Vejledning til databehandlerskabelon
Vejledning til databehandlerskabelon
Følgende er vejledende tekst, til en række punkter og underpunkter i databehandleraftalen. Vej‐ ledningen bør konsulteres i tilfælde af, at der opstår tvivl om, hvordan et punkt bedst udfyldes.
1: Præambel
Pkt. 3.
Som udgangspunkt henføres der til den aftale eller kontrakt, der er indgået mellem parterne om levering af ydelsen. I nogle tilfælde er der ikke lavet en direkte aftale eller kontrakt, og i disse tilfælde kan man i stedet beskrive den ydelse, der skal leveres, så konkret som muligt. Hvis databehandlingen følger af lov, vil det være hensigtsmæssigt at henvise til den lovparagraf eller den bekendtgørelse, som er grundlag for databehandlingen.
3: Databehandleren handler efter instruks
Parterne bør forudse og overveje eventuelle konsekvenser, der kan følge af en eventuel ulovlig instruks, som den Dataansvarlige har givet og regulere dette i en aftale mellem parterne.
Parterne skal, hvis det er relevant, regulere dette forhold i bilag D.
5: Behandlingssikkerhed
Pkt. 2. ‐ ang. artikel 32:
Den dataansvarlige er jf. forordningen forpligtet til at udarbejde en risikovurdering af databehandlingen. På baggrund af denne risikovurdering skal Databehandleren for at opfylde kravene i artikel 32 fastsætte konkrete sikringsforanstaltninger. Sik- ringsforanstaltningerne er som udgangspunkt beskrevet i bilag C (behandlingsinstruks).
Hvis der mellem parterne aftales ændringer til behandlingsinstruksen, beskrives disse i bilag D.
6: Anvendelse af Underdatabehandlere
Pkt. 2 – ang. varslingsfrist
Som udgangspunkt bør perioden være så lang, at den Dataansvarlige har tid til at vurdere, om de vil godkende den pågældende Underdatabehandler. Perioden skal være minimum 30 dage, men det anbefales, at perioden sættes til 3 måneder.
Pkt. 2 – Specifik godkendelse
En specifik skriftlig godkendelse til at ændre i anvendelsen af Underdatabehand- lere kan være relevant, hvis der er tale om en databehandling, som omfatter for- trolige eller følsomme data, og hvor man har behov for at kunne kontrollere, at data ikke behandles hos en Underdatabehandler, der ikke er hjemmel til at an- vende. F.eks. hvis der er tale om en Underdatabehandler i et 3. land (ikke EU eller EØS), som kræver en særlig aftale for at være lovlig.
Pkt. 2 – Generel godkendelse
En generel godkendelse af Underdatabehandlere kan være hensigtsmæssig eller nødvendig, hvis der er tale om, at der er mange Dataansvarlige, der anvender den samme ydelse fra en Databehandler, f.eks. hvis der er tale om fællesoffentlige ydel- ser, såsom NemID, sundhedsdatanettet eller services på den nationale serviceplat- form. I disse tilfælde vil det som oftest ikke være muligt for Databehandleren spe- cifikt at indhente en godkendelse hos de enkelte Dataansvarlige. I nogle tilfælde, hvor der er mange Dataansvarlige, der anvender samme løsning, vil der være ned- sat en styregruppe, som tager stilling ved skift af Underdatabehandler. I disse til- fælde vil den enkelte Dataansvarlige heller ikke kunne gøre indsigelser direkte til Databehandleren.
10: Sletning og tilbagelevering af oplysninger
Pkt. 1 – ophør af tjenester
Man skal her overveje, om man har behov for oplysningerne efter ophør af data- behandlingen. Hvis data f.eks. er blevet brugt til at lave en rapport og ikke er re- levante bagefter, bør de slettes hos Databehandleren. I det tilfælde, hvor man skifter Databehandler, vil det oftest være relevant at få data tilbageleveret, så de kan videregives til den nye Databehandler.
Muligheden ”Ikke relevant” bruges, hvis Databehandleren ikke opbevarer data hos sig. Det kan være Databehandlere, der varetager transmission af data, f.eks. MedComs databehandling på sundhedsdatanettet.
