Datatilsynet har politianmeldt et privathospital og indstillet en bøde på mindst 1,5 mio. kr. for manglende tilsyn med databehandlere. Sagen markerer skærpet håndhævelse af accountability og understreger krav om risikobaseret kontrol og dokumentation efter GDPR.
Datatilsynet har politianmeldt et privathospital og indstillet en bøde på mindst 1,5 mio. kr. for manglende tilsyn med databehandlere. Sagen understreger, at manglende dokumentation i sig selv kan udløse sanktioner efter GDPRs ansvarlighedsprincip.
Praktiske konsekvenser
Dataansvarlige skal før overladelse vurdere, om databehandlere kan efterleve instruks og sikkerhedskrav, og derefter udføre løbende tilsyn. Kravet følger især af GDPR art. 28 og art. 32 og skærpes ved behandling af helbredsoplysninger.
Et effektivt program for leverandørkontrol forudsætter overblik, plan og dokumentation. Se Datatilsynets vejledning om tilsyn med databehandlere for metoder og beviskrav.
Tre centrale skridt kan anvendes som minimumsramme:
- Vedligehold en ajourført fortegnelse over alle databehandlere og formål.
- Fastlæg risikobaseret frekvens, dybde og metode for tilsyn og audits.
- Gennemfør, følg op og dokumentér kontroller med et klart kontrolspor.
Søgeord
GDPR,
Databehandleraftale,
Sanktioner,
Risikovurdering,
Complianceprogram,
GDPR art. 32,
GDPR art. 9,
Databeskyttelsesloven,
Datatilsynet,
Databeskyttelse,
Databeskyttelsesforordningen,
Fortegnelse over behandlingsaktiviteter,
Helbredsoplysninger,
GDPR art. 28,
Sikkerhedsforanstaltninger,
Bøder,
Accountability,
GDPR art. 5,
Databehandler,
Interne kontroller,
Politianmeldelse,
Datatilsynet vejledning,
Dokumentationspligt,
Leverandørkontrol,
Ansvarlighedsprincippet,
Audit,
Kontrolspor,
Tilsyn med databehandlere,
Underdatabehandler,
Databehandlerkæde,
Behandlingsinstruks,
Patientoplysninger,
Privathospital,
Databehandlerfortegnelse
Ledige stillinger
