Unngå GDPR-bøter: Slik følger du opp databehandlere riktig

Å sette ut databehandling til eksterne leverandører kan være smart. Det sparer tid, kutter kostnader og gir tilgang til spesialkompetanse. Men det følger også med en betydelig risiko – for når noe går galt hos leverandøren, er det dere som behandlingsansvarlige som sitter med ansvaret.

Ifølge GDPR er det ikke nok å stole på at leverandøren gjør jobben sin. Dere må kunne dokumentere at dere jevnlig vurderer databehandlerne deres – både teknisk, juridisk og organisatorisk.

Hva er en databehandler?

En databehandler er en ekstern leverandør – for eksempel en skyleverandør, et IT-selskap eller et HR-system – som behandler personopplysninger på deres vegne.Dere bestemmer hvorfor og hvordan dataene skal behandles, mens databehandleren bare utfører oppdraget etter deres instrukser.

Forholdet må reguleres i en databehandleravtale i tråd med artikkel 28 i GDPR. Avtalen slår fast at leverandøren kun kan behandle data slik dere har bestemt, og er den første – og viktigste – sikkerhetslinjen dere har.

Hva dere bør vurdere hos databehandlere

Før dere inngår et samarbeid, må dere forsikre dere om at leverandøren har kontroll. Det gjør dere gjennom en såkalt due diligence – en vurdering av både det juridiske, tekniske og organisatoriske:

• Juridisk: Sjekk at databehandleravtalen dekker alt GDPR krever. Den skal blant annet beskrive formål, metode, sikkerhetskrav og hvordan leverandøren håndterer avvik og forespørsler fra registrerte.
  
  
• Teknisk: Undersøk sikkerhetstiltakene. Har de kryptering, tofaktorautentisering, tilgangsstyring og rutiner for databehandling utenfor EU/EØS?
  
  
• Organisatorisk: Se på hvordan virksomheten er strukturert. Be om dokumentasjon på sertifiseringer (som ISO 27001 eller ISAE 3402), revisjonsrapporter og rutiner for sikkerhet og opplæring.

Oppfølging må være løpende – ikke én gang for alle

En vanlig feil er å tenke at jobben er gjort når avtalen er signert. Det er den ikke. Risikoen endrer seg hele tiden, og dere må følge opp leverandørene jevnlig.

Som hovedregel: Gjør en formell vurdering minst én gang i året.

Ved høy risiko – for eksempel hvis leverandøren håndterer sensitive personopplysninger, store datamengder eller kritiske systemer – bør dere vurdere dem oftere, gjerne hvert halvår eller hvert kvartal.

Derfor lønner det seg med jevnlig kontroll

Når dere følger opp leverandørene systematisk, får dere flere fordeler:

• Dere oppdager nye trusler og svakheter før de blir et problem.
  
  
• Dere har dokumentasjon som viser at dere jobber aktivt med GDPR – viktig hvis Datatilsynet banker på døren.
  
  
• Dere fanger opp endringer hos leverandøren, som nye ansatte, systemer eller underleverandører.

Kort sagt: Dere holder oversikten, reduserer risikoen – og står langt sterkere hvis noe skulle gå galt.

Den skjulte risikoen i outsourcing

Når dere setter ut databehandling, flytter dere også deler av risikoen ut av huset.

Problemet er at mange tror ansvaret flytter seg med – men det gjør det ikke.

Selv om leverandøren håndterer dataen, er det dere som behandlingsansvarlige som står ansvarlig overfor loven.

GDPRs prinsipp om ansvarlighet (artikkel 5.2) er tydelig: Dere må kunne vise at dere har kontroll – ikke bare si det.

Mange virksomheter gjør denne feilen: De får inn et sertifikat, signerer en avtale – og legger papirene i arkivet. Da mister de oversikten, og risikoen vokser i stillhet.

Hva skjer hvis du ikke følger opp?

Hvis Datatilsynet etterforsker et avvik hos en av leverandørene deres, vil de spørre:

• Når vurderte dere sist leverandørens sikkerhetstiltak?
  
  
• Fant dere noen mangler, og ble de fulgt opp skriftlig?
  
  
• Har dere dokumentert hvordan leverandøren håndterer dataoverføringer utenfor EU/EØS?

Har dere ikke gode svar på dette, kan dere få bøter – selv om det var leverandøren som gjorde feil.

Slik får dere kontroll på prosessen

For å håndtere databehandlere på en trygg og effektiv måte, bør vurderingene være en del av virksomhetens vanlige rutiner for styring og risiko (GRC):

• Automatiser påminnelser: Sett opp et system som sier fra når leverandører må følges opp – for eksempel årlig, halvårlig eller kvartalsvis.
  
  
• Gi tydelig ansvar: Utnevn én person eller avdeling som har eierskap til oppfølgingen og sørger for at alt blir dokumentert.

Da går dere fra reaktiv til proaktiv – og reduserer risikoen for at noe glipper.

Sørg for at outsourcing ikke blir deres svakeste ledd

Dere har jobbet hardt for å få kontroll på GDPR internt. Ikke la en leverandør dra dere ned. Oppfølging av databehandlere kan være tidkrevende, men den er helt nødvendig.

Husk:

• Dere har alltid ansvaret, også når feilen ligger hos leverandøren.
  
  
• Løpende oppfølging er et lovkrav, og dere må kunne dokumentere den.
  
  
• Trusselbildet endres, og oppfølging hjelper dere å ligge i forkant.

Vi kan vise hvordan dere kan gjøre prosessen enklere – fra avtale til kontinuerlig oppfølging – slik at dere alltid står sterkt ved et eventuelt tilsyn.

Book en demo og se hvordan løsningen vår hjelper dere å holde dokumentasjonen komplett, oppdatert og i tråd med GDPR. Da vet dere at alt er på plass – og at dere har ryggen fri.