Bilag A: oplysninger om behandlingen
A1
Formålet for selve databehandlingen beskrives – hvorfor er det nødvendigt at ud- føre databehandlingen. Vær opmærksom på, at Databehandlerens behandling måske kun er en del af den samlede databehandling. Det kan eksempelvis være en Databehandler, som står for transmission af oplysninger mellem forskellige parter, men som ikke selv opbevarer personoplysninger. Formålet med databe- handlingen vil i dette tilfælde kunne beskrives som ”understøttelse af kommuni- kation mellem parterne”. Inspiration til udfyldelse af punkt A1 kan evt. findes i projektbeskrivelse, dataflowbeskrivelser eller i den fortegnelse, der muligvis er udarbejdet for databehandlingen.
A2
En udtømmende og klar beskrivelse af den databehandling, som Databehandleren foretager, f.eks. at Databehandleren hoster eller drifter løsningen, hvor databe- handlingen foregår. Her vil det også være relevant at beskrive, hvem der kan tilgå data i løsningen, er det f.eks. medarbejdere hos den Dataansvarlige eller er det også brugere fra andre organisationer. Hvis Databehandleren varetager en eller flere databehandlinger, som indgår i en større helhed, er det vigtigt at klarlægge dataflowet eller integrationer. Et eksempel kan være, at en løsning kun kan tilgås med anvendelse af medarbejdersignatur, hvor det vil være relevant at medtage, at Databehandleren håndterer identifikation af brugeren ved integration til NemID.
A3
Her skrives de typer af personoplysninger, som indgår i databehandlingen. Det kan være hensigtsmæssigt at opdele typen i 3 kategorier:
-Almindelige personoplysninger: Navn, adresse, mail-adresse, IP-adresse, billede, pårørende mv., sociale forhold, økonomiske forhold (Listen er ikke udtømmende)
-Almindelige, fortrolige oplysninger: CPR-nummer, strafbare forhold (Listen er udtømmende)
-Følsomme personoplysninger: Race og/eller etnisk oprindelse, politisk overbe- visning, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data, helbredsoplysninger, seksuelle forhold eller ori- entering (Listen er udtømmende).
Ved angivelse af typer af personoplysninger bør man være så præcis som mulig, da det giver en fornemmelse af, hvor stor omfanget af databehandlingen er.
F.eks. vil det for helbredsoplysninger være relevant at specificere, om der f.eks. er tale om medicin, diagnoser, behandlingsaftaler e.l.
Typen af personoplysninger skal angives for hver kategori af registrerede – se punkt A4.
A4
Her skal angives alle de personkategorier, som er omfattet af databehandlingen, f.eks. medarbejdere ansat på afdeling XX, patienter med diagnose XX, pårørende til patienter, testpersoner mv. Hvis det er relevant og ikke fremgår af formålet med databehandlingen, kan man beskrive inklusions- og udvælgelseskriterier, så det tydeligt fremgår, hvorfor der foretages registrering for den specifikke personkate- gori. Eksempelvis kan en beskrivelse af en operation også indeholde oplysninger om, hvem der har opereret patienten. Det er relevant, hvis der opstår komplikatio- ner og man har brug for at kunne se, hvem der har foretaget indgrebet. I det på- gældende eksempel bør kategorien ”operatør” fremgå.
A5
Her kan der enten angives en konkret dato eller man kan henvise til, at databe- handlingens varighed følger den indgåede kontrakt.
Bilag c: Underdatabehandlere
C.2.1.1.
C.2.2.4
I afsnittet beskriver den Dataansvarlige, hvilke typer af personoplysninger, der be- handles, f.eks. om der er tale om almindelige eller følsomme oplysninger og der skal også gives et bud på, hvor omfattende databehandlingen er. Det kan angives som antal af personer, der er omfattet eller f.eks. angive, at det er alle personer i regionen/kommunen, der er omfattet. Relevant for sikkerhedsniveauet er det også at vide, hvem der deltager i databehandlingen, f.eks. om forskellige parter skal samarbejde og dele personoplysninger.
Databehandleren beskriver, hvordan kravene til kryptering efterleves.
Det beskrives bl.a., hvordan personoplysninger beskyttes ved transmission eller lokalt på servere/databaser, eksempelvis ved pseudonymisering/kryptering eller anonymisering. TLS og HTTPS beskrives. Kryptering af e-mails beskrives også her.
C.2.4.13
Databehandlerens beskrivelse af dennes efterlevelse af afsnit C2.4 Autorisation og adgangskontrol.
