Har ni koll på vilka leverantörer ni anlitar?
Det är vanligt att ett bolag anlitar extern hjälp för att verksamheten ska fungera. Det kan vara allt från olika systemleverantörer till konsulter och teknisk support. Dataskyddsförordningen (”GDPR”) ställer höga krav på anlitandet av leverantörer i de fall då leverantören ska behandla personuppgifter.
Syftet med en leverantörsutvärdering är att få en bättre bild av den planerade leverantörens dataskyddsarbete och vilka säkerhetsåtgärder som finns på plats. Det är viktigt att tydligt fastställa hur personuppgifter skyddas under användning, överföring, lagring och annan behandling, samt vilka mekanismer som finns för att begränsa åtkomsten till data. Det är personuppgiftsansvarig (den organisation som bestämmer varför personuppgifterna behandlas och hur behandlingen ska gå till) som ansvarar för att en leverantörsutvärdering genomförs innan leverantören anlitas. Det är vanligt att leverantören som anlitas är ett personuppgiftsbiträde enligt GDPR:s mening och är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning.
Ta gärna del av bloggen "Personuppgiftsansvarig vs personuppgiftsbiträde - var går gränsen för ansvar avseende säkerhet?" där det bland annat framgår att sanktionsavgifter har fördelats på olika sätt.
När ska vi genomföra en leverantörsutvärdering?
Det är viktigt att genomföra en leverantörsutvärdering innan leverantören anlitas och innan några avtal ingås. Om detta inte görs kan det framkomma efter utvärderingen att leverantören inte är lämplig och att det medför ökad risk att anlita leverantören, något som blir omständligt att hantera efter ingångna avtal.
Det är fördelaktigt att ha tydliga rutiner och processer på plats som tydliggör för organisationen när en leverantörsutvärdering ska genomföras och av vem. Tänk på att involvera flera delar av organisationen för att bedöma innehållet i utvärderingen.
Hur genomför vi en leverantörsutvärdering?
Det finns olika sätt att genomföra en leverantörsutvärdering på och det beror även på vilka risker ni som organisation vill ta och hur kritisk en viss leverantör är för er. Leverantörsutvärderingen bör anpassas utifrån vilken behandling som avses. Ett alternativ skulle kunna vara att utforma ett frågeformulär som täcker relevanta områden inom dataskydd och informationssäkerhet som kan skickas till leverantören.
En leverantörsutvärdering kan täcka flera olika områden såsom:
Vilka tjänster leverantören tillhandahåller. Syftet här är att få bättre förståelse för leverantörens storlek och tjänsternas omfattning.
Hur personuppgifter hanteras av leverantören. Skapa bättre förståelse för leverantörens dataskyddsarbete, om nödvändiga rutiner och processer finns på plats.
Förvaltning av tjänsterna som tillhandahålls. Skapa en förståelse för vilka säkerhetsstandarder som finns på plats och hur informationssäkerhetsrelaterade frågor hanteras hos leverantören.
Säkerhet (IT och drift, nätverk, fysisk, personal). Säkerhet täcker flera olika områden och bör anpassas utifrån respektive behandling.
Behörigheter och åtkomstkontroll. Hur leverantören sätter behörigheter och vilka roller som får åtkomst till vilken information är en central del.
När ni får tillbaka underlaget från leverantören och ska bedöma inkomna svar, tänk på att det inte finns ett rätt eller fel svar. Frågeformuläret i sig är inget bevis eller svar på huruvida leverantören är godkänd att anlita enligt GDPR. Utvärderingen handlar om att ge er organisation bättre förståelse för vilka risker det innebär att anlita en viss leverantör och för att ni ska kunna vidta nödvändiga åtgärder för att minimera riskerna.
Är det ett krav att genomföra leverantörsutvärderingar?
Ja, det följer av artikel 28 GDPR att personuppgiftsansvarig endast ska anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i GDPR. Om bestämmelserna i GDPR inte efterlevs och ni inte genomför några leverantörsutvärderingar, finns risk för sanktionsavgifter från tillsynsmyndigheten. Sanktionsavgifterna som kan utdömas kan uppgå till 20 miljoner euro eller 4 % av bolagets/koncernens globala årsomsättning, beroende på vilket värde som är högst.
Det är viktigt att även löpande utvärdera era leverantörer och hur era personuppgifter skyddas. I dagens samhälle med den snabba teknikutvecklingen kan det vara lämpligt att se över vilka åtgärder som finns på plats och om personuppgifterna behöver skyddas på ett annat sätt.
Avslutande kommentar
Som personuppgiftsansvarig är ni ansvariga för att era leverantörer hanterar personuppgifterna som ni delar på ett säkert sätt i linje med GDPR. Om ni inte redan har utvärderat era leverantörer är det hög tid att göra det nu. Om ni redan har utvärderat era leverantörer innan de anlitades kan det vara bra att se över genomförd utvärdering och om några förändringar har skett.
Tänk på!
Granska hela leverantörskedjan och vilka underleverantörer som finns.
Skapa rutiner och processer för att säkerställa att nödvändiga leverantörsutvärderingar genomförs.
Skapa mallar för att systematiskt kunna utvärdera era leverantörer.
Utvärdera så tidigt som möjligt för att beakta riskerna i era dataskyddsanalyser innan nödvändiga avtal ingås.
Ta hjälp av olika delar av organisationen för att bedöma vilka risker leverantören medför.
Fatta beslut om riskerna och om leverantören ska anlitas.
Kom ihåg att involvera flera delar av organisationen för att kunna göra en heltäckande bedömning av leverantören. Behöver ni stöd i att utvärdera era leverantörer eller att ta fram rutiner och processer för att bygga en systematik i arbetet, tveka inte att höra av er till oss!
Om Fondias team inom dataskydd
Fondias erfarna och kunniga dataskyddsexperter hjälper dig med alla typer av ärenden som rör personuppgiftsbehandling och integritetsskydd. Vi ger bland annat handfasta råd kring efterlevnad av kraven i den allmänna dataskyddsförordningen (GDPR) och ePrivacy-reglerna samt hittar affärsmässiga lösningar på utmaningar inom dataskydd. Våra experter har tillsammans bred erfarenhet från roller som både dataskyddsombud, bolagsjurist, del av ledningsgrupp, del av dataskyddsgrupp och rena konsultroller. Vi erbjuder också tjänsten DPOaaS - dataskyddsombud som en tjänst.