forpligtelserne i artikel 28, stk. 3, skal opfyldes af parterne i praksis.

Kommunen havde ikke på en tilstrækkelig klar måde instrueret samtlige databehandlere i, hvilken behandling af personoplysninger, der skal foretages på vegne af kommunen.

Kommunen havde ført løbende tilsyn med behandlingen af personoplysninger hos de af kommunens databehandlere, som Datatilsynet havde udvalgt til stikprøvekontrol.

Kommunen havde dog ikke i alle tilfælde ført løbende tilsyn med behandlingen af personoplysninger hos kommunens underdatabehandlere.

15

Case: Viborg Kommune

www.citlaw.dk

Datatilsynet konkluderede følgende efter sit tilsyn:

Randers Kommune havde ikke levet op til kravene i databeskyttelsesforordningens artikel 28, stk. 3, navnlig pga følgende:

Randers Kommune havde blandt andet ikke indgået aftaler med 5 af kommunens databehandlere, der – som et minimum – indeholder en beskrivelse af de forpligtelser, som er nævnt i forordningens artikel 28, stk. 3.

Kommunen havde i flere tilfælde ikke i tilstrækkelig grad forholdt sig til, hvordan forpligtelserne i artikel 28, stk. 3, skal opfyldes af parterne i praksis.

Kommunen havde ikke på en tilstrækkelig klar måde instrueret samtlige databehandlere i, hvilken behandling af personoplysninger, der skal foretages på vegne af kommunen.

Kommunen havde ikke ført løbende tilsyn med behandlingen af personoplysninger hos de 3 af kommunens databehandlere, som Datatilsynet havde udvalgt til stikprøvekontrol.

Kommunen havde ikke ført løbende tilsyn med behandlingen af personoplysninger hos kommunens underdatabehandlere.

16

De to cases er særligt relevante, fordi…

I sagen med Randers Kommune:

”Herudover oplyste Randers Kommune, at IT-afdelingen forholder sig aktivt til indholdet af en revisionserklæring og vurderer, om denne giver tilstrækkelig information om behandlingssikkerheden. Når kommunen modtager en revisionserklæring fra en databehandler, journaliseres erklæringen i kommunens journalsystem, og der vedlægges et dokument på sagen, hvor kommunen anfører sine eventuelle bemærkninger hertil. Randers Kommune fremviste i den forbindelse et eksempel på et sådant dokument.”

www.complycloud.com

Revisionserklæringer – hvad skal man kunne påvise?

Indsamling + sandsynliggjort, at den er læst + journalisering + gem eventuelle bemærkninger = ok

17


Brug af de omfattede personoplysninger til egne formål:

”Kommunen og kommunens lærere skal være opmærksom på, at [databehandler] anvender udvalgte oplysninger til egne formål. [Databehandler] anvender f.eks. oplysninger om brugeradfærd til at kunne målrette den brugerorienterede dialog samt til at optimere vores produkter og tjenesteydelser. [Databehandler] vil derfor behandle udvalgte oplysninger i forbindelse med nyhedsbreve, markeds- og produktundersøgelser samt service- og produktorienteringer.”

www.complycloud.com

Databehandleres brug af personoplysninger til egne formål vil altid indebære risici for uklarhed og sammenblanding af roller.

18


Google-søgning på ét af de anvendte citater fra aftale med ”Databehandler 3”:

”[Databehandler] bevarer Kundedata, som forbliver gemt på Onlinetjenesterne (undtagen gratis prøveversioner og LinkedIn-tjenester), på en konto med begrænset funktionalitet i 90 dage efter udløb eller ophør af Kundens abonnement, så Kunden kan udtrække dataene. Når opbevaringsperioden på 90 dage slutter, deaktiverer [databehandler] Kundens konto og sletter Kundedataene og Personlige data inden for yderligere 90 dage, medmindre [databehandler] har tilladelse til eller er pålagt i henhold til gældende lov at bevare sådanne data eller er blevet godkendt til det i denne aftale..”

www.complycloud.com

Datatilsynet kræver dokumenteret instruks, der er mere konkret og detaljeret end den i Microsofts standardvilkår.


Case # 3

Afklaring af dataansvar


• En medicinstuderende fik stjålet et videokamera ejet af Københavns Universitet i forbindelse med den studerendes praktikforløb hos et lægehus. På videokameraets SD-kort lå optagelser af patienter. Lægehuset anmeldte et sikkerhedsbrud til Datatilsynet.