C.2.5.7
Databehandleren beskriver, hvordan Databehandleren foretager backup, hvor backup-oplysninger opbevares, samt hvordan dette er beskyttet.
C.2.8.6
Hvis relevant, beskriver Databehandleren, hvordan krav til anvendelse af hjemme-
/ad hoc-arbejdspladser efterleves.
C.2.9.3
Her beskriver Databehandleren, hvordan kravene efterleves.
Evt. krav til længere opbevaringstid for logs angives. Endvidere beskrives mulig- heden for automatisk at sende loggen til den Dataansvarlige, eller om denne ud- leveres til ved anmodning fra den Dataansvarlige.
C.3
Databehandleren skal beskrive omfang og indhold i den bistand, som ydes af Da- tabehandleren, herunder beskrives de specifikke tekniske og organisatoriske for- anstaltninger, som Databehandleren skal gennemføre.
C.4
Beskriv eventuel opbevaringsperiode og evt. sletterutiner, som Databehandleren er ansvarlig for. Det kan enten være en konkret tidsperiode, hvor personoplysnin- gerne skal opbevares og derefter slettes hos Databehandleren. Eller det kan dreje sig om, at Databehandleren periodisk skal foretage sletning af personoplysninger, der ikke længere er relevante, f.eks. at afdøde personer skal slettes fra et register hver måned e.l.
C.7
Her beskriver den Dataansvarlige form, indhold og tidskrav for tilsynet.
Tilsynet med Databehandleren kan udformes på forskellig vis, og bør tage ud- gangspunkt i en risikovurdering af den pågældende databehandling. Herudover kan hensyn til typen og omfanget af databehandling og forhold hos leverandø- ren spille ind. F.eks. vil der for nogle leverandører være et misforhold mellem ind- tjening på opgaven og udgifter til en revisionserklæring.
Der er forskellige typer af erklæringer, der kan indgå i den Dataansvarliges tilsyn:
ISAE3000 erklæring om behandling af personoplysninger (specifik): En revisions- erklæring udarbejdet af en uvildig 3. part for Databehandleren, som vedrører den specifikke databehandling, som den Dataansvarlige får udført.
ISAE3000 erklæring om behandling af personoplysninger (generel): En revisions- erklæring udarbejdet af en uvildig 3. part for Databehandleren, som vedrører den generelle databehandling, som Databehandleren får udført for flere Dataansvar- lige, f.eks. generelt vedr. deres drift af forskellige applikationer.
ISAE3402 erklæring om generelle it-kontroller: Udarbejdes af de fleste virksom- heder i tilknytning til deres finansielle revision.
Ledelseserklæring: En erklæring fra Databehandlerens øverste ledelse om, at de efterlever kravene i den indgåede Databehandleraftale.
Spørgeramme for tilsyn: Som supplement til ledelseserklæringen kan den Data- ansvarlige udarbejde en spørgeramme, hvor Databehandleren bliver bedt om at specificere, hvordan de efterlever udvalgte krav i Databehandleraftalen.
Andre erklæringer: Der findes andre typer af standarderklæringer, f.eks. hvis der er tale om Databehandlere placeret i andre lande.
Bilag D: Parternes regulering af andre forhold
I dette bilag kan indsættes aftaler, som omhandler andre forhold af relevans for databehandlingen. Det er ligeledes i bilag D muligt at anføre, hvis den Dataansvar- lige og Databehandlere aftaler, at Databehandlerens efterlevelse af krav i Databe- handleraftalen eller –instruksen efterkommes på en anden måde, end det er be- skrevet.
Bilag D anvendes til at specificere, hvor parterne har aftalt andre betingelser end dem, der fremgår som standard af databehandleraftalen. F.eks. kan det være rele- vant at indsætte krav i forhold til misligholdelse, lov- og værneting eller overdra- gelse af databehandlingen til andre, såfremt dette ikke er reguleret i den kon- trakt/aftale, databehandleraftalen knytter sig til.
I følgende punkter i databehandleraftalen er der henvisning til bilag D, hvor man skal overveje, om der er forhold, der skal tages stilling til:
• Pkt. 3.3
• Pkt. 5.2
• Pkt. 8.3
• Pkt. 10.2
• Pkt. 13.2
• Pkt. C2.1.6
• Pkt. C2.1.7
• Pkt. C2.2.3
• Pkt. C2.8.1
• Pkt. C6.1