Datatilsynet kommer på tilsyn - Hvad gør vi?

5. august 2018
Emner: IT-revision og -sikkerhedsrådgivning

Bødehammeren kan falde tungt med den nye databeskyttelsesforordning, hvis Datatilsynet vurderer, at der er tale om en grov overtrædelse af reglerne. Datatilsynet benytter sig af tilsynsbesøg hos virksomheder og organisationer for at vurdere, om reglerne overholdes, så vi kigger her nærmere på, hvad et tilsyn er, og hvordan det foregår i praksis.

Beierholm rådgivning og revision 15


Planlagte tilsyn og ad-hoc tilsyn

Datatilsynet opdeler sine tilsynsaktiviteter i to typer: De planlagte tilsyn og ad-hoc tilsynene. Som navnet også indikerer, indgår de planlagte tilsyn i den overordnede planlægning og prioritering: Hvilke temaer og typer af virksomheder og myndigheder skal der fokuseres på i det kommende år? Den information offentliggøres også via Datatilsynets hjemmeside, mens det naturligvis ikke offentliggøres, hvilke konkrete virksomheder og myndigheder, der vil få besøg. Ad-hoc tilsynene initieres af konkrete hændelser, f.eks. henvendelser fra bekymrede borgere. Der blev i 2017 gennemført 38 planlagte tilsyn, antal ad-hoc tilsyn kendes ikke, men allerede i første halvår 2018 har man taget 27 sager op ad-hoc.

Temaer for planlagte tilsyn

I slutningen af juni 2018 meldte Datatilsynet ud, hvilke temaer og dataansvarlige, man vil have fokus på resten af året. Det er en liste på 8 temaer, som overvejende har at gøre med de nye europæiske regler på databeskyttelsesområdet. To af temaerne vil være relevante for de fleste små- og mellemstore virksomheder:

  • Behandlingsgrundlag og persondatasikkerheden hos private virksomheder
  • Sletning af personoplysninger hos private virksomheder.

Flere ad-hoc sager efter EU-forordning

Den første måned efter forordningens ikrafttrædelse den 25. maj har Datatilsynet modtaget 331 indberetninger af brud på persondatasikkerheden. ”Det er selvfølgelig et lidt bekymrende tal, når man regner det ud på årsbasis", har Datatilsynets direktør Cristina Gulisano udtalt til Computerworld i slutningen af juni. Bekymrende, fordi det kræver betydelige ressourcer at behandle de mange sager og de efterfølgende ad-hoc tilsyn, som formentlig kommer ud af anmeldelserne.

Datatilsynet kommer ikke uanmeldt – men hvordan forbereder du dig?

Datatilsynets direktør fortæller også, at man ikke kommer på uanmeldt besøg – og der advares endda mod falske tilsynsbesøg, læs her, hvor en medarbejder fra Datatilsynet fortæller: "Når vi kommer på tilsynsbesøg, har vi i almindelige sager meldt vores ankomst i forvejen. Vi foreviser billedlegitimation fra Datatilsynet og er i øvrigt klædt i civil. Hvis man alligevel skulle være i tvivl, om et tilsynsbesøg er et forsøg på snyderi, er man velkommen til at ringe til os og dobbelttjekke." Når tilsynsmedarbejderen har legitimeret sig, skal man være forberedt på at give adgang til alle lokaler og udstyr, som bruges til behandling af personoplysninger.

Podcast for SMV'er om GDPR-regler

Datatilsynet har lavet en række podcast for mindre og mellemstore virksomheder, som har brug for en introduktion til GDPR-reglerne. Lyt med her.