Är du medveten om molnleverantörens roll i hanteringen av personuppgifter? I många organisationer delas data med olika tjänster varje dag, men ansvaret för hur uppgifterna hanteras ligger fortfarande kvar hos den som äger dem. I den här guiden går vi igenom fyra steg som gör det enklare att utvärdera leverantörer på ett tryggt och hållbart sätt.
När ni utvärderar en leverantör är det första steget att reda ut de juridiska rollerna. Det är grunden för att personuppgifter ska hanteras på rätt sätt.
För SaaS-tjänster brukar fördelningen se ut så här:
När ett personuppgiftsbiträde används ska det finnas ett skriftligt avtal – ett så kallat personuppgiftsbiträdesavtal (PuB-avtal). Avtalet ska beskriva behandlingens syfte, omfattning och varaktighet, så att roller och ansvar blir tydligt för båda parter.
I vissa fall är det inte helt självklart vem som har vilken roll. Till exempel kan en SaaS-leverantör hävda att de inte är ett personuppgiftsbiträde:
I vissa situationer kan ni också vara gemensamt personuppgiftsansvariga, om ni tillsammans bestämmer syftet med behandlingen.
En felbedömning av rollerna, till exempel om ett PuB-avtal saknas trots att leverantören fungerar som biträde, kan skapa problem med regelefterlevnaden. Därför är det klokt att börja med att säkerställa att rollerna är korrekt definierade och att rätt avtal finns på plats.
När den juridiska klassificeringen har fastställts, måste ni bedöma leverantörens faktiska förmåga att skydda uppgifterna. Denna inledande granskning fokuserar på två huvudpunkter i GDPR: Artikel 32 (säkerhet) och Artikel 24 (ansvarsskyldighet).
En bra granskning visar om leverantören verkligen har kontroll på sina rutiner, system och människor. Det är det som ofta kallas due diligence. Ett starkt dataskydd kräver balans mellan teknik och mänskliga rutiner, leverantören bör kunna visa hur de arbetar med båda delarna.
Kryptering: Personuppgifter ska skyddas både när de lagras och när de skickas.
Behörigheter: Tillgången till data ska vara begränsad – ingen ska ha mer rättigheter än nödvändigt.
Tester: Regelbundna sårbarhetstester visar att systemen håller tätt över tid.
Utbildning: Personal som hanterar data behöver kontinuerlig träning i dataskydd.
Rutiner: Det ska finnas tydliga regler för vem som får se kundinformation – och varför.
Fysisk säkerhet: Datacenter bör ha strikta säkerhetsåtgärder, som exempelvis inpasseringskontroll.
Certifieringar gör det enklare att bedöma leverantörens säkerhetsnivå. De fungerar som oberoende bevis på att rutinerna faktiskt fungerar.
ISO 27001: Visar att leverantören arbetar systematiskt med informationssäkerhet.
SOC 2 (Type II): En extern rapport som bekräftar att säkerhetskontrollerna efterlevs i praktiken över tid.
För många företag är samarbeten med externa leverantörer utanför EU vanligt, som exempelvis molntjänster, teknisk support och utveckling.
När personuppgifter lämnar EU/EES-området, kallas det för tredjelandsöverföring. Efter den uppmärksammade Schrems II-domen är det inte längre säkert att enbart standardavtalklausuler räcker för att leva upp till GDPR. Den enskildes integritetsskydd måste vara lika starkt överallt, oavsett var datan behandlas.
Det är inte helt ovanligt att företag tror att datan är skyddad, bara för att den lagras på servrar i Europa. Men det är tyvärr en missuppfattning. Om personal utanför EU har tillgång till datan, räknas det ändå som en tredjelandsöverföring. Detta gäller även om servern står i EU. Därför måste man fokusera på vem som kan se och hantera datan istället för var den fysiskt lagras.
För att lagligt föra över data utanför EU används oftast Standardavtalsklausuler (SCC). Dessa är ett juridiskt avtal för datahanteringen. Men sedan Schrems II-domen räcker SCC inte längre. Du måste nu göra en egen säkerhetsbedömning, en så kallad Transfer Impact Assessment (TIA).
TIA avgör om skyddet i mottagarlandet verkligen lever upp till GDPR. Följande åtgärder är bra att ha i åtanke för att ert skydd ska bedömas som tillräckligt och för att en TIA ska bli godkänd:
Utvärdera skyddet: Se om era Standardavtalsklausuler är tillräckliga för just den aktuella överföringen.
När samarbetet med leverantören är igång handlar det om att behålla kontrollen över tid. Dataskydd är inget man gör en gång, det kräver uppföljning och tydliga rutiner om något går fel.
Säkerhetsincidenter kan hända, oavsett hur väl förberedd man är. Därför ska avtalet slå fast att leverantören kan upptäcka, åtgärda och rapportera intrång snabbt, helst inom 24 timmar. Det är viktigt för att ni som personuppgiftsansvarig ska kunna anmäla allvarliga incidenter till IMY inom 72 timmar.
Leverantören ska också kunna hjälpa till när en registrerad vill utöva sina rättigheter, till exempel genom att radera eller lämna ut data.
Dataskydd kräver ett kontinuerligt arbete. Det är inte en engångsaktivitet, utan en process för löpande utvärdering. För att uppfylla ert ansvar måste ni årligen begära och granska nya säkerhetsbevis och revisionsrapporter. Granskningsrätten (Audit Right) i PuB-avtalet är därför kritisk för er ansvarsskyldighet. Den ger er möjlighet att, antingen själva eller genom en oberoende revisor, granska leverantörens system och efterlevnad. Utan denna rättighet är ni helt utlämnade åt leverantörens egna försäkringar.
Ett bra avtal är mer än ett lagkrav – det är grunden för ett stabilt och långsiktigt samarbete.
Teknisk prestanda i all ära, men utan tydliga juridiska ramar riskerar även den bästa lösningen att skapa problem längre fram.
Enligt GDPR är ett Personuppgiftsbiträdesavtal (PuB-avtal) obligatoriskt när personuppgifter behandlas för annans räkning. Avtalet måste antingen vara ett separat dokument eller integreras i huvudavtalet och tydligt reglera samtliga villkor för behandlingen.
Att välja en SaaS-leverantör handlar i slutändan om balans mellan innovation och integritet. Med ett genomtänkt avtal på plats står samarbetet stadigt – både tekniskt och juridiskt.
Noggrannhet i det här skedet handlar inte bara om att följa regler, utan om att visa respekt för de människor vars data ni hanterar. Denna respekt är kärnan i ett hållbart dataskydd.
Med rätt stöd och verktyg har ni alltid kontroll över ert dataskydd – och kan fokusera på verksamheten med trygghet i att ni står rustade för framtidens hot. Vill du veta hur du utvärderar leverantörer smartare? Missa inte premiären av vårt webbinarium där vi delar våra bästa tips!
Anmäl dig till webbinariet här!
Prioritera tiden smartare än dina konkurrenter, utan att kompromissa med dataskyddets kvalitet. Boka en demo så visar vi er hur ni får ordning på alla leverantörer.