4 minute read
Fakta om DBA, RV, KA og Schrem I
Fakta om DBA, RV, KA og Schrems II
Af Armin Begovic, informationssikkerhedskonsulent i Kerteminde Kommune
Advertisement
Databehandleraftale
En databehandleraftale er en skriftlig aftale mellem to eller flere fysiske eller juridiske personer (f.eks. organisationer, virksomheder og offentlige myndigheder.), hvor den ene part er en dataansvarlig, og den anden part er en databehandler. I sådan en situation, er det vigtigt at den dataansvarlige igennem en databehandleraftale instruerer databehandleren i, hvordan den pågældende databehandler skal behandle data. En databehandleraftale skal benyttes når en dataansvarlig overlader behandlingen af personoplysninger til en databehandler.
I en databehandleraftale bliver det afklaret hvilke personoplysninger der bliver overdraget fra den dataansvarlige til databehandleren. Ydermere bliver følgende punkter også aftalt i en databehandleraftale:
• hvad data skal bruges til
• hvilke underleverandører databehandleren benytter
• hvor data bliver opbevaret
• hvilke sikkerhedsforanstaltninger der er implementeret
• hvornår data skal slettes
Udover ovenstående punkter aftales andre praktiske forhold, som sikrer at man som dataansvarlig præcis ved, hvordan de personoplysninger man overdrager til databehandleren bliver behandlet, og at behandlingen lever op til lovgivningen på området. Derfor er det altså utrolig vigtigt at have en gyldig databehandleraftale før man benytter en databehandler, som behandler personoplysninger på ens vegne.
Risikovurdering
En risikovurdering skal foretages på alle ens IT-systemer. Som ordet indikerer, så er der tale om en vurdering af de risici, der er i forbindelse med behandlingen af personoplysninger.
Risikovurderinger er det første skridt i benyttelsen af et nyt IT-system og eventuelt en ny databehandler. Der skal derfor udarbejdes en risikovurdering før man overdrager personoplysninger til databehandleren, ligesom en databehandleraftale skal være indgået inden en eventuel databehandler behandler data for den dataansvarlige.
En risikovurdering skal afklare de risici som er forbundet med den ønskede behandling af personoplysninger. Formålet er, at sikre de registreredes rettigheder og frihedsrettigheder. I ens risikovurdering, ser man gerne på de tre principper; Fortrolighed, Integritet og Tilgængelighed. Principperne dækker blandt andet over spørgsmålene; Kan data tilgås af uautoriserede personer? Kan data gå tabt? Kan data blive ændret? Og kan data altid tilgås af de personer som har ret til det?
Efter en risikovurdering er udarbejdet har man som dataansvarlig de forudsætninger der skal til, for netop at vælge de sikkerhedsforanstaltninger, som er relevante ud fra de afdækkede risici. Disse sikkerhedsforanstaltninger bliver som tidligere nævnt aftalt i en databehandleraftale, og derfor er det vigtigt at en risikovurdering laves som det første.
Hvis risikoen ved behandlingen vurderes som høj, så vil det sige, at der er en høj risiko forbundet med behandlingen af personoplysninger, og at der potentielt skal udarbejdes en konsekvensanalyse.
Konsekvensanalyse (DPIA)
En konsekvensanalyse er en mere omfattende analyse i forhold til en risikovurdering. Der er flere aspekter der skal være i spil før man som dataansvarlig skal udarbejde en
konsekvensanalyse. Som tidligere nævnt udgør ens risikovurdering en del, men også andre aspekter såsom benyttelse af ny teknologi, datamængde og karakteren af data vil være med til at afgøre om man skal lave en konsekvensanalyse eller ej.
En konsekvensanalyse er en vurdering af de konsekvenser, som en given behandling måtte have for de registrerede, ud fra de risici man har opdaget i risikovurderingen. Man går altså ind og analyserer på de mulige negative konsekvenser den registrerede udsættes for, når man som dataansvarlig behandler vedkommendes personoplysninger.
En konsekvensanalyse skiller sig også ud i forhold til en risikovurdering, ved at man skal beskrive flere aspekter i behandlingen. Dette inkluderer blandt andet nødvendigheden af at benytte det pågældende IT-system til behandling af personoplysninger, formålet med benyttelsen og en beskrivelse af de sikkerhedsforanstaltninger man har taget i brug for at mindske risikoen og konsekvensen for den registrerede.
Schrems II
Schrems II er EU-domstolens afgørelse fra sommeren 2020, som gjorde Privacy Shield ugyldig som overførelsesgrundlag til USA.
Når man som dataansvarlig behandler personoplysninger, skal man have et overførelsesgrundlag, hvis denne data skal behandles uden for EU, eller hvis data bliver tilgået af databehandlere der har base uden for EU, og som ikke er kategoriseret som sikret tredjeland.
Indtil sommeren 2020 har man kunne bruge Privacy Shield som overførelsesgrundlag til USA. Denne selvcertificeringsordning skulle sikre at virksomheder i USA havde det samme niveau af beskyttelse, som tilfældet var når personoplysninger lå inden for EU. EU-domstolen underkendte denne ordning, fordi man ikke kunne garantere at virksomheder, der havde tilmeldt sig denne selvcertificeringsordning faktisk også havde et beskyttelsesniveau, der var på højde med niveauet i EU.
EU-domstolen meddelte i forlængelse heraf, at Kommissionens standardkontrakter kan anvendes som overførselsgrundlag, når man overfører personoplysninger til usikre tredje lande som USA. Denne standardkontrakt, som også kaldes SCC, sikrer at den virksomhed som man overfører personoplysninger til, har udarbejdet passende sikkerhedsforanstaltninger, som sikrer at deres beskyttelsesniveau er tilstrækkeligt.
Konsekvensen af at Privacy Shield ordningen blev underkendt som overførelsesgrundlag til USA, er stadig til behandling i EU. Det forventes at det Europæiske Databeskyttelsesråd i løbet af foråret 2021 vil komme med nye retningslinjer, som vil gøre organisationer, virksomheder og offentlige myndigheder klogere på deres muligheder, for at overføre personoplysninger til usikre tredje lande.
