Krever GDPR at databehandler gir en garanti til behandlingsansvarlig?

Etter GDPR artikkel 28 skal behandlingsansvarlig kun bruke “databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i denne forordning og vern av den registrertes rettigheter”.

Hva “tilstrekkelige garantier” innebærer, er ikke spesielt klart, og en del behandlingsansvarlige har begynt å kreve at databehandlere skal fremlegge en “garanti” i form av et dokument (gjerne med navn “garanti”) for at de oppfyller kravene til GDPR og de registrertes rettigheter. Men en slik garanti er ikke det som kreves etter GDPR, og vil ha liten verdi i denne sammenheng (databehandleren kan jo påta seg hva som helst uten at de gir bedre informasjonsikkerhet eller vern av rettigheter…).

Det som kreves etter GDPR her (selv om det kunne med fordel vært bedre formulert) er at behandlingsansvarlig vurderer om databehandleren vil gjennomføre informasjonsikkerhetstiltak og sikrer at behandlingen er iht kravene i GDPR og verner de registrertes rettigheter. Dette må gjøres på grunnlag av informasjon og dokumentasjon fra databehandleren.

Se mer i Datatilsynets veileder for databehandleravtaler.

Om forfatteren

Jan Sandtrø er advokat som bistår klienter i forholdet mellom juss og teknologi. Han har lang erfaring med teknologirett, herunder it-kontrakter og personvern. Jan Sandtrø kan kontaktes på jan@sandtro.no eller +4799731934.

Bruk gjerne artikkelen eller innhold i denne videre, men kun med henvisning til artikkelforfatteren (gjerne link til sandtro.no).

For å få oppdateringer abonner på varsler i menyen til venstre eller på LinkedIn ved å klikke her, og velg “Følg”.

Publisert Kategorier Personvern / GDPRStikkord , , ,

Legg inn en kommentar