Derfor er personvern viktig ved valg av leverandører og samarbeidspartnere
Etterlevelse av GDPR i verdikjeden - virksomhetens ansvar
Mange organisasjoner har definerte regler eller prinsipper for valg av leverandører og samarbeidspartnere. Ordnet økonomi, riktig bruk av arbeidskraft, mangfold i ledelsen, nødvendige konsesjoner eller fagbrev er eksempler på kriterier som brukes. Nå bør også personvern legges til.
Innen personvern har organisasjoner et definert ansvar ved valg av databehandlere, inkludert vurdering av hvilke underleverandører som databehandleren bruker. Men, personvern er også viktig ved valg av vanlige leverandører og samarbeidspartnere, særlig de du deler data med - selv om de har selvstendig grunnlag for behandlingen.
Om en av dine samarbeidspartnere eksponerer personopplysninger som du har videreformidlet vil dette også treffe ditt omdømme.
GDPR stiller krav til at virksomheter kan påvise etterlevelse av prinsippene. I vurderingen av samarbeidspartnere er det derfor naturlig å be om å få dokumentasjon på dette. Forventningene til omfang og kvalitet på dokumentasjonen er selvsagt avhengig av bransje og hvilke opplysninger som behandles. Nedenfor er et utvalg punkter som bør vurderes før inngåelse eller fornyelse av avtale.
10 spørsmål som bør stilles ved valg av leverandører eller samarbeidspartnere
1) Be om å få oversendt Personvernpolicy for virksomheten
Personvernpolicy er et styringsdokument som setter standarden og risikoappetitten for hvordan virksomheten skal jobbe med personvern. Dokumentet skal være forankret i øverste ledelse/styret.
Følg også opp med: Hvordan gjennomføres og kontrolleres det at Policy følges?
Internkontroll dokumentasjon kan være ganske omfattende, men det enkleste er kanskje å spørre oppfølgingsspørsmål som:
- Hvordan Policy er gjort kjent i organisasjonen?
- Hvor mange styremøter eller ledelsesmøter har personvern og IT-sikkerhet vært tema siste 12 måneder.
2) Be om å få oversendt protokoll over behandlingsaktiviteter
Alle bedrifter som behandler personopplysninger på regelmessig grunnlag skal føre protokoll over behandlingsaktiviteter (GDPR art 30)
-
Kan bedriften bekrefte at faktisk behandling er i tråd med protokollen?
-
Slettes og beskyttes data slik som beskrevet?
3) Be om å få beskrevet hvordan virksomheten ivaretar enkeltpersoners rettigheter for:
- Informasjonsplikt
- Innsyn
- Sletting
- Korrigering
- Kan bedriften dokumentere forespørsler og om de er løst i tide?
4) Brukes det robotisering/kunstig intelligens i behandling av personopplysninger
Mange virksomheter benytter avansert teknologi i løpende drift uten å ha tilstrekkelig vurdert personvernkonsekvensene. I noen tilfeller kan det vise seg at bruken av teknologien er for invaderende i forhold til hva som er nødvendig for å oppfylle formålet. Uansett er det viktig å sikre at informasjonsplikten, inkludert retten til å protestere oppfylles.
5) Be om å få beskrevet hvordan personvern blir vurdert i prosessen for hvordan bedriften anskaffer / tar i bruk ny teknologi
Ny teknologi med nyttig og spennende funksjonalitet lanseres på løpende bånd, men det stiller samtidig krav på organisasjonene som tar det i bruk om teknologien bryter med GDPR. Et eksempel på dette er skolemeldingsappen til Oslo kommune hvor de fikk 1,2 millioner i bot for manglende kvalitetssikring.
- Hvor lagres data? Overføres data til tredjeland? Tilfredsstiller løsningen kravet til innebygd personvern?
- Hvordan er vilkårene for bruk av teknologien. Hvilke rettigheter gir dere til teknologiselskapet på bruk av dataene?
- Betaler dere for teknologien med data/personopplysningene som dere formidler?
6) Be om å få beskrevet hvordan virksomheten jobber med avvik
Alle bedrifter har avvik, men mange har dårlige rutiner for å registrere de og håndtere de. Avvikshåndtering er en god måte for virksomheten å identifisere sårbarheter og gjøre prioriteringer på tiltak.
- Hvor mange avvikssaker har det vært siste 12 mnd?
- Er det noen utestående tiltak?
7) Be om å få beskrevet hvordan virksomheten jobber med risikovurderinger
Mange virksomheter har en god kultur for vurdering og håndtering av risiko, men da kanskje i mer tradisjonell forstand som teknisk risiko, forretningsrisiko, strategisk risiko, finansiell risiko etc. En risikovurdering innen personvern tar utgangspunkt i de registrerte og hvilken mulig eksponering det er for deres opplysninger og konsekvensen om opplysninger kommer på avveie, blir slettet på feil grunnlag etc.
Det enkleste for å evaluere leverandøren er å be om å få oversendt seneste risiko– og sårbarhetsanalyse, evt dokumentasjon på at oppsatte tiltaksplaner er gjennomført.
8) Be om å få beskrevet hvordan rutiner for tilgangskontroll til personopplysninger ivaretas
Mange bedrifter har sviktende rutiner for ajourhold av tilgangskontroll hvor brukerrettigheter ikke endres når ansatte slutter, eller endrer roller.
9) Har ansatte signert taushetserklæringer?
Hva med midlertidig ansatte/konsulenter?
10) Er leverandøren oppmerksom på Artikkel 19 - krav til underrettelsesplikt?
Artikkel 19 stiller krav til underrettelsesplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling. Er leverandøren oppmerksom på dette og hvordan løser de det?
Om du tenker på kjøpe operative tjenester innen personvern har vi samlet litt mer informasjon å tenke på her: 5 ting å tenke på når du skal velge GDPR-verktøy
Mange større bedrifter har gode rutiner på vurdering av leverandører, særlig innen regulerte bransjer som helse og finanssektoren. Kvalitetssikring gjennom verdikjeden er viktig i implementeringen av GDPR og som kjent er en kjedes styrke definert ut fra det svakeste ledd. Ved å stille krav til leverandører bidrar man derfor til å heve kvaliteten i personvernet generelt.
Men, spørsmålet er også hvor forberedt er du på å svare opp på slike spørsmål selv når en kunde kommer og ber om dokumentasjon. De som kan svare opp raskt bygger tillit og øker sine forretningsmuligheter.
Iconfirm har laget en sikker løsning for behandling av personopplysninger.