desember 1, 2025 Admin

4 steg til trygg og bærekraftig leverandørevaluering

Hvor godt kjenner du egentlig til hvilken rolle din skyleverandør spiller i håndteringen av personopplysninger?

I mange virksomheter deles data med ulike tjenester hver dag, men ansvaret for hvordan opplysningene behandles, ligger fortsatt hos den som eier dem. Samtidig er leverandøren en nøkkelaktør i arbeidet med å opprettholde et sterkt personvern.

I denne guiden går vi gjennom fire steg som gjør det enklere å vurdere leverandører på en trygg og bærekraftig måte.

Steg 1: Avklar roller og ansvar

Første steg i vurderingen er å tydeliggjøre de juridiske rollene. Det er avgjørende for at personopplysninger skal behandles riktig.

I de fleste SaaS-løsninger ser rollefordelingen slik ut:

Behandlingsansvarlig: Den som bestemmer hvorfor og hvordan opplysningene behandles.
Databehandler: Den som behandler data på vegne av den behandlingsansvarlige.

Når en databehandler brukes, skal det alltid foreligge en skriftlig avtale – et databehandleravtale (DPA). Denne skal beskrive formålet, omfanget og varigheten av behandlingen, slik at ansvaret blir klart for begge parter.

Vær oppmerksom på gråsoner:
Det er ikke alltid opplagt hvem som har hvilken rolle. En SaaS-leverandør kan for eksempel hevde at de ikke er databehandler dersom de:

kun tilbyr en teknisk infrastruktur (IaaS – Infrastructure as a Service) uten å behandle dataene selv, eller
behandler opplysninger for egne formål, som å forbedre eller analysere egen tjeneste.

I noen tilfeller kan dere også være felles behandlingsansvarlige, hvis begge parter bestemmer formålet og midlene for behandlingen.

Feilvurdering av rollene – for eksempel hvis det ikke inngås databehandleravtale selv om leverandøren fungerer som databehandler – kan føre til brudd på GDPR. Sørg derfor for at roller, ansvar og avtaler er tydelig definert fra start.

Steg 2: Undersøk sikkerheten bak avtalen

Når avtalen er på plass, må du forsikre deg om at leverandøren faktisk følger opp sikkerheten i praksis. Et solid personvern handler ikke bare om løfter på papir, men om konkrete tiltak og rutiner.

Dette er kjernen i en due diligence – en vurdering av leverandørens rutiner, systemer og kompetanse.

Trygghet bygges på to nivåer:

Teknisk sikkerhet:

Kryptering: Opplysninger skal beskyttes både under lagring og overføring.
Tilgangsstyring: Kun personer med tjenstlig behov skal ha tilgang.
Sårbarhetstesting: Regelmessige tester avdekker svakheter før de blir problemer.

Organisatorisk sikkerhet:

Opplæring: Ansatte som håndterer data må få jevnlig opplæring i personvern.
Rutiner: Det skal være tydelig hvem som får se kundeinformasjon – og hvorfor.
Fysisk sikkerhet: Datasentre skal ha strenge adgangskontroller.

Hvilke sertifiseringer styrker tilliten?

ISO 27001: Dokumenterer systematisk arbeid med informasjonssikkerhet.
SOC 2 (Type II): Uavhengig bekreftelse på at sikkerhetskontroller etterleves over tid.

Steg 3: Slik beskytter du personopplysninger ved overføring utenfor EU (TIA & Schrems II)

Mange virksomheter samarbeider med leverandører som lagrer eller behandler data utenfor EU/EØS – for eksempel innen skytjenester, support eller utvikling.

Når personopplysninger overføres til såkalte tredjeland, gjelder egne regler. Etter Schrems II-dommen stilles det nå strengere krav, og standardavtaler alene er ikke alltid nok.

Målet er at personvernet skal være like sterkt uansett hvor dataene behandles.

