Eftirlit ábyrgðaraðila með öryggi við vinnslu persónuupplýsinga hjá vinnsluaðila

Það fer eftir flækjustigi vinnsluaðferða og hvort ábyrgðaraðili býr yfir nauðsynlegri þekkingu á upplýsingatækni hvort hann getur sjálfur sinnt eftirfylgni eða fær utanaðkomandi og óháðan þriðja aðila til að tryggja að vinnsluaðili fylgi fyrirmælum og innleiði viðeigandi öryggisráðstafanir.

Ábyrgðaraðili getur einnig sinnt tilteknum þáttum þessarar eftirfylgni en fengið ráðgjöf frá þriðja aðila eða aðkomu hans að öðrum þáttum.

Hvernig eftirliti skal háttað fer eftir áhættumatinu sem gert var í upphafi.

• Eftirlitið getur farið fram með vettvangsferðum til vinnsluaðila eða með skriflegri upplýsingaöflun. Einnig er hægt að blanda saman báðum aðferðunum.

• Ef áhættan við vinnslu persónuupplýsinga er lítil getur verið nóg að fá skriflega staðfestingu frá vinnsluaðila um að öryggis sé gætt.

• Því meiri sem áhættan er metin, því meiri þörf er á ítarlegu eftirliti, til dæmis með vettvangsathugunum.

• Ábyrgðaraðili getur til dæmis kosið að mæta reglulega á starfsstöð vinnsluaðila og gera skyndiskoðanir.

Ef óháður utanaðkomandi þriðji aðili er fenginn til að hafa eftirlit með öryggi persónuupplýsinga hjá vinnsluaðila er mikilvægt að ábyrgðaraðili fullvissi sig um að sá aðili geri það með hliðsjón af fyrirmælum til vinnsluaðila um tæknilegar og skipulagslegar öryggisráðstafanir.