Leverandørevaluering: Den viktige hjørnesteinen i GDPR og etterlevelse

I dagens digitale landskap benytter de fleste virksomheter eksterne parter i en eller annen form for behandling av personopplysninger – fra skytjenester og lønnssystemer til analyseverktøy. 

Det store problemet er at mange overser en kritisk faktor når det gjelder personvern: Du kan sette bort tjenesten, men du kan aldri sette bort ansvaret. 

Leverandørevaluering er avgjørende for databeskyttelsen og for etterlevelsen, uavhengig av bransje.

Som behandlingsansvarlig beholder dere det fulle juridiske ansvaret for personopplysningene – også når de håndteres av leverandører og samarbeidspartnere. 

Derfor er en grundig leverandørevaluering det viktigste beviset på at dere oppfyller prinsippet om ansvarlighet i henhold til GDPR for deres eksterne partnere.

Vårt verktøy vil i en serie artikler fordype seg i temaet personvern og leverandørstyring. Vi vil gå gjennom hva virksomheter bør gjøre for å evaluere, vurdere og følge opp sine leverandører.

Hvorfor leverandørevaluering er ditt viktigste bevis på GDPR-etterlevelse

Det er avgjørende at dere tar personvern på alvor. Prinsippet om ansvarlighet (artikkel 5.2 i GDPR) krever at dere kan vise og dokumentere at dere har iverksatt egnede tiltak for å følge regelverket. Denne dokumentasjonen starter med å kartlegge og evaluere forholdet til deres partnere og potensielle leverandører.

Start med riktig relasjon

Før dere inngår avtale med partnere eller leverandører, bør dere vurdere hvilken GDPR-relasjon dere vil ha:

• Databehandler: Behandler personopplysninger på deres vegne. Krever en databehandleravtale (DPA).
• Felles behandlingsansvar: Dere bestemmer sammen formålet og midlene for behandlingen. Krever en særskilt intern avtale, ofte i form av en datadelningsavtale.
• Kun leverandør: Tjenester som har tilgang til personopplysninger, men ikke behandler dem – for eksempel skytjenester eller plattformer som brukes i virksomheten.

Velg leverandør med tilstrekkelig sikkerhet for god databeskyttelse

Når relasjonen er avklart, må dere velge en leverandør som kan garantere høy sikkerhet for dataene deres. Å slurve med denne bakgrunnssjekken kan få alvorlige konsekvenser.

Et eksempel er når Datatilsynet retter sanksjoner mot behandlingsansvarlige virksomheter på grunn av mangler hos deres databehandlere. Hvis en leverandør forårsaker et avvik og dere ikke kan dokumentere at dere har gjennomført en tilstrekkelig vurdering, står dere som primært ansvarlige. Konsekvensen kan være både høye gebyrer og erstatningskrav.

GDPR-dokumentasjonen deres må kunne vise at dere har evaluert leverandørkjeden grundig og valgt partnere med et robust personvern. Ansvaret for databeskyttelse strekker seg lenger enn egen organisasjon.

GDPR krever dokumentasjon: Sjekk leverandørene deres

Å ta personvern på alvor er ikke nok – dere må kunne vise det.

I henhold til ansvarlighetsprinsippet (artikkel 5.2 i GDPR) må dere dokumentere og bevise at dere har gjort det som kreves for å følge loven. Denne dokumentasjonen er deres viktigste bevis dersom noe går galt.

Arbeidet begynner allerede når dere skal velge en ny partner eller leverandør. Dere må først avklare:

• Er de databehandler? De behandler data på deres vegne og krever dermed en databehandleravtale.
  
  
• Er dere felles behandlingsansvarlige? Dere bestemmer sammen hvordan data skal brukes.
  
  
• Er de kun leverandør? De håndterer ikke personopplysninger, men kan ha tilgang til dem.

Når dette er avklart, må dere velge en leverandør som kan garantere høy sikkerhet. Det gjør dere gjennom en grundig leverandørvurdering, også kalt bakgrunnssjekk.

Unngå dyre sanksjoner – undersøk leverandørene nøye

Datatilsynet har ilagt virksomheter høye gebyrer fordi de hadde svakheter hos sine leverandører (databehandlere). Dersom leverandøren deres forårsaker en hendelse og dere ikke kan vise at dere har gjort en tilstrekkelig vurdering, er det dere som blir holdt ansvarlige. 

Resultatet kan bli både sanksjoner, erstatningskrav og skadet omdømme.

En grundig leverandørvurdering er derfor det beste beviset på at dere følger GDPR og tar informasjonssikkerhet på alvor.

Når tredjepartsrisiko blir virkelighet: Angrepet mot en systemleverandør

Behovet for god leverandørkontroll og håndtering av eksterne parter ble tydelig bekreftet under et omfattende cyberangrep mot en systemleverandør i august 2025. Hendelsen fungerte som en vekker for alle virksomheter som behandler personopplysninger.

Angrepet, som var et avansert løsepengevirus, førte til at sensitive personopplysninger – inkludert fødselsnumre og informasjon om sykefravær for over 1,5 millioner ansatte i kommuner, regioner og selskaper – ble stjålet og publisert på mørkenettet. Dette var et massivt databrudd forårsaket av en sikkerhetsbrist hos en databehandler.