• Spørgsmålet var herefter, om den dataansvarlige var den medicinstuderende, lægehuset eller Københavns Universitet

Datatilsynet konkluderede følgende:

• Københavns Universitet var dataansvarlig. Datatilsynet lagde vægt på, at formålet med at optage konsultationerne var, at den studerende kunne anvende optagelserne til at opfylde sine forpligtelser for hhv. undervisning og eksamen på Københavns Universitet.

Københavns Universitet havde ikke levet op til kravene i GDPR, artikel 32, stk. 1, artikel 33, stk. 1 og artikel 34, stk. 1, fordi de havde mistet et videokamera indeholdende oplysninger om et ukendt antal registrerede, herunder oplysninger om helbred.

Købehavns Universitet havde ikke indberettet bruddet på persondatasikkerheden til Datatilsynet.

Københavns Universitet havde ikke underrettet de registrerede personer omfattet af bruddet på persondatasikkerheden

Dataansvar


Case # 4

Grænserne for instruks og tredjelande


• Herning Kommune brugte en dansk leverandør og databehandler til at drifte og vedligeholde et økonomisystem ejet af 10 kommuner og to regioner. Den danske leverandør brugte en underleverandør, der leverede Service Desk til økonomisystemet.

• Herning Kommune anmeldte et brud på persondatasikkerheden, fordi den anvendte underleverandør af Service Desk ikke var en godkendt leverandør.

• Leverandøren, som databehandleren overførte personoplysninger til, behandlede oplysningerne i ikke sikre tredjelande.

Datatilsynet udtalte alvorlig kritik af den danske leverandør (EG A/S) på følgende baggrund:

ServiceNow – som leverede Service Desk Systemet – var ikke godkendt som underdatabehandler i aftalen med Herning Kommune (eller med de øvrige parter), og dette var den danske leverandørs ansvar, da de ikke havde oplyst om brug af denne.

ServiceNow overfører som led i leverancen af Service Desk Systsmet personoplysninger, herunder personnumre, til tredjelande uden for instruks.

Herning Kommune


Særligt to spændende citater:

🚩 ”For at sikre, at personoplysningerne ikke overføres til ServiceNows kontorer uden for EU, har EG deaktiveret en såkaldt ”follow the sun”-supportfunktion. ServiceNow oplyste i den forbindelse EG om, at når denne supportfunktion var deaktiveret, ville personoplysninger ikke blive behandlet af ServiceNows kontorer i tredjelande.”

🚩 ”Den 12. august 2019 oplyser ServiceNow til EG, at ServiceNow, til trods for deaktiveringen af ”follow the sun”-supportfunktionen, ikke kan garantere, at personoplysninger ikke behandles i tredjelande, da ServiceNows medarbejdere i f.eks. Indien kan være ansvarlige for at implementere globale sikkerhedsopdateringer til Service Desk Systemet.”

• Datatilsynet lægger uden videre til grund, at dette indebærer en overførsel af personoplysninger til tredjelande.

Herning Kommune


”Case” # 5

Datatilsynets standardkontrakt


Datatilsynet har ”besluttet i vidt omfang og som et udgangspunkt fortsat at acceptere aftaler, der er baseret på tilsynets oprindelige skabelon, og som er indgået inden dags dato”.

Det må jo betyde, at man ”som et udgangspunkt” ikke behøver at ændre sine indgåede databehandleraftaler baseret på Datatilsynets tidligere anbefalede template, selvom Det Europæiske Databeskyttelsesråd havde en række bemærkninger til indholdet heri.

Men det betyder nok, at man skal notere sig EDPB’s kritik og overveje, om det giver grundlag for at ”konvertere” til den nye standardkontrakt.




Nem eller tidskrævende?

Manuelt i Word

Ca. 4 timer

ComplyCloud

Ca. 17 min.


Q&A og afslutning3


2 Udvalgt praksis


For flere løbende nyheder kan I følge os på LinkedIn her: https://www.linkedin.com/company/complycloud

Vi holder løbende flere spændende webinarer

Vi laver også en gratis afgørelsessamling for Datatilsynets praksis de 2 første år med GDPR. Denne udkommer den 3. juni 2020

Tilmelding til webinar og nyhedsbrev kan ske på vores website: https://complycloud.com/tilmelding-webinar/

https://www.linkedin.com/company/complycloud

https://complycloud.com/tilmelding-webinar/


Tak for jeres tid.

Vi prøver hele tiden at blive bedre, så vi håber, at I vil bruge 2 minutter påat besvare et spørgsmål, som I modtager på e-mail efter webinaret.

Udvalgte referencer

Velkommen til webinaret: Databehandlere –udvalgt praksis ......Velkommen til webinaret:...

Documents

Transcript of Velkommen til webinaret: Databehandlere –udvalgt praksis ......Velkommen til webinaret:...