Hur följer man upp personuppgiftsbiträden över tid – mer än bara ett avtal

Att ha ett personuppgiftsbiträdesavtal på plats är en förutsättning för att leva upp till kraven i GDPR. Men det är långt ifrån tillräckligt.

Verkligt dataskydd handlar inte bara om vad som står i avtalet – utan om vad som faktiskt sker i praktiken. Följer era personuppgiftsbiträden sina åtaganden? Lever de upp till kraven på säkerhet, transparens och ansvarstagande? Och hur vet ni det – ett, två eller fem år efter att avtalet skrevs på?

Här får du konkreta tips på hur du systematiskt följer upp personuppgiftsbiträden över tid – med struktur, dokumentation och tydlig ansvarsfördelning.

Vad är ett personuppgiftsbiträde - och varför behövs ett biträdesavtal?

Ett personuppgiftsbiträde är en extern aktör som behandlar personuppgifter för den personuppgiftsansvariges räkning – till exempel en IT-leverantör, molntjänst eller HR-tjänst. Det kan handla om allt från registerhantering till utskick, lagring eller analys.

För att säkerställa att dessa aktörer hanterar uppgifterna korrekt kräver GDPR att det finns ett skriftligt avtal – ett personuppgiftsbiträdesavtal – som tydligt reglerar syftet, säkerhetskraven och ansvarsfördelningen i behandlingen.

Men bara för att ett sådant avtal finns betyder det inte att biträdet automatiskt följer det. Och det är just därför löpande uppföljning är så viktig.

Ett personuppgiftsbiträdesavtal är bara början

Det är lätt att tänka att avtalet är målet – men i realiteten är det bara starten på relationen.

Avtalet ska ange villkor, ansvar och instruktioner – men det säger ingenting om hur biträdet faktiskt hanterar personuppgifter i praktiken. Riskerna uppstår inte vid signering, utan när tekniken förändras, organisationen växer, tjänster läggs till eller rutiner inte följs.

Många dataskyddsombud och inköpare märker att det inte finns någon tydlig process för att följa upp personuppgiftsbiträden efter att avtal är på plats. Därför krävs det mer än bara juridik – det krävs ett arbetssätt.

Därför är uppföljning avgörande 

Enligt GDPR artikel 28.1 ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som garanterar att de uppfyller kraven i förordningen – både vid avtalets ingående och därefter.

Om något går fel, som ett dataintrång eller en incident kopplad till biträdet, är det den personuppgiftsansvarige som är ytterst ansvarig.

Utan löpande uppföljning riskerar ni att:

• Förlora kontroll över hur personuppgifter hanteras
  
  
• Missa brister i säkerhetsrutiner, underleverantörer eller överföringar
  
  
• Inte kunna visa att ni har agerat ansvarsfullt vid en granskning

Uppföljning handlar alltså om att visa att ni haft kontroll – inte bara trott att allt fungerat.

 Vad bör uppföljning innehålla?

En god uppföljningsprocess är riskbaserad, återkommande och dokumenterad. Det betyder inte att varje biträde måste granskas lika ofta – men att det finns ett tydligt ramverk.

Följande delar bör ingå i en strukturerad uppföljning:

• Kartläggning av alla personuppgiftsbiträden: Samla all information på ett ställe – vem gör vad, för vilken behandling, med vilka system?
  
  
• Bedömning av risknivå: Ju känsligare uppgifter eller mer omfattande behandling, desto högre uppföljningskrav.
  
  
• Genomgång av tekniska och organisatoriska säkerhetsåtgärder: Har biträdet dokumentation, rutiner och uppdaterade skydd?
  
  
• Granskning av underbiträden: Använder biträdet andra aktörer? Är de godkända, reglerade och kontrollerade?
  
  
• Kontroll av tredjelandsöverföringar: Sker överföringar utanför EU/EES, och finns det rätt skyddsmekanismer på plats?
  
  
• Dokumentation av åtgärder och beslut: All uppföljning bör vara spårbar- både internt och vid en eventuell granskning från tillsynsmyndigheten.

När uppföljning blir extra viktigt - exempel från verkligheten

Tänk er en kommun som använder ett molnbaserat journalsystem för individärenden inom socialtjänsten. Leverantören är ett väletablerat bolag med ett giltigt personuppgiftsbiträdesavtal – men kommunen har inte följt upp dem på flera år.

Plötsligt framkommer det att leverantören har börjat använda ett nytt underbiträde i USA, utan att informera kommunen. Överföringen sker utan kompletterande skyddsåtgärder, vilket innebär en potentiell överträdelse av GDPR:s krav på tredjelandsöverföringar.

Kommunen riskerar tillsyn, förlorat förtroende och – i värsta fall – sanktionsavgift. Allt på grund av att det saknats en enkel rutin för regelbunden uppföljning.

Med rätt rutiner hade förändringen kunnat upptäckas i tid, riskbedömts och hanterats korrekt – med en uppdaterad biträdeslista och tydliga avtal.

Konsekvenserna av att inte följa upp biträden över tid 

Att underlåta uppföljning kan få större konsekvenser än många tror.

