Blogg: Når gikk du sist gjennom dine databehandleravtaler?

Nå er det 4,5 år siden GDPR trådte i kraft og din virksomhet med stor sannsynlighet fikk et endret perspektiv på behandling av personopplysninger. Personvernet fikk en ny vår og regelverket krevde at du og din bedrift la ned en innsats. Du laget trolig en behandlingsprotokoll og inngikk kanskje en hel del databehandleravtaler, ikke fordi du selv forstod helt hvorfor, men fordi GDPR krevde det. Kanskje hadde dere et større internprosjekt, kanskje leide dere inn konsulenter for å få drahjelp i veien mot etterlevelse. Siden den gang har personvernet kanskje blitt liggende i en digital skuff og ikke vært viet noe særlig oppmerksomhet?

Prinsippene for GDPR var i de fleste sammenhenger de samme som etter personopplysningsloven, men enkeltkravene virket strengere og vanskelig å få tak på for mange. Utviklingen på personvernområdet har imidlertid ikke stått stille siden 2018. Det er på høy tid at du finner frem igjen arbeidshanskene. 

Foruten at Datatilsynet strammer til skruen og øker antall overtredelsesgebyrer, handler det jo i bunn og grunn om at du overlater verdier - i form av virksomhetens personopplysninger og annen bedriftskritisk informasjon - til en tredjepart. Da er det lurt å ta en ekstra fot i bakken for å vurdere om de faktisk behandler dette trygt. Ja, du bør kanskje til og med sjekke om de er kontraktsmessig forpliktet til å behandle opplysningene på måten du forventer. Under følger noen tanker om hvor du bør starte og hvorfor.

 

Databehandleravtalen (DBA) 

Databehandleravtaler er særavtaler med en viss kompleksitet og for mange et noe uangripelig innhold. Avtalen skal regulere og sette rammer for behandlingen av personopplysningene til de registrerte, samt ansvarsfordelingen mellom databehandler og behandlingsansvarlig. Mange av avtalene som ble inngått rundt 2018 var/er umodne og hadde som formål å etterleve minimumsplikter, ikke nødvendigvis god ivaretakelse av de registrertes rettigheter. I et så dynamisk rettsområde som personvern er, kan det bety at deler av avtalene dine er utdatert og i enkelte tilfeller ugyldige. 

Avtalen kan muligens oppfylle minimumskravene i GDPR artikkel 28 (3) men det fjerner på ingen måte risikoen for at databehandleravtalens innhold medfører brudd på andre risikobaserte krav i forordningen. 

Databehandleravtaler inngått før 16. juli 2020 hadde ikke Schrems II-dommen å lene seg på, ergo var ikke problematikken med overføring av personopplysninger til USA den samme da, som nå. Det betyr at det er stor sannsynlighet for at opptil flere av databehandleravtalene din virksomhet er bundet av henviser til ugyldige overføringsgrunnlag - og at din virksomhet overfører personopplysninger uten rettslig grunnlag for det.

Gå inn i en tilfeldig databehandleravtale og gjennomfør: CTRL+F søk deretter «Privacy shield». Fikk du treff?  Da har du et problem med overføringer av personopplysningene. Privacy Shield er som kjent ikke lenger gyldig som overføringsgrunnlag til USA.

 

Tenk på dette:

Mange databehandleravtaler legger ikke til rette for god informasjonsutveksling rundt den faktiske behandlingen av personopplysninger. Det er mangel på gode mekanismer for kontroll på underdatabehandlere og endringer i leverandørkjeden hos databehandler. Litt for ofte mangler tilstrekkelig regulert revisjonsadgang og virksomheter har ikke alltid full oversikt over hvilke personopplysninger databehandler og underdatabehandler kan se. Vi ser stadig vekk varslingsfrister som ikke er holdbare og som utgjør stor risiko for behandlingsansvarlig. Manglende oversikt og upresise instrukser medfører stor risiko for både de registrerte og behandlingsansvarlig. 

Og dersom du er en databehandler, er egentlig behandlingen av personopplysninger i henhold til instruks? Hvilke varslingsfrister gjelder? Hvordan skal du egentlig håndtere forespørsler om innsyn, eller sletting? Det kan få økonomiske konsekvenser og føre til omdømmetap for din virksomhet hvis du handler i strid med instruks og avtale.

Like viktig som at du må ha adgang og muligheten til å kontrollere at databehandleren oppfyller sine forpliktelser bør du også sørge for at sikkerhetsinnstillingene ivaretar informasjonssikkerheten både hos deg og hos databehandler. Litt mer om kontroll på sikkerhetsinnstillinger i skyen kan du lese her.

 

What to do?

Her følger 6 tips til deg som kjente det knyte seg litt i magen når du innså eller kom på at din virksomhet har en del databehandleravtaler du ikke har sett på siden 2018:

  1. Få oversikt. Dersom du ikke har på plass et avtaleregister som gir deg fullstendig oversikt over databehandleravtalene i virksomheten, fiks det. Mangler det avtaler? Dette er også en gyllen anledning til å oppdatere behandlingsprotokollen. Hvilken informasjon deler dere egentlig?
  2. Gyldighetskontroll – er avtalene gyldig? Oppfyller de minimumskravene? Foreligger det gyldig overføringsgrunnlag?
  3. Risikokontroll – kartlegg og vurder avtalenes risiko. Hva kan godtas og hva kan ikke?
  4. Dialog – gå i dialog med leverandør angående de punktene som er uakseptable, uavklarte eller du ønsker endret. 
  5. Fortsett oppfølgingen – få revisjon av avtalene og leverandørene inn i et årshjul eller liknende og følg de opp minimum årlig. Hold databehandlerne ansvarlige for kontraktens innhold – opprettholder de kravene til sikkerhet? Har de nye leverandører? Har de fulgt slettefrister? 
  6. Kontakt BDO Risk Advisory Services for bistand – vi har et av Norges ledende miljøer innen personvern og informasjonssikkerhet og kan gjennomføre 1-5.