Arrangementsbeskrivelse

Få overblik over og styr på opgaven med tilsyn med kommunens databehandlere

En del kommuner oplever udfordringer med at opfylde databeskyttelsesforordningens krav om ansvarlighed, hvor kommunen løbende skal føre tilsyn med sine databehandlere for at sikre sig, at den indgåede databehandleraftale overholdes, og at databehandleren rent faktisk lever op til de stillede krav i forhold til organisatoriske og tekniske sikkerhedsforanstaltninger.

For de fleste kommuner er der tale om, at der skal føres tilsyn med mellem 150 – 200 databehandlere, hvilket bliver en krævende opgave, som vi oplever mange ikke føler sig klædt på til at løse på nuværende tidspunkt, eller føler de har ressourcer til at løse.

Vi inviterer til et kort webinar, hvor vi gennemgår omfanget af opgaven med at føre tilsyn med kommunens databehandlere.

På webinaret gennemgår vi, de elementer et tilsyn består af, og slutter af med en kort præsentation af, hvad BDO tilbyder i forbindelse med tilsynsopgaven. 

Webinarets elementer: 
Introduktion til krav om tilsyn
•    Hvorfor er tilsyn vigtigt

Hvordan kan tilsyn med kommunens databehandlere udføres:
Databehandleraftaler
•    Databehandlerkonstruktion
•    Instruks og formål
•    Tekniske og organisatoriske sikkerhedsforanstaltninger
•    Underdatabehandlere
•    Overførselsgrundlag (herunder Privacy Shield)
•    Generelt: Datatilsynets DBA-skabelon

Anmodning om oplysninger/erklæringer
•    DBA’s afsnit om udførelse af tilsynet
•    Hvilke oplysninger skal indhentes
•    Hvad er en erklæring – hvilke typer (ISAE 3402 og 3000)
•    Der kan anmodes pr. mail (foreslå sikker fremsendelse).

Gennemgang af oplysninger
•    Forordningens krav til databehandler
•    DBA’s krav til databehandler
•    Indhentelse af oplysninger – spørgeskema foreslås
•    Databehandlers udfyldelse af spørgeskema
•    Gennemgang af det beskrevne
•    Yderligere indhentelse af dokumentation, hvis nødvendigt.

Gennemgang af erklæringer (ISAE 3402 vs. 3000)
•    Forordningens krav til databehandler
•    DBA’s krav til databehandler
•    To typer erklæring – ISAE 3402 og ISAE 3000 (mangler i 3402)
•    Dækkes ydelsen af erklæringen?
•    Gennemgang af erklæringen
•    Behov for supplerende tilsyn.

Vurdering af sikkerheden
•    Sikkerheden skal afspejle risikoen (Kategorier af oplysninger, behandlingssteder, antal)
•    Dataansvarlige skal forholde sig til det fremlagte materiale
•    Overveje om i forordningen og DBA overholdes

Evt. behov for supplerende tilsyn
•    Ikke tilstrækkelig sikkerhed – supplerende tilsyn
•    Supplerende skriftligt tilsyn
•    Fysisk tilsyn

Dokumentation af tilsynet
•    Dataansvarlige skal dokumentere at tilsynet er udført
•    Dataansvarliges rygdækning overfor datatilsynet.

Hvilke problemstillinger kan der stødes på herunder løsningsforslag
•    DBA kan ikke vurderes uden hovedaftale
•    DB vil ikke medvirke til tilsyn
•    Der fremgår UDB i erklæring, som ikke står i DBA
•    Overførselsgrundlag til USA er Privacy Shield
•    DBA kan ikke vurderes uden hovedaftale

Præsentation af BDO’s tilsynspakke
•    Pakkeløsning for dataansvarlige
•    Vurdering af sikkerheden
•    Rådgiver om behov for supplerende tilsyn
•    Brugervenlig rapport
BDO tilbyder ligeledes støtte ift. Privacy Shield. 

Spørgsmål


Det er gratis at deltage i webinaret.

Du vil et par dage før webinaret modtage en velkomstmail med link til webinaret og praktisk information om deltagelsen.