GDPR: Databehandleraftale som onlineløsning

Det er snart to år siden, at Persondataforordningen blev vedtaget i EU, og nu er vi meget tæt på, at den træder i kraft. I Netgroup har vi været i gang med forberedelserne i næsten to år. Vi har samarbejdet med vores revisor PwC og gennemgået samtlige 99 artikler, der ligger til grund for Persondataforordningen. Ud fra det har vi udpeget de elementer, der er relevante for vores kunder i forhold til at sikre, at både kunderne og vi overholder forordningen.

På et tidligt tidspunkt i processen valgte vi at udvikle vores GDPR-portal frem for at indgå aftaler på papir. Det er lettere at få overblik og indgå aftalen for vores kunder, når det hele kan tilgås online. Samtidig kan vi bedre sikre, at indholdet er blevet gennemgået, inden aftalen indgås, og endelig er løsningen mere fleksibel end en papiraftale, når der sker ændringer.

Fleksibel model
En databehandleraftale skal opdateres løbende, hvis der sker ændringer hos den dataansvarlige eller hos databehandleren. Det kan eksempelvis være, hvis der er ændringer i de data den dataansvarlige indsamler, eller hvis vi som databehandler, flytter data til nye datacentre.
For at undgå at hele databehandleraftalen skal ændres, hver gang der sker en mindre ændring, har vi valgt en model, hvor selve databehandleraftalen kun indeholder de overordnede elementer, der sjældent ændres ved. De områder, der kan og vil ske ændringer ved, er skrevet ind i syv forskellige bilag, der kan rettes til, uden at hele aftalen skal gennemgås og godkendes igen.

Når der sker ændringer i forhold til eksempelvis dataindsamling, er det kundernes pligt at give Netgroup besked. Det gælder naturligvis også den anden vej, når vi ændrer noget. Når det sker, skriver vi ændringerne ind i de relevante bilag, og kunden får automatisk besked om ændringen. Dermed er det også altid den seneste version af aftalen, som ligger tilgængelig for kunderne og os selv på GDPR-portalen.

Gennemgå, godkend eller kommentér
Alle de kunder, som Netgroup skal indgå en databehandleraftale med, har fået en mail om det med link til deres aftaledokumenter. Her ligger både selve databehandleraftalen og de tilhørende bilag. Det er selvfølgelig vigtigt, at materialet bliver læst igennem før godkendelse. Systemet er sat op sådan, at man først skal læse bilagene igennem, før selve databehandleraftalen kan åbnes. Det er gjort helt bevidst, fordi vi skal sikre, at alle bilag bliver både læst og godkendt.

Hvis man er enig i indholdet i de enkelte bilag og i selve databehandleraftalen, kan man godkende aftalen online. Har man kommentarer til selve aftalen eller til de enkelte bilag, er det muligt at skrive sine kommentarer og tilføjelser direkte ind. I forhold til bilagene skal kunden forholde sig til datakategorier, herunder om der er følsomme data samt specifikke instrukser.

Når en kunde skriver en kommentar til aftalen eller et af bilagene direkte på portalen, går vi i dialog om indholdet og finder en fælles løsning. Så snart vi er enige om indholdet, kan aftalen godkendes endeligt på portalen.

Fakta: Rollefordelingen i persondataforordningen

  • Dataejeren skal kende og forstå formålet med indsamling af data og har retten til at få sine data slettet.
  • Dataansvarlig (virksomheden eller myndigheden) skal oplyse dataejer om, hvilke data der indsamles, hvorfor og til hvilke formål. Den dataansvarlige skal indhente samtykke fra dataejer til at indsamle de pågældende data og skal indgå databehandleraftaler med eventuelle databehandlere.
  • Databehandler (virksomhed, der opbevarer data – i dette tilfælde Netgroup) skal indgå en databehandleraftale med den dataansvarlige virksomhed.