Konsekvenserna inkluderar:

• Sanktionsavgifter från tillsynsmyndigheten om det visar sig att ni inte haft kontroll.
  
  
• Informationsläckor eller dataintrång som hade kunnat förhindras.
  
  
• Förlorat förtroende från allmänheten eller medarbetare – särskilt i offentlig sektor.
  
  
• Intern kritik för att rutiner saknas eller inte följts.
  
  
• Höga kostnader för att hantera incidenter i efterhand.

Det handlar alltså inte bara om efterlevnad – utan om att minimera risk, bygga förtroende och visa ansvar. Ett välfungerande uppföljningssystem är en investering i långsiktig trygghet.

 4 konkreta metoder för uppföljning

Uppföljning behöver inte vara komplicerat, men det kräver struktur. Här är några vanliga metoder:

• Enkäter eller självskattningar – En enkel start, där biträdet svarar på frågor om rutiner och säkerhet.
  
  
• Digitala granskningar – Dokumentbaserad kontroll av avtal, säkerhetsrutiner, biträdeslistor och underbiträden.
  
  
• Revision eller platsbesök – För högriskbiträden kan ni begära in rapporter eller utföra granskningar på plats.
  
  
• Automatiserade kontroller – I vissa fall kan systemstöd hjälpa till att följa upp frekvens, status och förändringar.

Poängen är inte att skapa merarbete – utan att få verklig insyn i hur personuppgifter hanteras, och att kunna agera i tid vid avvikelser.

Gör uppföljning till en naturlig del av livscykeln

För att uppföljning inte ska kännas som en extra belastning är det smart att tänka livscykel – från upphandling till avslut.

Tips:

• Ta in uppföljningskrav redan i förfrågningsunderlaget
  
  
• Lägg till kontrollpunkter i implementeringsfasen
  
  
• Gör årlig eller halvårsvis uppföljning till standard
  
  
• Följ upp extra vid större förändringar, t.ex. byte av system eller tjänst

Ju mer naturligt uppföljningen är integrerad i era befintliga processer, desto större chans att den faktiskt genomförs – och gör nytta.

Hur ofta bör man följa upp biträden? 

Det finns ingen fastställd frekvens i GDPR för hur ofta personuppgiftsbiträden ska följas upp – men principen om ansvarsskyldighet innebär att uppföljningen bör vara regelbunden, proportionerlig och riskbaserad.

Ett vanligt misstag är att bara göra en engångsgranskning. I praktiken kan detta leda till att viktiga förändringar hos biträdet går obemärkt förbi.

Generella rekommendationer:

• Hög risk (t.ex. hälsa, barn, socialtjänst): Varje år eller vid förändring
  
  
• Medelrisk (t.ex. HR, ekonomi): Vartannat år eller vid förändring
  
  
• Låg risk (t.ex. nyhetsbrev): Var tredje år eller vid förändring

Utöver det bör uppföljning alltid ske vid:

• större uppdateringar i tjänsten
  
  
• byte av underbiträde
  
  
• ändringar i överföringar utanför EU/EES
• Allt som påverkar utförandet av biträdets uppdrag

Att fastställa en egen uppföljningspolicy baserat på behandlingens känslighet kan minska både risk och arbetsbelastning.

Vanliga fallgropar att undvika

Många organisationer har avtal men saknar kontroll. Här är några klassiska misstag:

• Uppföljningen sker inte förrän något går fel
  
  
• Biträdeslistor är inaktuella eller svåra att överblicka
  
  
• Rutiner finns – men är inte kända eller använda
  
  
• Ingen vet vem som faktiskt ansvarar för uppföljningen
  
  
• Det saknas dokumentation på vad som gjorts och när

Att etablera en tydlig struktur för uppföljning är ofta det som gör skillnaden mellan kontroll och osäkerhet.

Säkra ert dataskydd - med verktyg, metodik och experthjälp

Effektivt dataskyddsarbete med rätt stöd och struktur

Att följa upp personuppgiftsbiträden är bara ett av många viktiga områden inom dataskydd – men för många organisationer blir det lätt en isolerad uppgift utan struktur, ägarskap eller kontinuitet.

Med Privacy as a Service får ni ett helhetsgrepp om dataskyddsarbetet – inte bara på avtalsnivå, men i praktiken.

Tjänsten kombinerar:

• användarvänliga verktyg
  
  
• en beprövad metodik (Systematiskt dataskyddsarbete – SDA)
  
  
• och löpande stöd från jurister och certifierade dataskyddsombud

Ni får hjälp att:

• kartlägga alla biträden och behandlingar
  
  
• identifiera riskområden och brister i uppföljning
  
  
• få konkreta åtgärdsförslag anpassade till just er organisation
  
  
• införa rutiner för dokumentation och löpande kontroll

Med en personlig kontaktperson, tydlig projektplan och kontinuerlig uppföljning får ni inte bara kontroll på era personuppgiftsbiträden – ni får struktur och framdrift i hela dataskyddsarbetet.

Boka en demo idag och se hur Privacy as a Service kan hjälpa er att arbeta effektivt, långsiktigt och lagligt - på era villkor.