desember 1, 2025 Admin

4 steg til trygg og bærekraftig leverandørevaluering

Hvor godt kjenner du egentlig rollen skyleverandøren din spiller i håndteringen av personopplysninger?

I mange virksomheter deles data med ulike tjenester hver eneste dag. Likevel er det fortsatt virksomheten selv som har ansvaret for hvordan opplysningene behandles. Samtidig er leverandøren en viktig samarbeidspartner for å sikre et godt og robust personvern.

I denne guiden går vi gjennom fire steg som gjør det enklere å vurdere leverandører på en trygg og bærekraftig måte.

Steg 1: Avklar roller og ansvar

Det første steget er å tydeliggjøre de juridiske rollene. Dette er avgjørende for at personopplysninger behandles korrekt.

I de fleste SaaS-løsninger ser rollefordelingen slik ut:

Behandlingsansvarlig: Den som bestemmer hvorfor og hvordan personopplysningene behandles.
Databehandler: Den som behandler opplysninger på vegne av den behandlingsansvarlige.

Når en databehandler brukes, skal det alltid inngås en skriftlig avtale – en databehandleravtale (DPA). Denne skal beskrive formålet med behandlingen, omfanget og hvor lenge opplysningene behandles. På den måten blir ansvaret tydelig for begge parter.

Vær oppmerksom på gråsoner

Det er ikke alltid åpenbart hvem som har hvilken rolle. En SaaS-leverandør kan for eksempel hevde at de ikke er databehandler dersom de:

kun tilbyr teknisk infrastruktur (IaaS – Infrastructure as a Service) uten selv å behandle dataene
behandler opplysninger for egne formål, for eksempel for å forbedre eller analysere tjenesten

I noen tilfeller kan dere også være felles behandlingsansvarlige, dersom begge parter bestemmer formålet og midlene for behandlingen.

En feil vurdering av rollene – for eksempel hvis det ikke inngås databehandleravtale selv om leverandøren faktisk fungerer som databehandler – kan føre til brudd på GDPR. Sørg derfor for at roller, ansvar og avtaler er tydelig definert fra starten.

Steg 2: Undersøk sikkerheten bak avtalen

Når avtalen er på plass, må du også forsikre deg om at leverandøren faktisk følger opp sikkerheten i praksis. Et godt personvern handler ikke bare om hva som står på papiret, men om hvilke tiltak og rutiner som faktisk er på plass.

Dette er kjernen i en due diligence – en vurdering av leverandørens rutiner, systemer og kompetanse.

Tryggheten bygger vanligvis på to nivåer:

Teknisk sikkerhet:

Kryptering: Opplysninger skal være beskyttet både under lagring og overføring.
Tilgangsstyring: Kun personer med tjenstlig behov skal ha tilgang til dataene.
Sårbarhetstesting: Regelmessige tester kan avdekke svakheter før de utvikler seg til reelle problemer.

Organisatorisk sikkerhet:

Opplæring: Ansatte som håndterer data må få jevnlig opplæring i personvern.
Rutiner: Det skal være tydelig hvem som har tilgang til kundeinformasjon – og hvorfor.
Fysisk sikkerhet: Datasentre må ha strenge adgangskontroller.

Hvilke sertifiseringer styrker tilliten?

ISO 27001: Dokumenterer systematisk arbeid med informasjonssikkerhet.
SOC 2 (Type II): Uavhengig bekreftelse på at sikkerhetskontroller etterleves over tid.

Steg 3: Slik beskytter du personopplysninger ved overføring utenfor EU (TIA & Schrems II)

Mange virksomheter samarbeider med leverandører som lagrer eller behandler data utenfor EU/EØS – for eksempel i forbindelse med skytjenester, support eller utvikling.

Når personopplysninger overføres til såkalte tredjeland, gjelder egne regler. Etter Schrems II-dommen er kravene blitt strengere, og standardavtaler alene er ikke alltid tilstrekkelig.

Målet er at personvernet skal være like godt beskyttet uansett hvor dataene behandles.

Ikke la deg lure av hvor serveren står

Det er en vanlig misforståelse at data automatisk er trygge bare fordi de lagres i Europa. Dersom ansatte i for eksempel USA eller India har tilgang til opplysningene, regnes det likevel som en overføring til tredjeland.

Derfor må du ha oversikt over hele kjeden:
hvor dataene lagres, hvem som har tilgang til dem, og hvordan de er beskyttet.

