Mange organisasjoner har definerte regler eller prinsipper for valg av leverandører og samarbeidspartnere. Ordnet økonomi, riktig bruk av arbeidskraft, mangfold i ledelsen, nødvendige konsesjoner eller fagbrev er eksempler på kriterier som brukes. Nå bør også personvern legges til.
Innen personvern har organisasjoner et definert ansvar ved valg av databehandlere, inkludert vurdering av hvilke underleverandører som databehandleren bruker. Men, personvern er også viktig ved valg av vanlige leverandører og samarbeidspartnere, særlig de du deler data med - selv om de har selvstendig grunnlag for behandlingen.
Om en av dine samarbeidspartnere eksponerer personopplysninger som du har videreformidlet vil dette også treffe ditt omdømme.
GDPR stiller krav til at virksomheter kan påvise etterlevelse av prinsippene. I vurderingen av samarbeidspartnere er det derfor naturlig å be om å få dokumentasjon på dette. Forventningene til omfang og kvalitet på dokumentasjonen er selvsagt avhengig av bransje og hvilke opplysninger som behandles. Nedenfor er et utvalg punkter som bør vurderes før inngåelse eller fornyelse av avtale.
Alle bedrifter som behandler personopplysninger på regelmessig grunnlag skal føre protokoll over behandlingsaktiviteter (GDPR art 30)
Kan bedriften bekrefte at faktisk behandling er i tråd med protokollen?
Slettes og beskyttes data slik som beskrevet?
Mange virksomheter benytter avansert teknologi i løpende drift uten å ha tilstrekkelig vurdert personvernkonsekvensene. I noen tilfeller kan det vise seg at bruken av teknologien er for invaderende i forhold til hva som er nødvendig for å oppfylle formålet. Uansett er det viktig å sikre at informasjonsplikten, inkludert retten til å protestere oppfylles.
Ny teknologi med nyttig og spennende funksjonalitet lanseres på løpende bånd, men det stiller samtidig krav på organisasjonene som tar det i bruk om teknologien bryter med GDPR. Et eksempel på dette er skolemeldingsappen til Oslo kommune hvor de fikk 1,2 millioner i bot for manglende kvalitetssikring.
Alle bedrifter har avvik, men mange har dårlige rutiner for å registrere de og håndtere de. Avvikshåndtering er en god måte for virksomheten å identifisere sårbarheter og gjøre prioriteringer på tiltak.
Mange virksomheter har en god kultur for vurdering og håndtering av risiko, men da kanskje i mer tradisjonell forstand som teknisk risiko, forretningsrisiko, strategisk risiko, finansiell risiko etc. En risikovurdering innen personvern tar utgangspunkt i de registrerte og hvilken mulig eksponering det er for deres opplysninger og konsekvensen om opplysninger kommer på avveie, blir slettet på feil grunnlag etc.
Det enkleste for å evaluere leverandøren er å be om å få oversendt seneste risiko– og sårbarhetsanalyse, evt dokumentasjon på at oppsatte tiltaksplaner er gjennomført.
Mange bedrifter har sviktende rutiner for ajourhold av tilgangskontroll hvor brukerrettigheter ikke endres når ansatte slutter, eller endrer roller.
Hva med midlertidig ansatte/konsulenter?
Artikkel 19 stiller krav til underrettelsesplikt i forbindelse med retting eller sletting av personopplysninger eller begrensning av behandling. Er leverandøren oppmerksom på dette og hvordan løser de det?
Om du tenker på kjøpe operative tjenester innen personvern har vi samlet litt mer informasjon å tenke på her: 5 ting å tenke på når du skal velge GDPR-verktøy
Mange større bedrifter har gode rutiner på vurdering av leverandører, særlig innen regulerte bransjer som helse og finanssektoren. Kvalitetssikring gjennom verdikjeden er viktig i implementeringen av GDPR og som kjent er en kjedes styrke definert ut fra det svakeste ledd. Ved å stille krav til leverandører bidrar man derfor til å heve kvaliteten i personvernet generelt.
Men, spørsmålet er også hvor forberedt er du på å svare opp på slike spørsmål selv når en kunde kommer og ber om dokumentasjon. De som kan svare opp raskt bygger tillit og øker sine forretningsmuligheter.
Iconfirm har laget en sikker løsning for behandling av personopplysninger.