Det er helt normalt at udlicitere IT-drift eller at anvende cloud-baseret software i en virksomhed.
Når du outsourcer en opgave til en IT-leverandør, så vil dette ofte indebære at GDPR-reglerne skal følges, da der ofte behandles personoplysninger ved brugen af IT fx IP-adresser, logins, initialer, mv.
Når du overlader dine kunders eller medarbejderes persondata til en ekstern part – uanset om det er Microsoft eller en ekstern IT-supporter – så skal du derfor sikre dig, at denne leverandør behandler personoplysningerne korrekt.
Det duer nemlig ikke, at overlade personoplysningerne til en ekstern part, hvorefter at beskyttelsen af personoplysninger forringes.
Kortlæg behandlingen
Før du begynder at outsource driften, så skal du have kortlagt din behandling af personoplysningerne, så du ved hvilken behandling, som skal overlades til en ekstern part i dette tilfælde.
Denne kortlægning bør følge de krav, som allerede er angivet i artikel 30 om at føre en fortegnelse. Herigennem vil du kende din hjemmel til at foretage behandlingen, samt fx hvilke typer af personoplysninger, som skal outsources.
Når du har det fulde kendskab til din behandling, så bør du foretage en risikovurdering af hele behandlingen.
Risikovurdering ift. brug af leverandør
Du bør allerede have foretaget en risikovurdering af din nuværende behandling af personoplysninger, som du ønsker outsourcet.
Du bør dog også foretage en risikovurdering af behandlingen ved outsourcing af denne behandling, da du jo ændrer vilkårene for denne behandling;
- Hvilke risici medfører det at outsource behandlingen af personoplysninger til den nye leverandør?
- Er disse risici acceptable eller bør du indføre yderligere foranstaltninger for at reducere risici?
Sikkerhedskrav
Du bør sikre dig, at leverandøren har indført passende sikkerhedsforanstaltninger for behandlingen af de personoplysninger, som du har ansvaret for, – samt at disse er virksomme i praksis.
Hvis du gør brug af en cloud-baseret standardløsning fx et regnskabssystem, så har du sjældent mulighed for at ændre på deres sikkerhedsforanstaltninger.
Dette kan medføre, at du bør fravælge brugen af denne løsning til din behandling.
De registreredes rettigheder
Du er dataansvarlig for den behandling af personoplysninger, som du foretager om dine kunder. Derfor skal du også efterleve de registreredes rettigheder, som er et krav, der påhviler den dataansvarlige.
Når din behandling af personoplysninger outsources til en databehandler, så skal du sikre dig, at denne databehandler også kan bistå dig med at efterleve de registreredes rettigheder.
Dette kan blandt andet indebære, at leverandøren skal kunne hjælpe dig med at give indsigt til en bruger for den specifikke behandling af en brugers persondata.
Lav en databehandleraftale
Ved indgåelsen af aftalen med leverandøren, så er det vigtigt, at I også får udarbejdet en databehandleraftale. Det er et krav i GDPR-reglerne, at der skal udarbejdes en sådan aftale, hvilket du læse mere om i artikel 28, stk. 3. Der er nogle helt særlige krav til udformningen af en databehandleraftale, som vi ikke kommer ind på i denne artikel.
Din leverandør er formentlig også databehandler for andre klienter, og vil derfor formentlig også stille en standard databehandleraftale tilrådighed for din virksomhed. Dette vil lette leverandørens compliancearbejde, da dette giver dem ensartede vilkår for samarbejdet med alle klienter.
Her er det vigtigt at tjekke, at deres aftaleudkast har alle de elementer med, som netop du skal bruge for at sikre, at personoplysningerne behandles i overensstemmelse med din risikovurdering.
Det er dit ansvar, at der er en gyldig og passende databehandleraftale da du er dataansvarlig, men omvendt har IT-leverandøren en interesse i at holde kravene til et minimum – sammen med omkostningerne.
Det kan derfor være nødvendigt at foretage ændringer til aftalen, så du kan sikre dig, at GDPR-reglerne efterleves, og at der indføres passende sikkerhedsforanstaltninger. Dette kan medføre yderligere omkostninger, da databehandlerne ofte vil kræve et tillæg for dette ekstra arbejde.
Underdatabehandlere
Din leverandør anvender formentligt også leverandører, og derfor skal du også være opmærksom på hvordan, at disse underleverandører behandler dine oplysninger. Det nytter jo ikke noget med krav til databehandleren, hvis at denne igen outsourcer hele behandling til en underleverandør, som slet ikke lever op til sikkerhedskravene, som indgår i databehandleraftalen.
Tredjelande
Du skal desuden være opmærksom på om oplysningerne bliver overført til tredjelande fx USA, da du skal sikre dig, at denne overførsel kan ske lovligt i henhold til GDPR-reglernes kapitel 5.
Tilsyn med databehandler
Det er ifølge myndighederne ikke tilstrækkeligt, at du blot har indgået en kontrakt med din leverandør til at påvise, at du efterlever GDPR-reglerne.
Myndighederne tolker databeskyttelsesreglerne således, at du også skal føre tilsyn med, at dine databehandlere efterlever indholdet i jeres databehandleraftale.
Du skal altså føre tilsyn med din IT-leverandørs efterlevelse af jeres databehandleraftale.
Her er det vigtigt at bemærke, at dine arbejdsvilkår bliver nemmere, hvis din databehandler allerede kan tilbyde dokumentation for efterlevelse af jeres aftale. Dermed kan du slippe for at bruge tid og kræfter på at føre et udførligt tilsyn af databehandleren.
Din databehandler kan give dig dokumentation for efterlevelsen af databehandleraftalen ved fx at få udarbejdet en revisionserklæring eller ved selv at udarbejde dokumentation.
Opsummering
Det kræver forarbejde at benytte sig af en IT-leverandør, hvis denne også behandler personoplysninger. GDPR-reglerne indeholder flere krav, som du skal sikre dig at efterleve ved outsourcing af IT-arbejdsopgaver til en leverandør, hvis dette medfører en behandling af personoplysninger.