[ GDPR: Utilstrækkelig sikkerhed for myndighedernes outsourcing af persondata ]

Skrevet 18. maj, 2020
Rigsrevisionen har den 15. maj 2020 afgivet en beretning, hvori det vurderes, om offentlige myndigheders outsourcing af personoplysninger om borgere til myndighedernes leverandører sker på sikker vis og i overensstemmelse med databeskyttelsesreglerne.

Rigsrevisionen finder, at myndighederne ikke i tilstrækkelig grad har kontrol med de databehandlere, som myndighederne videregiver oplysninger til, og hvorvidt de behandler oplysningerne sikkert.

 

Det fremhæves, at myndighederne i flere tilfælde ikke har udarbejdet risikovurderinger, indgået databehandleraftaler eller ført tilsyn med databehandlerne.

 

Konklusionen på beretningen bliver således, at myndighederne samlet set ikke har ydet en tilstrækkelig indsats for at sikre, at de personoplysninger, der outsources til leverandørerne, behandles sikkert.

 

Beretningen er med til at understrege følgende: Den dataansvarlige har ansvaret for den behandling, som man foretager, herunder også ved hjælp af databehandlere. Dataansvarlige har således pligt til at udarbejde en risikovurdering og til at indgå databehandleraftaler og føre tilstrækkeligt tilsyn med databehandlere.

 

PUBLICURE specialiserer sig i rådgivning af offentlige enheder om databeskyttelsesproblematikker og udarbejder i den forbindelse regelmæssigt databehandleraftaler, herunder retningslinjer for udførelse af tilsyn med outsourcet databehandling. Kontakt os på info@publicure for at høre nærmere.

 

//Karoline Toft Lund

 

Den fulde beretning samt et kortere sammendrag kan tilgås her: