Danske myndigheder risikerer at bryde Persondatalovens regler for kontrol med deres databehandlere uden at være klar over det. Der findes ingen konkret juridisk vejledning, som myndighederne kan læne sig op ad, fastslår Region Nordjylland over for Computerworld.

"Vores store udfordring er, at når man siger kontrol, så har vi ikke noget sted, hvor vi kan se, hvad det egentlig er, der ligger i ordet. Hvad er det rigtige resultat? Vi får ikke nogen hjælp til, hvordan vi skal tolke ordet kontrol. Vi tager det ud fra almindelig sund fornuft," siger Michael Lundsgaard Sørensen, kontorchef for it-forvaltning, drift og support i Region Nordjylland, til Computerworld.

Han forklarer, at man i regionen vurderer, at man lever op til reglerne, men mangler det konkrete juridiske grundlag for at kunne kontrollere det.

Ifølge Datatilsynet kan en myndighed sikre sig ved at bede leverandøren dokumentere, at den overholder de aftalte sikkerhedskrav til datahåndteringen. Michael Lundsgaard Sørensen påpeger dog, at det kun dækker så langt ud i leddene, som myndigheden kontrollerer.

Rost it-projekt ramt af langvarig forsinkelse 

ITB om forsinkede GDPR-vejledninger: Havde været svært at nå for et år siden 

Ministerium får kritik for forsinkede persondatavejledninger 

Jurist: Persondataproblemer i Statens Serum Institut ville betyde bøder under GDPR