GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?
GDPR och outsourcing vem bär ansvaret? Vi har under de senaste åren kunnat följa en utveckling där allt fler företag och myndigheter väljer att lägga ut delar av verksamheten på externa aktörer, så kallad outsourcing. Men vad händer egentligen när den nya dataskyddsförordningen, GDPR, träder i kraft, och vem står som ansvarig om något händer med din outsourcade data? Vi har tittat närmare på vad lagen säger och vad du bör tänka på när du kravställer mot din leverantör. Från och med den 25 maj 2018 kommer den nya Dataskyddsförordningen ställa ökade krav på företag och myndigheter som behandlar personuppgifter. Förutom att den registrerade har rätt till åtkomst av sina uppgifter kan den även när som helst återkalla sitt samtycke och kräva att uppgifterna ska raderas. Vid intrång och läckt data är det drabbade företaget även skyldiga att incidentrapportera till Datainspektionen inom 72 timmar och eventuellt berörda parter. Överträdelse mot lagen kan dels leda till böter på upp till 4 % av den globala omsättningen, men även till andra indirekta kostnader. Sentors årliga undersökning om IT-säkerhet visar bland annat att 96 % av de tillfrågade skulle avstå från att samarbeta med en organisation som har läckt eller missbrukat känslig data. Allt fler företag väljer att lägga ut drift och förvaltning av sina IT-lösningar hos externa parter. Anledningarna bakom outsourcing är ofta ekonomiska eller för att tillgodose kompetensbehov. Men baksidan av outsourcing är att du kan förlora kontrollen över din data, vilket utgör en kritisk aspekt när GDPR träder i kraft. Som personuppgiftsansvarig kan du nämligen bara outsourca driften men aldrig risken. Det gör det än viktigare att ställa bra och tydliga krav på din leverantör för att garantera att informationssäkerheten blir integrerad i avtalet. Vi har sammanställt en checklista på vad du som personuppgiftsansvarig bör tänka när du granskar ett befintligt eller ska teckna ett nytt outsourcingavtal. Inventera dina personuppgifter För att kunna avgöra vilka funktioner av verksamheten som är mål för outsourcing eller ännu viktigare, inte lämpar sig för outsourcing måste du först och främst identifiera vilken information, och specifikt vilka personuppgifter, organisationen hanterar. Kartlägg alla system, integrationspunkter, samarbetspartners och leverantörer som är inblandade i datahanteringen. När all information är identifierad klassificerar du den ur ett säkerhetsperspektiv i överensstämmelse med GDPR:s stadgar. Vilken information är direkt verksamhetskritisk och vilken ligger i gråzonen? Ha i åtanke att även enskilda personuppgifter, såsom namn eller kön som kan betraktas harmlösa var för sig, i kombination kan bli känslig data (Artikel 9). Ett namn ur ett dagligvarubutiks databas kanske inte är känslig data i sig, men tillsammans med information om köpvanor blir den desto känsligare. Gör sedan en objektiv bedömning huruvida den interna IT-avdelningen besitter tillräcklig kompetens för att hantera olika nivåer av känslig information. I många fall saknar den egna organisationen kompetens, resurser och verktyg för att hantera olika typer av känslig information. I de fallen är en kvalificerad outsourcingpartner ett bra val ur ett integritetsperspektiv förutsatt att det sker under kontrollerade former, vilket vi kommer titta närmare på i kommande punkter. Oavsett om driften ligger internt eller externt ska väldigt känslig information alltid hanteras med rigorösa kontroller på plats. Vid hemlig information finns andra direktiv såsom säkerhetsskyddslagen som beskriver kraven. Om detta
inte är möjligt, måste verksamheten kunna bevisa att den känsligaste informationen faktisk skyddas i den omfattning som krävs. Ett steg som ofta glöms bort är årliga revisioner av leverantören där bevis för att skyddet uppfyller de krav som förhandlats fram ska presenteras. Ställ rätt krav med hjälp av rätt kompetens När outsourcingavtal ska formuleras är det traditionellt sett inte IT-avdelningen som håller i taktpinnen. Men när GDPR träder i kraft kommer en helt ny dimension av informationssäkerhet in i bilden som också kräver rätt kompetens vid avtalsbordet. Genom att involvera experter i kravställningen kan du i högre grad säkerställa att avtalet tillgodoser de krav på konfidentialitet, tillgänglighet och spårbarhet som GDPR ställer. Rent praktiskt kan det till exempel handla om att verifiera att leverantörens lagringslösningar, backup-rutiner och loggning motsvarar verksamhetens behov och uppfyller säkerhetskraven. Låt de med rätt kompetens utforma en långsiktig plan för incidenthantering, revision och policys; Vad händer när en incident inträffar, hur ska den hanteras och vad har leverantören för skyldigheter gentemot dig? Hur ofta ska avtalet följas upp, och vad händer om leverantören har brutit mot det? Vilka ska ha behörighet till informationen och varför? Alla aspekter bör behandlas, och det görs både bäst och