Tlf: 7199 5206

Hvordan følger jeres virksomhed op på datasikkerheden hos leverandører?

I forbindelse med Persondataforordningens artikel 32, skal der stilles passende tekniske og organisatoriske krav til jeres databehandlere. Men hvordan kontrollerer I konkret, at jeres leverandører efterlever de datasikkerhedskrav der er stillet i aftaler og databehandleraftaler, og hvad betyder det for den lovpligtige kontrol I skal udføre? 

Datatilsynet skriver i deres vejledning om 'Tilsyn med databehandlere og underdatabehandlere':

“Selvom det ikke fremgår eksplicit af en bestemmelse i databeskyttelsesforordningen, at man skal påse behandlingssikkerheden hos sine databehandlere, er det Datatilsynets opfattelse, at man også nu her, hvor forordningen finder anvendelse, skal påse behandlingssikkerheden hos sine databehandlere. Baggrunden herfor er, at den dataansvarlige skal leve op til kravet om ansvarlighed og skal kunne påvise, at en behandling af personoplysninger er i overensstemmelse med reglerne i databeskyttelsesforordningen. Den dataansvarlige vil – efter Datatilsynets opfattelse – ikke kunne leve op til ovenstående krav ved blot at indgå en databehandleraftale med databehandleren. Den dataansvarlig må således også føre et (større eller mindre) tilsyn med, at den indgåede databehandleraftaler overholdes, herunder at databehandleren har gennemført de aftalte tekniske og organisatoriske sikkerhedsforanstaltninger.”

Dette betyder at du som dataansvarlig skal sikre dig at alle dine leverandører overholder det I har underskrevet i kontrakten. Har du de tekniske kompetencer til at vurdere de ISAE3000 og ISAE3402 erklæringer du vil modtage fra leverandørerne? Hvordan forholder du dig i forhold til leverandører som ikke leverer ISAE erklæringer? Har du de tekniske kompetencer til, i yderste konsekvens, at gennemføre en fysisk kontrol hos leverandører?

Vi kan hjælpe med alt dette ved:

  • at skabe overblik over hvilke af dine leverandører der skal indgå i en kontrol
  • at hjælpe med at sikre nye aftaler lever op til de juridiske krav, uden det har en negativ indfyldelse på pris og compliance
  • at vurdere om nuværende databehandleraftaler følger reglerne
  • at udarbejde årshjul for jeres leverandørkontrol
  • at udføre selve kontrollen af leverandøren
  • at udarbejde ledelseserklæring således i kan påvise i overholder den lovpligtige kontrol

Hos Vangsaa Consult har vi stor erfaring fra både den offentlige og den finansielle sektor med hvordan man etablerer leverandørkontrol og audit.