Standard Contractual Clauses (SCC) brukes ofte som juridisk rammeverk for slike overføringer. Etter Schrems II-dommen må du imidlertid også gjøre en egen vurdering – en Transfer Impact Assessment (TIA) – for å undersøke om landet dataene overføres til gir tilstrekkelig beskyttelse.

En TIA bør blant annet inkludere:

Lovvurdering: Undersøk om nasjonale lover, som USAs Cloud Act, kan gi myndigheter tilgang til dataene.
Evaluering: Vurder om SCC-avtalene faktisk dekker risikoene ved den aktuelle overføringen.
Forsterkning: Dersom beskyttelsen ikke er god nok, bør det innføres ekstra tiltak – for eksempel sterk kryptering der kun dere kontrollerer nøkkelen.

Steg 4: Oppfølging og håndtering av sikkerhetshendelser

Personvernarbeidet stopper ikke når kontrakten er signert. Et trygt samarbeid krever løpende oppfølging og kontroll.

Leverandøren bør ha tydelige rutiner for å oppdage, håndtere og rapportere sikkerhetsbrudd så raskt som mulig – gjerne innen 24 timer. Dersom det skjer en alvorlig hendelse, må dere som behandlingsansvarlig kunne varsle Datatilsynet innen 72 timer.

Leverandøren skal også kunne bistå når enkeltpersoner ber om innsyn i eller sletting av egne opplysninger.

For å sikre at sikkerheten opprettholdes over tid, bør dere følge opp leverandørens arbeid jevnlig. Databehandleravtalen bør derfor inneholde en revisjonsrett (audit right). Dette gir dere mulighet til å kontrollere leverandørens sikkerhetsrutiner – enten selv eller gjennom en ekstern part.

Uten en slik mulighet til innsyn må dere i praksis stole fullt og helt på leverandørens egne vurderinger, noe som kan innebære en risiko.

Derfor er avtalen avgjørende

En god avtale er mer enn en formalitet – den er fundamentet for et stabilt og tillitsbasert samarbeid. Teknisk kvalitet er viktig, men uten tydelige juridiske rammer kan selv gode løsninger skape problemer senere.

Dersom det ikke finnes en egen databehandleravtale, bør krav til sikkerhet, tredjelandsoverføringer og revisjonsrett inngå i hovedavtalen. Det skaper forutsigbarhet og trygghet for begge parter.

Å velge en SaaS-leverandør handler i stor grad om balansen mellom innovasjon og integritet. Med gode avtaler og tydelige kontrollrutiner på plass står samarbeidet støtt – både teknisk og juridisk.

Nøyaktighet i dette arbeidet handler ikke bare om å følge regelverket. Det handler også om å vise respekt for menneskene hvis data dere forvalter. Det er selve kjernen i et bærekraftig personvern.

Vil du få bedre kontroll?

Våre verktøy hjelper deg å gjøre leverandørprosessen enklere og tryggere – slik at du kan bruke tiden på virksomheten, ikke administrasjonen.

Book en gjennomgang med oss og se hvordan du kan få full oversikt over leverandørene dine – uten å gå på kompromiss med personvernet.

4 steg til trygg og bærekraftig leverandørevaluering

Steg 1: Avklar roller og ansvar

Vær oppmerksom på gråsoner

Steg 2: Undersøk sikkerheten bak avtalen

Steg 3: Slik beskytter du personopplysninger ved overføring utenfor EU (TIA & Schrems II)

Ikke la deg lure av hvor serveren står

Steg 4: Oppfølging og håndtering av sikkerhetshendelser

Derfor er avtalen avgjørende

Vil du få bedre kontroll?

Adresse

Telefon

E-post

4 steg til trygg og bærekraftig leverandørevaluering

Steg 1: Avklar roller og ansvar

Vær oppmerksom på gråsoner

Steg 2: Undersøk sikkerheten bak avtalen

Steg 3: Slik beskytter du personopplysninger ved overføring utenfor EU (TIA & Schrems II)

Ikke la deg lure av hvor serveren står

Steg 4: Oppfølging og håndtering av sikkerhetshendelser

Derfor er avtalen avgjørende

Vil du få bedre kontroll?

Share blog post

Related blog posts

Hvordan overføre personopplysninger til USA og andre land utenfor EU/EØS

Tredjelands­overføring av personopplysninger

Leverandørevaluering: Den viktige hjørnesteinen i GDPR og etterlevelse

Hva er et felles behandlingsansvar og når gjelder det?

Tredjelandsoverføring av personopplysninger