Informationssikkerhed

English

Tilsyn med databehandlere

Siden er under opbygning. Indholdet er senest opdateret i februar 2026. Vær opmærksom på, at vi løbende opdaterer siden.

Bruger du en databehandler? Her får du hjælp til at få styr på:

  • hvad et tilsyn er 
  • hvorfor du skal føre tilsyn med databehandleren
  • hvordan du fører tilsyn med databehandleren

Introduktion til tilsyn

Hvad betyder tilsyn, hvorfor er det nødvendigt, og hvem har ansvaret?

Når du lader en ekstern part (en databehandler) behandle personoplysninger på vegne af Aarhus Universitet (AU), har AU pligt til at sikre, at behandlingen foregår lovligt og sikkert. Det kaldes at føre tilsyn. 

Tilsynet handler kort sagt om at kontrollere, at databehandleren følger reglerne og det, der står i databehandleraftalen.

Det er den person eller enhed på AU, der ejer systemet eller har købt ydelsen, som har ansvaret for at føre tilsyn. I mange tilfælde vil det derfor ikke være dig som forsker, der står med opgaven. Men hvis du har indkøbt et system eller en service specifikt til dit projekt, er det dig, der skal sørge for, at der føres tilsyn med databehandleren.

Tilsyn starter allerede før aftalen indgås

Arbejdet med tilsyn begynder faktisk, før du overhovedet skriver under på en aftale.

De følgende trin skal være på plads, fordi de danner grundlaget for, hvordan og hvor ofte tilsynet skal udføres.

1. Afklar behovet

 Find ud af, hvad formålet med databehandlingen er.

2. Lav en risikovurdering

 Vurdér hvilket sikkerhedsniveau der er nødvendigt, og dokumentér vurderingen.

3. Vælg en databehandler

 Undersøg om databehandleren kan leve op til de krav, du har identificeret. Dokumentér vurderingen.

4. Bestem tilsynsmåde og -frekvens

 Brug AU’s model til at finde ud af, hvordan og hvor ofte du skal føre tilsyn.

5. Indgå databehandleraftalen

 Husk at din vurdering af tilsynsmåde og -frekvens er en del af databehandleraftalen. Kontakt TTO ([email protected]) for hjælp til at få aftalen på plads.

Tilsynsmodeller

Aarhus Universitet (AU) bruger fire forskellige modeller til at føre tilsyn med databehandlere i forskningsprojekter. Valget af model afhænger af, hvordan personoplysningerne behandles, hvor omfattende behandlingen er, og hvilke risici der kan være forbundet med den.

Modellerne bygger på principperne i Datatilsynets vejledning om tilsyn med databehandlere.

Nedenfor kan du læse mere om de enkelte modeller og finde skabeloner, som du kan bruge, når du skal gennemføre et tilsyn.

Model 1: Ad hoc tilsyn

Hvad betyder ad hoc-tilsyn?

Det betyder, at AU som udgangspunkt ikke behøver at føre regelmæssigt tilsyn.

Tilsyn bliver kun nødvendigt, hvis AU bliver opmærksom på forhold hos databehandleren, der giver anledning til bekymring — fx:

  • Sikkerhedsbrud
  • Klager
  • Kritisk omtale i medierne
  • Oplysninger fra databehandleren selv

Kort sagt: Vi fører kun tilsyn, hvis der er tegn på, at noget kan være galt

Hvordan kan et ad hoc-tilsyn gennemføres?

Eksempler på værktøjer:

  • Stikprøvekontrol – fx tjekke om medarbejdere har fået sikkerhedstræning
  • Request for information (Download en skabelon)
  • Uddybet status (se model 3)
  • Fysisk tilsyn (se model 4)

Model 2: Skriftlig bekræftelse

Her beder AU databehandleren om en kort, skriftlig erklæring, hvor de bekræfter:

  • at de følger databehandleraftalen
  • at der ikke er sket ændringer, som kræver et skærpet tilsyn

Download skabelon.

Model 3: Uddybet status

Databehandleren skal med faste intervaller sende en mere detaljeret, skriftlig status til AU. Den skal som minimum dække:

  • Overholdelse af instruks
  • Fortrolighed hos medarbejdere
  • Tekniske og organisatoriske sikkerhedsforanstaltninger
  • Underdatabehandlere (hvis relevant)
  • Overførsler (hvis relevant)
  • Bistand til AU’s forpligtelser (hvis relevant)
  • Håndtering af data ved ophør af samarbejde

Hvis databehandleren ikke selv leverer en status, kan AU bruge:

Model 4: Tredjepartserklæring eller udvidet tilsyn foretaget af AU

Denne model har to muligheder:

  1. brug af en tredjepartserklæring, eller
  2. et udvidet tilsyn som gennemføres af AU.

1. Tredjepartserklæringer

En tredjepartserklæring er en uafhængig vurdering af databehandlerens sikkerhed — typisk lavet af en revisor.

