Når en databehandler gjør feil: Tre feil som kan bli svært kostbare

Personopplysninger behandles i dag av et stort antall leverandører, systemer og eksterne tjenester. For mange virksomheter innebærer dette at deler av behandlingen skjer hos en databehandler.

Men hva skjer dersom en databehandler ikke følger regelverket?

Et nylig sanksjonsvedtak fra en europeisk tilsynsmyndighet viser hvor alvorlige konsekvensene kan bli. Et teknologiselskap som jobbet med analyse av brukerdata ble ilagt et overtredelsesgebyr tilsvarende over ti millioner kroner, etter at store mengder personopplysninger viste seg å være lagret i et usikret miljø lenge etter at samarbeidet var avsluttet.

Saken illustrerer hvordan flere vanlige svakheter i personvernarbeidet kan føre til betydelig risiko – både for virksomheten som er behandlingsansvarlig og for leverandøren som opptrer som databehandler.

Her er tre feil som ofte ligger bak slike hendelser:

1. Personopplysninger slettes ikke når avtalen opphører

Når et samarbeid mellom en virksomhet og en databehandler avsluttes, skal personopplysningene enten slettes eller tilbakeleveres – i tråd med det som er avtalt i databehandleravtalen.

Dette følger av artikkel 28 nr. 3 i GDPR, hvor det fremgår at databehandleren ved opphør av tjenesten skal slette eller returnere personopplysningene til den behandlingsansvarlige, samt slette eventuelle kopier – med mindre lagring er påkrevd etter EU-rett eller nasjonal lovgivning.

I praksis er dette et punkt hvor mange virksomheter mister kontrollen.

Typiske utfordringer er:

• Kopier av data blir liggende i testmiljøer
• Sikkerhetskopier slettes ikke innen rimelig tid
• Gamle databaser eller utviklingsmiljøer blir glemt

I det aktuelle tilfellet viste undersøkelsen at personopplysninger fortsatt var lagret hos leverandøren flere år etter at samarbeidet var avsluttet.

Problemet var ikke bare at opplysningene var lagret, men at de også befant seg i et usikret miljø – noe som økte risikoen for uautorisert tilgang.

For virksomheter er dette en tydelig påminnelse: Det holder ikke å skrive i avtalen at data skal slettes. Man må også sikre at det faktisk skjer i praksis.

2. Personopplysninger brukes i test- og utviklingsmiljøer

Et annet utbredt problem er bruk av reelle personopplysninger i testmiljøer.

I mange tekniske miljøer kopieres data fra produksjonssystemer til utviklingsmiljøer for å:

• teste nye funksjoner
• analysere systemytelse
• utvikle nye produkter

Men etter artikkel 29 i GDPR kan en databehandler kun behandle personopplysninger etter dokumenterte instrukser fra den behandlingsansvarlige.

Dersom data kopieres til testmiljøer uten slike instrukser – eller uten at opplysningene anonymiseres eller pseudonymiseres – kan det innebære at personopplysningene brukes til andre formål enn de opprinnelig ble samlet inn for.

I det aktuelle vedtaket konkluderte tilsynsmyndigheten med at leverandøren hadde brukt kundedata i egne utviklingsprosesser uten godkjenning. Dette ble vurdert som et alvorlig brudd på regelverket.

Dette er et område hvor mange virksomheter undervurderer risikoen.

Testmiljøer har ofte:

• svakere sikkerhetskontroller
• flere brukere med tilgang
• mindre overvåking

Dette gjør dem særlig sårbare fra et personvernperspektiv.

3. Mangelfull oversikt over behandlingsaktiviteter

GDPR stiller krav om at virksomheter dokumenterer sin behandling av personopplysninger i en behandlingsprotokoll (register over behandlingsaktiviteter).

Dette gjelder også for databehandlere.

Kravet følger av artikkel 30 i GDPR, som pålegger både behandlingsansvarlige og databehandlere å føre oversikt over behandlingsaktiviteter som utføres under deres ansvar.

Oversikten skal blant annet inneholde:

• hvilke kategorier av behandlinger som utføres
• hvilke typer personopplysninger som behandles
• hvilke sikkerhetstiltak som er etablert

I det aktuelle vedtaket konstaterte tilsynsmyndigheten at leverandøren manglet en formell oversikt over sine behandlingsaktiviteter som databehandler.

Dette gjorde det vanskeligere å:

• føre intern kontroll
• håndtere avvik og hendelser
• gjennomføre tilsyn

En oppdatert behandlingsprotokoll er derfor ikke bare et dokumentasjonskrav – den er også avgjørende for å kunne vise at virksomheten etterlever regelverket i praksis.

Hvorfor disse feilene kan bli svært kostbare

Overtredelsesgebyret i saken ble begrunnet med flere forhold:

• Et svært stort antall berørte personer
• Mangler i flere sentrale deler av regelverket
• En situasjon hvor personopplysninger var eksponert over lengre tid

Selv om opplysningene ikke var nye, vurderte tilsynsmyndigheten at de fortsatt utgjorde en risiko – blant annet fordi de kunne brukes i målrettede phishingangrep.

Vedtaket viser også at virksomheter ikke kan legge skylden på enkeltansatte.

Etter GDPR er det virksomheten som er ansvarlig for hvordan personopplysninger behandles. Dette henger tett sammen med prinsippet om ansvarlighet (accountability) i artikkel 5 nr. 2 – som innebærer at virksomheter ikke bare skal etterleve regelverket, men også kunne dokumentere hvordan de gjør det.

Slik reduserer dere risikoen i arbeidet med databehandlere

For mange virksomheter ligger den største risikoen ikke i ett enkelt system – men i manglende struktur i hvordan leverandører håndterer personopplysninger over tid.

Noen sentrale spørsmål å stille:

• Har dere full oversikt over hvilke personopplysninger leverandørene behandler?
• Finnes det klare rutiner for sletting når avtaler avsluttes?
• Har dere kontroll på hvordan data brukes i test- og utviklingsmiljøer?
• Har både dere og leverandørene oppdaterte behandlingsprotokoller?

Når denne oversikten mangler, øker risikoen for avvik – og dermed også for tilsyn og overtredelsesgebyr.

Personvern krever mer enn gode avtaler

En databehandleravtale er en viktig del av personvernarbeidet. Men avtalen alene er ikke tilstrekkelig.

Virksomheter må også ha:

• struktur for oppfølging av leverandører
• kontroll over hvordan personopplysninger brukes i ulike miljøer
• god dokumentasjon av behandlingsaktiviteter

Når dette ikke er på plass, kan problemer oppstå lenge etter at et prosjekt eller samarbeid er avsluttet.

Og da kan konsekvensene bli langt mer alvorlige enn mange forventer.

Ønsker dere å diskutere hvordan dere kan styrke kontrollen over databehandlere og redusere risiko i personvernarbeidet, er dere velkomne til å ta kontakt for en uforpliktende prat.