www.complycloud.com
Velkommen til webinaret:
Databehandlere – udvalgt praksis
27. maj 2020
Husk at slå din mikrofon og kamera fra
Vi starter kl. 12
2
Martin Folke VasehusCertificeret IT-advokat
Erfaring• IT-advokat og medlem af Danske IT-Advokater• 11 år med IT og digitalisering (8 hos Bruun & Hjejle)• IT-Branchens Sikkerhedsudvalg• Master-studier ved IT-Universitetet• ISO 27001 Lead Implementor• Ekstern lektor ved Juridisk Fakultet, KU
Specialer• GDPR og compliance-programmer• It-kontrakter og it-outsourcing• It-forsikring og cyber-skader og –ansvar• It-retssager og voldgiftssager
www.complycloud.com
www.complycloud.com 3
Q&A og afslutning3
1 Introduktion til databehandlere
2 Udvalgt praksis
Programmet
www.complycloud.com 4
Q&A og afslutning3
1 Introduktion til databehandlere
2 Udvalgt praksis
www.complycloud.com 5
Den overordnede tjekliste til databehandlere:
Er der indgået databehandleraftaler?
Overholder aftalerne de indholdsmæssige krav?
Bliver der ført tilsyn med databehandlere?
Bliver der ført tilsyn med underdatabehandlere?
Har I lister/fortegnelser over databehandlere?
www.complycloud.com 6
Den overordnede tjekliste:
Er der indgået databehandleraftaler?
Overholder aftalerne de indholdsmæssige krav?
Bliver der ført tilsyn med databehandlere?
Bliver der ført tilsyn med underdatabehandlere?
Har I lister/fortegnelser over databehandlere?
www.complycloud.com 7
Har I defineret roller? Databehandler eller dataansvarlig?
• Hvem bestemmer formål?
• Agerer den ene på den andens vegne?
• Er der aftalt en instruksbeføjelse?
• Er behandlingen outsourcing?
• Hvem bestemmer tekniske hjælpemidler?
• Hvem bestemmer, om der skal ske sletning?
• Er der transparens for de registrerede personer, og hvad forventer de med rimelighed?
Dataansvarlig leverandør
Databehandler
Dataansvarlig
? ?
www.complycloud.com 8
Den overordnede tjekliste:
Er der indgået databehandleraftaler?
Overholder aftalerne de indholdsmæssige krav?
Bliver der ført tilsyn med databehandlere?
Bliver der ført tilsyn med underdatabehandlere?
Har I lister/fortegnelser over databehandlere?
Fri dataudveksling i EU/EØS
Der kræves ”almindelig compliance”, dvs. databehandleraftaler
Lande udenfor EU/EØS = tredjelande
For tredjelande er der ikke fri dataudveksling
Overførsel til tredjelande
www.complycloud.com 10
USA
USA er ikke et sikkert tredjeland. Der er indgået særaftale kaldet EU-USA PrivacyShield.
Virksomheder, der har ”selv-registreret” sig Privacy Shield, er sikre.
Overførsel til tredjelandeDatabehandleraftalen skal angive tredjelande og overførselsgrundlaget. I praksis bruges oftest Privacy
Shield for USA og Kommissionens Standardkontraktbestemmelser for øvrige lande.
Sikre tredjelande
• Andorra• Argentina• Australien (begrænset)• Canada (begrænset)• Channel Islands• Færøerne• Israel• Japan• New Zealand• Schweitz• Uruguay
www.complycloud.com 11
Dataansvarlig
Databehandler
Underdatabehandler
Underdatabehandler
Underdatabehandlere• Aftalen skal angive alle underdatabehandlere med
virksomhedsnavn og adresse samt behandlingsaktiviteter.
• Aftalen bør også angive, hvordan der skal føres tilsyn med underdatabehandlere.
• Det er typisk en fordel for begge parter at aftale, at databehandleren forestår tilsyn med underdatabehandlere og sender dokumentation herfor til den dataansvarlige.
• Forpligtelsen til at angive underdatabehandlere i aftalen og føre tilsyn gælder formentlig kun ”to led ned” – dvs. underdatabehandlernes underdatabehandlere er ikke omfattet.
www.complycloud.com 12
Q&A og afslutning3
1 Introduktion til databehandlere
2 Udvalgt praksis
www.complycloud.com 13
Case # 1 og 2
Randers Kommune og Viborg Kommune
14
Case: Randers Kommune
www.citlaw.dk
Datatilsynet konkluderede følgende efter sit tilsyn:
Randers Kommune havde ikke levet op til kravene i databeskyttelsesforordningens artikel 28, stk. 3, navnlig pga følgende:
Randers Kommune havde blandt andet ikke indgået aftaler med 68 af kommunens databehandlere, der – som et minimum – indeholder en beskrivelse af de forpligtelser, som er nævnt i forordningens artikel 28, stk. 3.
