Lettisk afgørelse understreger skærpede krav til databehandlere og dataansvarlige
Den lettiske datatilsynsmyndighed (DVI) har for nylig truffet en afgørelse, der understreger de stigende forventninger til både databehandlere og dataansvarlige i EU. Databehandleren SIA “ZZ Dats” er blevet idømt en bøde på 300.000 EUR efter et omfattende databrud, som berørte stort set alle landets kommuner. Dette offentliggøres på DVIs hjemmeside vedr. afgørelsen.
Datatilsynet vurderede, at virksomheden havde tilsidesat kravene i GDPR art. 32 ved ikke at have etableret tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger. Dette resulterede i, at systemet ikke kunne modstå uautoriseret adgang, tab eller misbrug af data. Bøden er fastsat efter de europæiske tilsynsmyndigheders retningslinjer under GDPR art. 83.
DVI rettede ikke kun fokus mod databehandleren. De berørte kommuner modtog formelle irettesættelser for utilstrækkeligt tilsyn med deres databehandler. Selvom driften var outsourcet, vurderede DVI, at kommunerne som dataansvarlig ikke havde udført tilstrækkelig kontrol eller løbende opfølgning på sikkerhedsniveauet.
Sagen illustrerer tydeligt, at effektiv compliance forudsætter en klar ansvarsfordeling:
Dataansvarlige skal føre aktivt og dokumenteret tilsyn med deres databehandlere.
Databehandlere skal dokumentere og opretholde et højt sikkerhedsniveau, der matcher risikoen ved de oplysninger, de behandler.
Hvad skal man gøre som databehandler?
Afgørelsen viser, at databehandlere ikke længere kan nøjes med “rimelige” foranstaltninger eller generelle beskrivelser. Myndighederne forventer konkret, dokumenteret og risikobaseret sikkerhed.
Vi anbefaler, at databehandlere:
- Opdaterer og dokumenterer sine sikkerhedsforanstaltninger
- Kan demonstrere, at foranstaltningerne matcher risikoen ved de oplysninger, der behandles (jf. GDPR art. 32).
- Gennemfører og dokumenterer regelmæssige tekniske tests, f.eks. sårbarhedsscanninger, adgangskontrolgennemgang og log-overvågning
- Etablerer en klar beredskabs- og hændelsesresponsproces, som kan demonstreres under et tilsyn.
- Giver deres kunder (de dataansvarlige) gennemsigtighed via erklæringer, auditrapporter, kontroloversigter eller et årligt sikkerhedsreview.
Kort sagt: Man skal som databehandler kunne bevise sit sikkerhedsniveau — ikke kun beskrive det.
Hvad skal man gøre som dataansvarlig?
Skærp og dokumentér tilsynet med jeres databehandlere
Den lettiske afgørelse viser, at outsourcing ikke fritager jer for ansvar. Kommunerne blev irettesat, fordi de ikke havde udført tilstrækkeligt tilsyn, selvom driften var outsourcet.
Vi anbefaler, at dataansvarlige:
- Etablerer et struktureret tilsynsprogram for sine databehandlere.
- Anvender en risikobaseret tilgang — kritiske systemer kræver dybere og hyppigere kontrolmål.
- Gennemgår databehandlerens dokumentation aktivt, f.eks. ISAE-erklæringer, kontrolrapporter, sikkerhedspolitikker og tekniske kontroller.
- Sikrer, at databehandleraftalen afspejler de faktiske behandlinger og indeholder klare krav til sikkerhed, tests og rapportering.
- Følger op på hændelser, uanset om de opstår hos jer eller hos databehandleren — og dokumenterer opfølgningen.
Kort sagt: Dataansvarlige skal kontrollere, dokumentere og reagere — og kunne bevise det over for myndighederne.
Hvis jeres organisation ønsker at styrke efterlevelsen af GDPR art. 32 gennem tilsyn med databehandlere, vurdering af sikkerhedsforanstaltninger eller opdatering af databehandleraftaler, står GapSolutions klar til at hjælpe med rådgivning, grundige analyser og implementering af robuste sikkerhedsforanstaltninger.
Du er velkommen til at kontakte os. Vi står klar til at hjælpe!
Kontakt GapSolutions i dag via +45 8844 0808 eller .
Link til artiklen: Lettisk afgørelse understreger skærpede krav til databehandlere og dataansvarlige
