Røde flagg i en leverandørvurdering

Written By Ida Tho

Photo by Zachary Keimig on Unsplash

Engang etter 2020 og Schrems II, fikk jeg øynene opp for hvilken verdi (og makt) som ligger i en leverandørvurdering. For min del skjedde det for alvor etter Helsingørsaken. Det danske datatilsynet fattet vedtak om at Helsingør kommune ikke lenger kunne bruke Google Workspace for Education i skolen.

Det var ikke en sak om overføringer av personopplysninger ut av EU/EØS. Det var primært en sak om at kommunen ikke hadde gjort gode nok vurderinger av Google som leverandør. Kommunen hadde ikke på noe tidspunkt gjort en ROS, DPIA og hadde heller ikke vurdert om Google kunne stille nødvendige garantier for GDPR-etterlevelse (artikkel 29(1)).

For GDPR stiller krav til at du som behandlingsansvarlig bare skal inngå avtaler med leverandører (databehandlere) som kan stille «tilstrekkelige garantier» for at kravene i GDPR og personvernet til de registrerte ivaretas.


Slike vurderinger kan være vanskelige å gjøre. Her er noen ting jeg starter med når jeg gjør leverandørvurderinger, og noen røde flagg å være oppmerksom på:

1. Ta utgangspunkt i leverandørens databehandleravtale

Ofte vil databehandlers utkast til databehandleravtale være publisert på deres hjemmesider. Flere større databehandlere har dessuten egne standard databehandleravtaler som er offentlig tilgjengelige.

🚩 Men hvis leverandøren ikke har dette lett tilgjengelig, er det et rødt flagg.

2. Søk etter leverandørens etterlevelsesdokumentasjon publisert på nettet

Hvordan leverandøren velger å dokumentere GDPR-etterlevelse, kan si mye om hvordan de lever opp til sine personvernforpliktelser, og hvilken type ekspertkompetanse de faktisk har.

Kanskje har leverandøren en redegjørelse for hvordan personvern er bygd inn i løsningen som de tilbyr, eller de har publisert en generell oversikt over ledelsessystemet for personvern og informasjonssikkerhet. Kanskje er de tom åpne om DPIA eller ROS som de har gjennomført.

🚩 Hvis de viser til utgåtte regler, f.eks. Privacy Shield som overføringsgrunnlag, er det et rødt flagg.

🚩 Generelle påstander om å være «GDPR Compliant» uten dokumentasjon, er et annet.

3. Hvordan er dialogen med leverandøren?

Ofte må man ta kontakt med leverandøren for å få svar på hvordan de etterlever GDPR. Hvis leverandøren er en seriøs leverandør som tar personvernforpliktelsene sine på alvor, forventer jeg at de har noen som kan svare deg relativt raskt.

Hvem du får svar av og hvor raskt det skjer, sier også noe om hvilken ekspertkompetanse leverandøren har på personvern. Hvis de kan vise til ekspertkompetanse, vil det være et pluss i boka og vil kunne vise at de gir «tilstrekkelige garantier» for etterlevelse.

🚩 Hvis leverandøren unngår å svare på et spørsmål, er det et rødt flagg.

Ps. Ser du etter flere tips for leverandørvurderinger? Jeg har skrevet om det i en Linkedin-post som du kan sjekke ut her.

Ida Tho
Previous

Hvordan du kan bruke innsynsretten til å lære mer om personvern
Next

Hva sier SCHUFA-dommen om automatiserte avgjørelser?