På tide å tenke nytt om oppfølging av databehandlere?
Alle virksomheter er til enhver tid ansvarlig for at behandlingen av personopplysninger er sikker og lovlig. Selv når behandlingen overlates til en databehandler, plikter begge parter å sikre at GDPR etterleves i alle ledd (se f.eks. art. 5 nr. 2, art. 24, art. 28, mv.).
Det er ikke nok å ha en databehandleravtale; partene må løpende følge opp om leverandører og tjenesteytere etterlever regelverket for å sikre oversikt og kontroll i verdikjeden – for behandlingsansvarlig, databehandler, og underdatabehandler.
Men, oppfølgingsarbeidet kan være tidkrevende, kostbart, og ikke minst komplisert. Dette er særlig fordi det ikke er etablert en bransjenorm for oppfølging av GDPR-compliance. Isteden for at databehandleren bruker én metode for å dokumentere etterlevelse, må de oppgi ulik informasjonen til ulike behandlingsansvarlige som ofte sender over omfattende skjemaer som skal fylles ut, gjerne i Excel. Dette betyr merarbeid for databehandleren, men dette kan også bety inkonsekvent og mangelfull informasjon til behandlingsansvarlig.
Oppfølging av databehandlere kan skape hodebry i alle sektorer, men det er nok særlig vanskelig for kommunal sektor. Difi (Direktoratet for forvaltning og IKT) skriver i sin rapport 2018:6 «Innkjøpsordning markedsplass for skytjenester» (s. 9-14) at en «gjennomsnittlig kommune har nærmere 200 IKT-systemer i daglig bruk», og kommunene gjør masse dobbeltarbeid fordi man gjør «de samme vurderingene for samme typer systemer». Siden 2018, og i etterkant av pandemien, har antall systemer økt betraktelig, særlig i undervisningssektoren.
Lite ressurser og manglende kompetanse
I vårt arbeid med personvern erfarer vi at det fort kan gå en arbeidsdag eller to til å følge opp en databehandler – kommunikasjon med leverandør og oppdatering av informasjon tar tid. For at en kommune skal kunne følge opp sine leverandører vil dette kreve årsverk. Dette er ressurser som ikke alle kommuner har eller kan bruke. Det er også et spørsmål om kompetanse og i et innlegg fra IKT Norge henvises det til undersøkelsen IT i praksis som viser til at kun 38 % av norske kommuner at de mener de har kompetansen som trengs innen informasjonssikkerhet. Det er derfor ikke rart at så få kommuner har god oversikt og oppdatert dokumentasjon over alle sine databehandlere og underdatabehandlere.
Konsekvensen er at sannsynligheten for ulovlig databehandling øker, samt at det kan utgjøre en trussel for den registreres rettigheter og personopplysninger.
Kommunesektoren vil derfor kunne dra stor nytte av en enhetlig oppfølgingsmetode. Og det er ikke bare kommunene som høster fruktene; også databehandlerne vil spare tid og ressurser på å besvare titalls undersøkelser og skjemaer. DFØ’s markedsplass for skytjenester vil absolutt være et godt bidrag til kvalitetssikring, men mye av informasjonen her er basert på uverifisert egenrapportering.
Er løsningen hos våre danske naboer?
Løsningen på problemet trenger imidlertid ikke å være langt unna. I Danmark har det danske datatilsynet og FSR – danske revisorer laget to varianter GDPR-erklæring (revisorerklæring) etter ISAE 3000 standarden. En variant for dokumentasjon av behandlinger som typisk omfatter opplysninger med behov for særlig beskyttelse, og en enklere versjon for enklere behandlinger. Erklæringene brukes til å vise om alle prosedyrer og regler for lovlig databehandlingen er overholdt, og erklæringen skal i etterkant verifiseres av en uavhengig revisor. Rapporten kan benyttes som dokumentasjon til alle parter, og er på den måten perfekt for oppfølgingsarbeidet. Slike rapporter er vanlig i andre bransjer, f eks for leverandører innen finans og finansteknologi.
Tidligere kontorsjef Frederik Viksøe Siegumfeldt ved Det danske datatilsynet har også uttrykt at revisorerklæringen vil «utgjøre et godt grunnlag i en eventuell dialog med Datatilsynet om blant annet oppfølging av databehandlere» (19.11.20) (egen oversettelse). Revisorerklæringen sikrer derfor at alle de sentrale punktene for GDPR-etterlevelse blir dekket.
Implementering av den danske modellen i Norge
Den nye direktøren i det norske datatilsynet, Line Coll, har flere ganger uttalt seg om behovet for å oversette personvernregelverket fra papir til praksis. Vi foreslår derfor at de burde følge sine danske naboer. Et definert konsept for oppfølging av leverandører med standard rapportering som verifiseres av uavhengig revisor vil bidra til bedre personvern, være ressursbesparende og kostnadseffektivt, samt skape et godt grunnlag for fremtidig personvernarbeid i Norge.
Hvis leveransen av en slik rapport blir et krav for leverandører som ønsker å delta i norske offentlige anbud vil manglende etterlevelse være en forretningsrisiko. Dette vil være et sterkt insentiv for ledelse og investorer til å investere i god virksomhetsstyring og sikkerhet. Det vil også være med på å sikre at teknologi som tas i bruk tilfredsstiller kravene til innebygd personvern.
Personvernkommisjonens rapport (NOU 2022:11) viser også at det er et stort behov for å tenke nytt om personvern. Det er et stort behov for å styrke personvernkompetansen og kapasiteten i privat og offentlig sektor. Gapet mellom hva regelverket krever og hva som er praksis blir stadig større som følge av samfunnets iver etter digitalisering. Eksempelvis viser Datatilsynet til i sin 2021-årsrapport at de mottar flere og flere klager om brudd på personvernet, og at trenden ikke ser ut til å snu. Derfor må det settes inn smarte tiltak som faktisk fungerer. Man må gi kommuner, bedrifter og leverandører i Norge de redskapene de trenger for effektivt å sikre personvernet.
Riktig verktøy er halve jobben, og kanskje kan en norsk revisorerklæring være en viktig brekkstang for effektiv og enhetlig kvalitetssikring av leverandører!