Kommunen havde i enkelte tilfælde ikke i tilstrækkelig grad forholdt sig til, hvordan forpligtelserne i artikel 28, stk. 3, skal opfyldes af parterne i praksis.
Kommunen havde ikke på en tilstrækkelig klar måde instrueret samtlige databehandlere i, hvilken behandling af personoplysninger, der skal foretages på vegne af kommunen.
Kommunen havde ført løbende tilsyn med behandlingen af personoplysninger hos de af kommunens databehandlere, som Datatilsynet havde udvalgt til stikprøvekontrol.
Kommunen havde dog ikke i alle tilfælde ført løbende tilsyn med behandlingen af personoplysninger hos kommunens underdatabehandlere.
15
Case: Viborg Kommune
www.citlaw.dk
Datatilsynet konkluderede følgende efter sit tilsyn:
Randers Kommune havde ikke levet op til kravene i databeskyttelsesforordningens artikel 28, stk. 3, navnlig pga følgende:
Randers Kommune havde blandt andet ikke indgået aftaler med 5 af kommunens databehandlere, der – som et minimum – indeholder en beskrivelse af de forpligtelser, som er nævnt i forordningens artikel 28, stk. 3.
Kommunen havde i flere tilfælde ikke i tilstrækkelig grad forholdt sig til, hvordan forpligtelserne i artikel 28, stk. 3, skal opfyldes af parterne i praksis.
Kommunen havde ikke på en tilstrækkelig klar måde instrueret samtlige databehandlere i, hvilken behandling af personoplysninger, der skal foretages på vegne af kommunen.
Kommunen havde ikke ført løbende tilsyn med behandlingen af personoplysninger hos de 3 af kommunens databehandlere, som Datatilsynet havde udvalgt til stikprøvekontrol.
Kommunen havde ikke ført løbende tilsyn med behandlingen af personoplysninger hos kommunens underdatabehandlere.
16
De to cases er særligt relevante, fordi…
I sagen med Randers Kommune:
”Herudover oplyste Randers Kommune, at IT-afdelingen forholder sig aktivt til indholdet af en revisionserklæring og vurderer, om denne giver tilstrækkelig information om behandlingssikkerheden. Når kommunen modtager en revisionserklæring fra en databehandler, journaliseres erklæringen i kommunens journalsystem, og der vedlægges et dokument på sagen, hvor kommunen anfører sine eventuelle bemærkninger hertil. Randers Kommune fremviste i den forbindelse et eksempel på et sådant dokument.”
www.complycloud.com
Revisionserklæringer – hvad skal man kunne påvise?
Indsamling + sandsynliggjort, at den er læst + journalisering + gem eventuelle bemærkninger = ok
17
De to cases er særligt relevante, fordi…
Brug af de omfattede personoplysninger til egne formål:
”Kommunen og kommunens lærere skal være opmærksom på, at [databehandler] anvender udvalgte oplysninger til egne formål. [Databehandler] anvender f.eks. oplysninger om brugeradfærd til at kunne målrette den brugerorienterede dialog samt til at optimere vores produkter og tjenesteydelser. [Databehandler] vil derfor behandle udvalgte oplysninger i forbindelse med nyhedsbreve, markeds- og produktundersøgelser samt service- og produktorienteringer.”
www.complycloud.com
Databehandleres brug af personoplysninger til egne formål vil altid indebære risici for uklarhed og sammenblanding af roller.
18
De to cases er særligt relevante, fordi…
Google-søgning på ét af de anvendte citater fra aftale med ”Databehandler 3”:
”[Databehandler] bevarer Kundedata, som forbliver gemt på Onlinetjenesterne (undtagen gratis prøveversioner og LinkedIn-tjenester), på en konto med begrænset funktionalitet i 90 dage efter udløb eller ophør af Kundens abonnement, så Kunden kan udtrække dataene. Når opbevaringsperioden på 90 dage slutter, deaktiverer [databehandler] Kundens konto og sletter Kundedataene og Personlige data inden for yderligere 90 dage, medmindre [databehandler] har tilladelse til eller er pålagt i henhold til gældende lov at bevare sådanne data eller er blevet godkendt til det i denne aftale..”
www.complycloud.com
Datatilsynet kræver dokumenteret instruks, der er mere konkret og detaljeret end den i Microsofts standardvilkår.
www.complycloud.com 19
Case # 3
Afklaring af dataansvar
www.complycloud.com 20
• En medicinstuderende fik stjålet et videokamera ejet af Københavns Universitet i forbindelse med den studerendes praktikforløb hos et lægehus. På videokameraets SD-kort lå optagelser af patienter. Lægehuset anmeldte et sikkerhedsbrud til Datatilsynet.
