Datatilsynet gennemførte i 2021 skriftlige tilsyn med seks statslige myndigheders kontrol af deres databehandlere. Myndighederne skulle indsende lister over databehandlere, der modtager følsomme eller fortrolige oplysninger, hvorefter 1–2 databehandlere pr. myndighed blev udvalgt til nærmere gennemgang. I fem sager fandt tilsynet ikke grundlag for at tilsidesætte de dataansvarliges vurdering af, at tilsynet var i overensstemmelse med reglerne.
Interesseret i forvaltningsret? Deltag i Forvaltningskonferencen 2026
Læs mere her →Retligt grundlag og metode
Kravene følger især af GDPR art. 28 og 32 samt ansvarlighedsprincippet, som forpligter den dataansvarlige til at planlægge, udføre og dokumentere et risikobaseret tilsyn. Datatilsynet fokuserede på tre forhold: tilsynsplan og hyppighed, om tilsyn faktisk var udført, og hvordan eventuelle resultater var fulgt op.
Tilsynets afgørelser kan bruges som praksisnære eksempler på dokumentationskrav og opfølgning hos offentlige dataansvarlige. For yderligere retningslinjer henviser tilsynet til sin vejledning om tilsyn med databehandlere, som kan læses på Datatilsynets hjemmeside.