Den mest almindelige i Danmark er ISAE 3000, som vurderer databehandlerens håndtering af personoplysninger efter databeskyttelsesforordningens artikel 28.

AU accepterer:
  • ISAE 3000 (både generelle og specifikke, både type 1 og type 2)
  • ISAE 3402
  • Andre erklæringer som SOC, Hitrust mv., hvis de er relevante og dækker de nødvendige område
Hvad skal AU tjekke i en tredjepartserklæring?
  • Hvem har lavet den?
  • Hvilken type erklæring er det og er den repræsentativ?
  • Er den lavet specifikt til AU eller generelt?
  • Hvilken metode er brugt?
  • Dækker den præcis den behandling, databehandleren udfører for AU?
  • Viser den mangler, der kræver opfølgning?

Download en skabelon til tilsyn på baggrund af tredjepartserklæring her.

2. Udvidet tilsyn foretaget af AU

Et udvidet tilsyn kan være:

  1. Et skriftlig tilsyn
  2. Et skriftligt tilsyn og en inspektion (fysisk)
  3. En inspektion (fysisk) alene
Skriftligt tilsyn

Bygger på spørgsmål fra ISAE 3000-rammen.
Download skabelonen her.

Fysisk inspektion

Relevant når databehandlerens arbejde afhænger af fysisk sikkerhed, fx:

  • Opbevaring af biologisk materiale
  • Opbevaring af udstyr med personoplysninger

Hvad kan AU undersøge fysisk?

Eksempler (inspireret af ISO 27001 Annex A.11):

  • Døre, vinduer, alarmer, videoovervågning
  • Adgangskontrol (hvem kan komme ind hvor?)
  • Tyverisikring
  • Beskyttelse mod brand, oversvømmelse, strømafbrydelser
  • Bortskaffelse af udstyr og information
  • Placering af udstyr

AU’s egen politik om fysisk sikkerhed findes her: https://medarbejdere.au.dk/informationssikkerhed/politikker/miljosikring

Sådan fastlægger du tilsynsmåden

Du kan bruge disse værktøjer, hvis du har brug for hjælp til at vurdere, hvilken tilsynsmåde der passer i din situation. 

1. Pointberegner

Oplysninger om behandling

1. Hvor mange personer?

2. Særlige kategorier af personoplysninger og/eller oplysninger om strafbare forhold
3. Andre beskyttelsesværdige oplysninger
4. Særlige behandlinger

2. Mulige modeller

Samlet antal point

Mulige tilsynsmodeller

1-2 point

Du kan vælge mellem model 1-4

3-4 point

Du kan vælge mellem model 2-4

5-6 point

Du kan vælge mellem model 3-4

7-10 point

Du skal bruge model 4

3. Vælg mellem flere modeller

Hvis du har flere muligemodeller at vælge imellem, skal dit valg af model skal afspejle risciene ved behandlingen og leverandøren. Det er samtidig vigtigt, at der vælges en model, der er praktisk gennemførlig. 

Sådan vurderer du, hvor ofte du skal føre tilsyn

Når du vælger tilsynsmodel, skal du samtidig beslutte, hvor ofte tilsynet skal gennemføres.
Som udgangspunkt kan et årligt tilsyn være passende, men både kortere og længere intervaller kan være relevante afhængigt af situationen.

Vigtige faktorer, du bør tage med i vurderingen

Nedenfor finder du de vigtigste faktorer, du bør tage med i vurderingen.

🔎 Risici ved behandlingen 

 Jo højere risiko, desto hyppigere tilsyn. Hvis behandlingen omfatter følsomme oplysninger eller har stor betydning for de registrerede, bør tilsynet gennemføres oftere.

⏳ Varighed af ydelsen
  • Kortvarige behandlinger, hvor data slettes hurtigt, kan tale for mindre hyppigt eller intet tilsyn.
  • Langvarige behandlinger kan kræve hyppigere tilsyn, f.eks. fordi risikoen øges over tid.

⚠️ Konkrete hændelser

Visse hændelser kan udløse behov for ekstra eller skærpet tilsyn, fx:

  • Sikkerhedsbrud
  • Brud på persondatasikkerheden
  • Problemer med håndtering af registreredes rettigheder
  • Hvis databehandleren fx ikke kan understøtte indsigt, sletning eller indsigelser, bør tilsynet intensiveres.

🤝 Kendskab og tillid til databehandleren

Overvej:

  • Er det en kendt og stabil samarbejdspartner?
  • Er det en offentlig myndighed eller en privat virksomhed?
  • Har databehandleren certificeringer eller følger de anerkendte standarder?
  • Høj tillid og dokumenteret sikkerhed kan tale for længere intervaller mellem tilsyn.

🔗 Brug af underdatabehandlere

 Hvis databehandleren bruger underdatabehandlere, kan det øge kompleksiteten og risikoen — og dermed behovet for hyppigere tilsyn.

Har du brug for hjælp?

Kontakt din GDPR-koordinator, hvis du har spørgsmål. 
Revideret 24.03.2026
-
Sofie Maul Andersen