Du kan ikke outsource ansvaret for GDPR

Denne hendelsen illustrerer et grunnleggende prinsipp i GDPR: Dere kan sette bort driften til en ekstern part, men dere kan aldri sette bort det juridiske ansvaret for personvernet.

Selv om det var leverandøren som ble direkte rammet, var det de behandlingsansvarlige virksomhetene som fikk konsekvensene – for det er de som bærer det juridiske ansvaret for de stjålne opplysningene. 

Hvis de behandlingsansvarlige ikke kan vise at de gjennomfører grundige leverandørevalueringer og oppfølging, bryter de ansvarlighetsprinsippet i GDPR og risikerer sanksjoner for feil som leverandøren har forårsaket.

Hvordan skal leverandører evalueres – og hvor ofte?

Leverandørevaluering er ikke en engangsoppgave. Den skal gjennomføres før avtaler inngås, og følges opp jevnlig (vanligvis årlig, eller oftere ved større endringer). Dersom behandlingen omfatter opplysninger om barn, store datamengder, sensitive data eller informasjon om lovbrudd, bør evalueringen gjøres kvartalsvis.

Dette bør inngå i evalueringen:

• Teknisk sikkerhet: Undersøk hvilke tiltak leverandøren har for å beskytte data – inkludert kryptering ved lagring og overføring, tilgangskontroll og sikkerhetskopiering.
• Organisatoriske rutiner: Vurder hvordan leverandøren håndterer sikkerhetshendelser, hvor raskt de varsler dere, hvordan ansatte opplæres i personvern, og hvordan de ivaretar registrertes rettigheter.
• Juridiske og geografiske forhold: Sørg for at dere har korrekt utformet databehandleravtale eller avtale om felles behandlingsansvar. Undersøk også hvor data lagres. Dersom data overføres utenfor EU/EØS, må det foreligge lovlig overføringsgrunnlag, og leverandørvurderingen må inkludere en vurdering av tredjelandets lovgivning.

Konsekvensene av manglende leverandørevaluering

Å ikke prioritere leverandørevaluering og oppfølging kan få alvorlige konsekvenser. Manglende dokumentasjon er et direkte brudd på ansvarlighetsprinsippet og kan føre til store sanksjoner fra Datatilsynet. I tillegg til økonomiske bøter risikerer dere erstatningskrav fra berørte personer, tap av tillit og skade på omdømme.

Ved å gjøre leverandørvurdering til en systematisk og dokumentert prosess reduserer dere juridisk risiko, samtidig som dere viser at dere tar ansvar for både kunders og ansattes personvern – grunnlaget for reell GDPR-etterlevelse.

Sikre effektiv GDPR-etterlevelse: Slik reduserer dere tredjepartsrisikoen

I en tid hvor databeskyttelse og etterlevelse står i sentrum, er risiko knyttet til tredjepartsleverandører en av de største utfordringene. Når dere benytter databehandlere eller setter bort prosesser, overlater dere samtidig håndteringen av sensitiv informasjon.
Hvordan kan dere være sikre på at leverandørene følger kravene i GDPR og beskytter dataene?

Å manuelt gjennomgå avtaler, følge opp sikkerhetsrutiner og dokumentere leverandørvurderinger er tidkrevende, risikabelt og ofte ineffektivt.

Med vårt verktøy får dere full kontroll og oversikt over leverandørarbeidet, og reduserer risikoen for databrudd og sanksjoner betydelig.

Et nytt verktøy for leverandørstyring og GDPR-etterlevelse

Å håndtere og overvåke alle databehandlere og leverandører manuelt er både tidkrevende og komplekst – og øker risikoen for feil og manglende dokumentasjon.

Vårt verktøy er utviklet spesielt for å hjelpe virksomheter med å identifisere, vurdere og håndtere leverandørrisiko som påvirker personvernarbeidet.

Verktøyet gjør dette enklere:

• Leverandørvurdering: Gjennom strukturerte prosesser og maler kan dere raskt evaluere leverandører og deres evne til å møte kravene til sikkerhet og GDPR.
  
  
• Avtalestyring: Plattformen hjelper dere å holde oversikt over oppdaterte avtaler, et grunnleggende krav i GDPR.
  
  
• Løpende oppfølging: Risiko endres over tid. Verktøyet gjør det enkelt å følge opp leverandører fortløpende, slik at dere alltid oppfyller dokumentasjonsplikten og ansvarlighetsprinsippet.

Sørg for at dere følger GDPR effektivt

Med oss frigjør dere tid og ressurser som kan brukes på kjernevirksomheten. Du får en trygg og sporbar metode for GDPR-arbeidet, og det tydeligste beviset på at virksomheten tar personvern på alvor.

Hold utkikk – snart kommer mer informasjon om hvordan verktøyet forenkler leverandørevaluering og risikohåndtering.

Ta neste steg: Book en demo i dag

Book en demo allerede i dag og få støtte fra våre GDPR-eksperter, kombinert med verktøy og metodikk som gjør personvernarbeidet sikkert, effektivt og fullt ut dokumenterbart.