Datatilsynet afviser krav om køb af særlige løsninger
Flere SMV’er er blevet kontaktet af udbydere, der hævder, at køb af it-produkter eller GDPR-kurser er nødvendigt for at undgå bøder eller sager hos Datatilsynet. Myndigheden fastslår, at den ikke kræver specifikke systemer eller kurser og ikke samarbejder kommercielt med private leverandører.
Efterlevelse af databeskyttelsesreglerne beror på passende organisatoriske og tekniske foranstaltninger samt dokumentation, ikke på konkrete produkter. Kurser og værktøjer kan være nyttige, men de udgør hverken et krav eller en garanti for compliance. SMV’er, der er i tvivl om deres forpligtelser efter GDPR og databeskyttelsesloven, bør bruge Datatilsynets vejledninger og telefonrådgivning. Fokus bør være på risikovurdering, behandlingssikkerhed og klare databehandleraftaler i overensstemmelse med reglerne, herunder bl.a. ansvarlighedsprincippet og art. 28, 30, 32 og 35.