Ikke la deg lure av hvor serveren står: Det er en vanlig misforståelse at data automatisk er trygge bare fordi de lagres i Europa. Hvis ansatte i for eksempel USA eller India har tilgang til opplysningene, regnes det likevel som en overføring til tredjeland. Derfor må du ha full oversikt over hele kjeden – hvor dataene lagres, hvem som har tilgang, og hvordan de beskyttes.
Standard Contractual Clauses (SCC) brukes som et juridisk rammeverk for overføringer utenfor EU, men det er ikke alltid nok i seg selv. Etter Schrems II-dommen må du også gjøre en egen vurdering – en såkalt Transfer Impact Assessment (TIA) – for å finne ut om landet dataene overføres til, faktisk gir tilstrekkelig beskyttelse.

En TIA bør inkludere:

Lovvurdering: Undersøk om nasjonale lover, som USAs Cloud Act, kan gi myndigheter innsyn.
Evaluering: Vurder om SCC-ene dekker risikoene ved akkurat denne overføringen.
Forsterkning: Dersom beskyttelsen ikke er god nok, legg til tekniske tiltak som sterk kryptering der kun dere har nøkkelen.

Steg 4: Oppfølging og håndtering av sikkerhetshendelser

Personvern stopper ikke når kontrakten er signert. Et trygt samarbeid krever løpende kontroll og oppfølging.

Leverandøren bør ha klare rutiner for å oppdage, håndtere og rapportere sikkerhetsbrudd så raskt som mulig – helst innen 24 timer. Dersom det skjer en alvorlig hendelse, må dere som behandlingsansvarlig kunne varsle Datatilsynet innen 72 timer.

Leverandøren skal også kunne hjelpe dere når personer ber om innsyn eller sletting av egne opplysninger.

For å sikre at sikkerheten faktisk opprettholdes over tid, bør dere jevnlig følge opp leverandørens arbeid. Databehandleravtalen bør inneholde en revisjonsrett (audit right) som gir dere mulighet til å kontrollere sikkerhetsrutinene – enten selv eller gjennom en ekstern part. Uten slik innsyn må dere stole på leverandørens egne vurderinger, noe som kan være risikabelt.

Derfor er avtalen avgjørende

En god avtale er mer enn en formalitet – det er fundamentet for et stabilt og tillitsbasert samarbeid. Teknisk kvalitet er viktig, men uten tydelige juridiske rammer kan selv den beste løsningen skape problemer senere.

Dersom det ikke finnes en egen databehandleravtale, bør krav til sikkerhet, tredjelandsoverføringer og revisjonsrett inngå i hovedavtalen. Det skaper trygghet for begge parter.

Å velge en SaaS-leverandør handler i bunn og grunn om balansen mellom innovasjon og integritet. Med gode avtaler og kontrollrutiner på plass står samarbeidet støtt – både teknisk og juridisk.

Nøyaktighet i dette arbeidet handler ikke bare om å følge regelverket, men om å vise respekt for menneskene hvis data dere forvalter. Det er selve kjernen i et bærekraftig personvern.

Vil du få bedre kontroll?

Våre verktøy hjelper deg å gjøre leverandørprosessen enklere og tryggere – slik at du kan bruke tiden på virksomheten, ikke administrasjonen.

Book en gjennomgang med oss og se hvordan du får full oversikt over leverandørene dine – uten å gå på kompromiss med personvernet.

4 steg til trygg og bærekraftig leverandørevaluering

Steg 1: Avklar roller og ansvar

Steg 2: Undersøk sikkerheten bak avtalen

Steg 3: Slik beskytter du personopplysninger ved overføring utenfor EU (TIA & Schrems II)

Steg 4: Oppfølging og håndtering av sikkerhetshendelser

Derfor er avtalen avgjørende

Vil du få bedre kontroll?

Adresse

Telefon

E-post

4 steg til trygg og bærekraftig leverandørevaluering

Steg 1: Avklar roller og ansvar

Steg 2: Undersøk sikkerheten bak avtalen

Steg 3: Slik beskytter du personopplysninger ved overføring utenfor EU (TIA & Schrems II)

Steg 4: Oppfølging og håndtering av sikkerhetshendelser

Derfor er avtalen avgjørende

Vil du få bedre kontroll?

Share blog post

Related blog posts

Leverandørevaluering: Den viktige hjørnesteinen i GDPR og etterlevelse

Behandlingsprotokoll i Excel eller spesialverktøy – hva er tryggest?

GDPR i offentlig sektor – slik forenes personvern og åpenhet