• Spørgsmålet var herefter, om den dataansvarlige var den medicinstuderende, lægehuset eller Københavns Universitet
Datatilsynet konkluderede følgende:
• Københavns Universitet var dataansvarlig. Datatilsynet lagde vægt på, at formålet med at optage konsultationerne var, at den studerende kunne anvende optagelserne til at opfylde sine forpligtelser for hhv. undervisning og eksamen på Københavns Universitet.
Københavns Universitet havde ikke levet op til kravene i GDPR, artikel 32, stk. 1, artikel 33, stk. 1 og artikel 34, stk. 1, fordi de havde mistet et videokamera indeholdende oplysninger om et ukendt antal registrerede, herunder oplysninger om helbred.
Købehavns Universitet havde ikke indberettet bruddet på persondatasikkerheden til Datatilsynet.
Københavns Universitet havde ikke underrettet de registrerede personer omfattet af bruddet på persondatasikkerheden
Dataansvar
www.complycloud.com 21
Case # 4
Grænserne for instruks og tredjelande
www.complycloud.com 22
• Herning Kommune brugte en dansk leverandør og databehandler til at drifte og vedligeholde et økonomisystem ejet af 10 kommuner og to regioner. Den danske leverandør brugte en underleverandør, der leverede Service Desk til økonomisystemet.
• Herning Kommune anmeldte et brud på persondatasikkerheden, fordi den anvendte underleverandør af Service Desk ikke var en godkendt leverandør.
• Leverandøren, som databehandleren overførte personoplysninger til, behandlede oplysningerne i ikke sikre tredjelande.
Datatilsynet udtalte alvorlig kritik af den danske leverandør (EG A/S) på følgende baggrund:
ServiceNow – som leverede Service Desk Systemet – var ikke godkendt som underdatabehandler i aftalen med Herning Kommune (eller med de øvrige parter), og dette var den danske leverandørs ansvar, da de ikke havde oplyst om brug af denne.
ServiceNow overfører som led i leverancen af Service Desk Systsmet personoplysninger, herunder personnumre, til tredjelande uden for instruks.
Herning Kommune
www.complycloud.com 23
Særligt to spændende citater:
🚩 ”For at sikre, at personoplysningerne ikke overføres til ServiceNows kontorer uden for EU, har EG deaktiveret en såkaldt ”follow the sun”-supportfunktion. ServiceNow oplyste i den forbindelse EG om, at når denne supportfunktion var deaktiveret, ville personoplysninger ikke blive behandlet af ServiceNows kontorer i tredjelande.”
🚩 ”Den 12. august 2019 oplyser ServiceNow til EG, at ServiceNow, til trods for deaktiveringen af ”follow the sun”-supportfunktionen, ikke kan garantere, at personoplysninger ikke behandles i tredjelande, da ServiceNows medarbejdere i f.eks. Indien kan være ansvarlige for at implementere globale sikkerhedsopdateringer til Service Desk Systemet.”
• Datatilsynet lægger uden videre til grund, at dette indebærer en overførsel af personoplysninger til tredjelande.
Herning Kommune
www.complycloud.com 24
”Case” # 5
Datatilsynets standardkontrakt
www.complycloud.com 25
Datatilsynet har ”besluttet i vidt omfang og som et udgangspunkt fortsat at acceptere aftaler, der er baseret på tilsynets oprindelige skabelon, og som er indgået inden dags dato”.
Det må jo betyde, at man ”som et udgangspunkt” ikke behøver at ændre sine indgåede databehandleraftaler baseret på Datatilsynets tidligere anbefalede template, selvom Det Europæiske Databeskyttelsesråd havde en række bemærkninger til indholdet heri.
Men det betyder nok, at man skal notere sig EDPB’s kritik og overveje, om det giver grundlag for at ”konvertere” til den nye standardkontrakt.
Datatilsynets standardkontrakt
www.complycloud.com 26
Datatilsynets standardkontrakt
Nem eller tidskrævende?
Manuelt i Word
Ca. 4 timer
ComplyCloud
Ca. 17 min.
www.complycloud.com 27
Q&A og afslutning3
1 Introduktion til databehandlere
2 Udvalgt praksis
www.complycloud.com 28
For flere løbende nyheder kan I følge os på LinkedIn her: https://www.linkedin.com/company/complycloud
Vi holder løbende flere spændende webinarer
Vi laver også en gratis afgørelsessamling for Datatilsynets praksis de 2 første år med GDPR. Denne udkommer den 3. juni 2020
Tilmelding til webinar og nyhedsbrev kan ske på vores website: https://complycloud.com/tilmelding-webinar/
www.complycloud.com 29
Tak for jeres tid.
Vi prøver hele tiden at blive bedre, så vi håber, at I vil bruge 2 minutter påat besvare et spørgsmål, som I modtager på e-mail efter webinaret.
Udvalgte referencer