Skal en vaskerikoncern være databehandler for en kommune? Umiddelbart nej, mener Berendsen, der prøver at rådgive sig ud af databehandleraftaler fra det offentlige.

Foto: Berendsen
DI Business Nyheder

Offentlige myndigheder drukner virksomheder i dyre GDPR-aftaler

Kommuner insisterer på dyre databehandleraftaler med vaskerikoncernen Berendsen af frygt for bøder. Uforståeligt og ofte unødvendigt, siger Datatilsynet – der varsler sanktioner fra på mandag samt flere og højere bøder fremover.

- Kommunerne går med livrem og seler og beder om unødvendige databehandleraftale med os, selvom vi ’bare’ vasker og leverer tøj, siger Anne-Sophie Stokbro, der er Head of CSR hos Berendsen Textile Service A/S.

Hun forklarer, at vaskerikoncernen rigtigt nok har personoplysninger som for eksempel navn, adresse og tøjstørrelser på de personer, der skal have ordnet vasketøj. 

Men da vask – og ikke persondata - er det primære forhold i samarbejdet, er der, ifølge Anne-Sophie Stokbro sjældent brug for en databehandleraftale.

- Vi har offentlige kunder – primært kommuner – der insisterer på en databehandleraftale alligevel af frygt for bøder fra fredag, hvor persondataforordningen træder i kraft, siger Berendsens Head of CSR.

Læs også: Fem fejl i håndtering af persondata

Aftale kan koste samarbejdet

Hos Dansk Industri genkender underdirektør Kim Haggren billedet af de forskrækkede offentlige myndigheder.

- Vi hører dagligt fra virksomheder, der bliver mødt med krav om en databehandleraftale. Det virker som om, kommunerne overreagerer og dermed overimplementerer, siger han.

Berendsen gør sit bedste for at hjælpe kunderne med at analysere og derefter rådgive, om hvorvidt, der reelt er brug for en databehandleraftale.

Vaskeri- og tekstilkoncernen fortæller for eksempel, at Københavns Kommune har vurderet, at der ikke er brug for det.

- Men hvis vi fornemmer, at samarbejdet er på spil, laver vi selvfølgelig en databehandleraftale med kunden, siger Anne-Sophie Stokbro.

Læs også: Systematic beredt på skrappere datakrav

Uforståelige livremme og seler

En databehandleraftale betyder, at Berendsen bliver databehandler for for eksempel en kommune. Og i den forbindelse skal overholde en række sikkerhedsforanstaltninger. 

Det samme skal kommunerne, hvis de planlægger at overholde lovgivningen.

Og derfor undrer kontorchef i Datatilsynet Jesper Husmer Vang sig.

- Jeg forstår ikke rigtig kommunernes insisteren på databehandleraftaler. Hvis der ikke er tale om en reel databehandlerkonstruktion, er det jo heller ikke i kommunernes interesse at indgå en databehandleraftale. Det er ikke gjort med at have en underskrevet aftale liggende i den kommunale skuffe. Der følger forpligtelser med, siger han.

Kontorchefen forklarer, at kommunerne skal følge op på indgåede aftaler – de skal blandt andet påse, at for eksempel Berendsen lever op til det, der er aftalt, herunder den aftalte persondatasikkerhed mv.

- Det giver ikke rigtig mening, siger Jesper Husmer Vang.

Læs også: Datatilsynets samling af vejledninger og skabeloner om persondata

Ønsker mere branchespecifik vejledning

Hos Berendsen har de investeret i omegnen af en million kroner i at blive klar til den nye lovgivning. Beløbet dækker over rådgivning af kunder og samarbejdspartnere, nye it-systemer, konsulentbistand, e-learning mm.

Vaskerikoncernen har været samtlige sine 33 hovedprocesser, som behandler persondata, igennem. Men Head of CSR Anne-Sophie Stokbro mere vejledning fra Datatilsynet.

- Usikkerheden fra kunder og leverandører er enorm. Vi gør alt, hvad vi kan for at blive compliant, men vi kunne godt bruge mere branchespecifik vejledning fra Datatilsynet, siger hun.

Det kommer der ikke.

- Vi har lavet så udførlige vejledninger, vi kan. Jeg siger ikke, det er nemt at leve op til de nye regler, men virksomheder og myndigheder har haft to år til at komme i mål med det her, siger kontorchef i Datatilsynet Jesper Husmer Vang.

Han tilføjer, at det er lidt for optimistisk at tro, at Datatilsynet kan have alle tænkelige eksempler med i sine vejledninger.

- Er der behov for særlige eksempler i en specifik branche, vil jeg opfordre til, at brancheorganisationerne kommer på banen, siger kontorchefen og råder virksomhederne, der stadig er i tvivl, til at søge rådgivning udefra.

Læs også: Skrappere krav når persondata tabes

Flere og meget højere bøder frem over

Jesper Husmer Vang advarer samtidig om, at der ikke bliver en såkaldt grace periode – hvor Datatilsynet vender det blinde øje til – fra på mandag.

- Der kommer flere og højere bøder end i dag. Også fordi det danske bødeniveau skal være på niveau med resten af EU, siger Datatilsynets kontorchef.

Mandag i næste uge starter Datatilsynet sine tilsyn og går i gang med at behandle klager over brud. Millionbøderne til de danske virksomheder tikker ikke ind fra mandag, men kontorchefen understreger, at alle sanktioner kan komme i spil.

- Jeg forventer, at alle overtrædelser vil føre til sanktioner. Det kan være kritik, påbud, forbud og bøder samt kombinationer af disse. Og i de enkelte sager vil der ofte være formildende eller skærpende omstændigheder, siger han.

Jesper Husmer Vang forklarer, at hvis en virksomhed for eksempel ikke giver en kunde indsigt i, hvilke oplysninger den har om vedkommende inden fire uger, vil der ikke blive taget hensyn, for sådan har lovgivningen egentlig været de sidste 20 år.

- Hvis en virksomhed derimod vitterlig har gjort sig stor umage for at leve op til nogle af de nye krav i forordningen, men har trådt lidt ved siden af, vil dette nok trække i en formildende retning, siger han.

Læs også: DI' site med (stort set) alt om persondataforordning til virksomheder

Kim Haggren

Underdirektør

  • Direkte +45 3377 3449
  • Mobil +45 2124 4608
  • E-mail kih@di.dk
Relateret