enklast av de som är väl insatta. Hur ser leverantörens egen IT-säkerhet ut? När du står inför valet av leverantör är det viktigt att välja en leverantör som tar IT-säkerheten på lika stort allvar som dig. Låt inte ekonomin avgöra vilken leverantör som ror hem avtalet innan du har säkerställt att samtliga aktörer i urvalsgruppen lever upp till säkerhetskraven. Undersök om leverantören använder några preventiva åtgärder för att skydda sig mot incidenter. Privacy by design, eller inbyggd integritet, är till exempel ett effektivt sätt att undvika fallgropar genom att se till att säkerhetsmekanismer är inbyggda i IT-systemen från början. Att kryptera känslig information och göra den oanvändbar om den skulle hamna i fel händer är ett annat sätt att skydda sig. Vidare kan aktiviteter som penetrationstest testa hur motståndskraftig säkerheten är och vad som eventuellt bör åtgärdas. Se även till att inkludera en klausul i kontraktet som fastställer att leverantörens IT-säkerhet ska få analyseras på regelbunden basis. Vem är leverantör åt din leverantör? Som personuppgiftsansvarig är det din uppgift att se till att dina personuppgiftsbiträden (leverantörer) efterlever GDPR. Men det är även ditt ansvar att potentiella underleverantörer till dina leverantörer också uppfyller säkerhetskraven. Outsourcar din leverantör vidare din data till ett ytterligare led står du fortfarande som personuppgiftsansvarig, men det kan bli desto svårare för dig att kvalitetssäkra hanteringen av informationen. Ett exempel är personuppgiftsincidenter som ska anmälas till Datainspektionen och berörda parter inom 72 timmar. Hanteras informationen av flera parter och det saknas en effektiv och systematisk metod att hitta och hantera uppgifterna kan ledtiderna bli kritiskt långa. Kartlägg leverantörskedjan. Vart lagras och hanteras all data slutligen, och hur transporteras den mellan leden? Kravställ även att din leverantör står som ansvarig om dess underleverantör överträder lagen. Be gärna om leverantörens egen leverantörshistorisk. Har din leverantör bytt underleverantör flera gånger kan det vara en god idé att avtala om att personuppgiftsbiträdet ska informera vid ett sådant byte.
Är ett tredje land inblandat? Tack vare att GDPR säkerställer att EU:s medlemsländer har ett likvärdigt dataskydd kan personuppgifter överföras fritt mellan landsgränserna. Däremot kräver GDPR starka kontroller vid överföring av personuppgifter utanför EU och EES, till ett så kallat tredje land. Det finns dock ett antal undantag som gör det möjligt för företag utanför EU att behandla personuppgifter. Ett företag från ett tredje land kan till exempel ingå ett avtal som säkerställer att det lever upp till den standard EU-kommissionen har utfärdad. Ett annat undantag är det så kallade Privacy Shieldprogrammet som tillåter registrerade amerikanska företag att behandla personuppgifter inom EU. Hur många kunder har din leverantör? Hotbilden mot tjänsteleverantörer ökar. Tidigare i år utsattes företag världen över, inklusive i Sverige, för cyberattacken Cloud Hopper. Angreppet var riktat mot tjänsteleverantörer för att på så sätt komma åt känslig information om deras kunder. I Sverige delar ett fåtal aktörer på hela marknaden, vilket gör dem till ett tacksamt mål för den som vill komma åt mycket information eller åsamka så stor skada som möjligt. Desto fler kunder din leverantör har, desto större mål blir den för intrång. Delar du dessutom leverantör med högriskkunder, såsom myndigheter och banker, ökar hotbilden ytterligare. Hur separerar leverantören informationen? Din leverantör behandlar sannolikt en stor mängd information från en stor mängd kunder. Som personuppgiftsansvarig bör du se till att dina leverantörer har tillräckliga säkerhetskontroller på plats som skyddar kundernas specifika domäner från externa hot, men även förhindrar dataläckage emellan kundernas domäner/miljöer. Hur flexibel är din leverantör? Säkerställ att det är relativt enkelt att byta leverantör om de inte lever upp till kraven. Om avtalet sägs upp är det även oerhört viktigt att leverantören inte får behålla någon information, men det är lättare sagt än gjort. En förutsättning för att kunna ta bort all data är att veta var den finns. Informationen ligger kanske inte enbart lagrad i en databas, den kan även finnas i säkerhetskopior eller gamla register. Kravställ att få veta var all information lagras så att du på ett smidigt sätt kan ta bort den om du lämnar leverantören. Säkerställ även att metoderna för borttagning av data är så pass goda att kundernas data inte kan återskapas. Har ni frågor om GDPR och outsourcing? Sentor hjälper såväl stora som små bolag att efterleva rådande personlagstiftning. Har ni frågor kopplade till GDPR och outsourcing är det bara att kontakta oss. Skicka ett mail till eller ring oss på.
Huvudkontoret Regionkontor Syd Sentor MSS AB Björn Trädgårdsgränd 1 116 21 Stockholm +46 (0)8 545 333 00 Sentor MSS AB Adelgatan 21 211 22 Malmö +46 (0)8 545 333 00