Datatilsynet vurderer, at leverandører af colocation som udgangspunkt ikke er databehandlere for kunderne, når de ikke har adgang til personoplysninger på kundens udstyr. Ydelsen anses primært som levering af fysiske rammer, strøm og internetforbindelse. Se Datatilsynets fulde svar til Region Midtjylland her.
Hvornår kan rollen ændre sig
Vurderingen beror på en konkret analyse af faktiske adgangsmuligheder og instruktionsforhold. Hvis leverandøren får reel adgang til oplysninger eller udfører behandling på kundens vegne, kan den få status som databehandler, hvilket udløser krav om databehandleraftale efter GDPR art. 28 og kontrol med eventuelle underleverandører.
Organisationer bør dokumentere rollefordelingen, beskrive tekniske og organisatoriske foranstaltninger og sikre, at kontraktgrundlaget afspejler den valgte model. Er leverandøren ikke databehandler, bør aftalen fokusere på fysisk og informationssikkerhed samt adgangsbegrænsning, mens databeskyttelsesansvaret forbliver hos den dataansvarlige.
