Leverantörsutvärdering - Den viktiga hörnstenen i GDPR

I dagens digitala landskap använder man sig externa parter i nästan alla organisationer i någon form av personuppgiftsbehandling – från molntjänster och lönesystem till analysverktyg. Det stora problemet är att många missar en kritisk faktor gällande dataskyddet, leverantörsutvärderingen: du kan outsourca tjänsten, men du kan aldrig outsourca ansvaret. Leverantörsutvärdering är viktigt för dataskyddet och för efterlevnaden, oavsett bransch. 

Som personuppgiftsansvarig behåller ni det fulla juridiska ansvaret för personuppgifterna, även när de hanteras av era leverantörer och samarbetspartners. Därför är en noggrann leverantörsutvärdering det viktigaste beviset på att ni uppfyller principen om ansvarsskyldighet enligt GDPR för era externa partners. Draftit kommer i en serie blogginlägg att djupdyka i ämnet dataskydd kopplat till leverantörer. Vi kommer gå igenom vad organisationen behöver göra för att utvärdera, bedöma och hantera era leverantörer.

Varför utvärdering av dataskydd och leverantörsbedömning är ditt viktigaste bevis 

Det är viktigt att ni tar ert dataskydd på allvar. Principen om ansvarsskyldighet (artikel 5.2 GDPR) kräver att ni kan visa och dokumentera att ni har vidtagit lämpliga åtgärder för att visa att ni följer GDPR. Denna dokumentation börjar med att ni utvärderar vilken relation ni har till den partners och potentiella leverantörer.

Innan ni tecknar avtal med partners eller potentiella leverantörer bör ni utvärdera vilken GDPR-relation kommer att ha:

1. Personuppgiftsbiträde: Behandlar personuppgifter för er räkning. Kräver ett PUA (Personuppgiftsbiträdesavtal).
2. Gemensamt personuppgiftsansvarig: Ni bestämmer gemensamt ändamålen och medlen för behandlingen. Kräver ett särskilt inbördes arrangemang, i form av ett datadelningsavtal.
3. Enbart leverantör: Tjänster som har tillgång till dina personuppgifter men inte behandlar dem, exempelvis leverantörer som erbjuder molntjänster och andra typer av plattformar.

Välj leverantör med tillräcklig säkerhet för ett bra dataskydd 

När relationen är fastställd ska ni välja en leverantör som kan garantera tillräcklig säkerhet för era data. Att slarva med denna bakgrundskontroll kan få allvarliga konsekvenser.

Ett exempel är när tillsynsmyndigheter som IMY (Integritetsskyddsmyndigheten) riktar sanktioner mot er som personuppgiftsansvarig på grund av brister hos era personuppgiftsbiträden. Om er leverantör orsakar en incident och ni inte kan visa att ni har genomfört en tillräcklig bakgrundskontroll, står ni som primärt ansvariga. Konsekvensen blir då att ni riskerar höga sanktionsavgifter och enskilda skadestånd. Er GDPR-dokumentation måste bevisa att ni noggrant har utvärderat er leverantörskedja och valt partners som har robust dataskydd. Ert dataskyddsansvar sträcker sig längre än er egen organisation. 

GDPR kräver att ni kan bevisa er insats: kolla upp era leverantörer

Att ta dataskydd på allvar räcker inte – ni måste kunna visa att ni gör det!

Enligt GDPR-regeln om ansvarsskyldighet (artikel 5.2) måste ni dokumentera och visa att ni har gjort rätt saker för att följa lagen. Den här dokumentationen är ert viktigaste bevis om något går fel.

Arbetet för bevis börjar när ni ska välja en ny partner eller leverantör. Ni måste först klargöra:

1. Är de ett personuppgiftsbiträde ? De behandlar data på era vägnar. Då krävs strängast koll och ett speciellt PUB-avtal. I så fall måste ni säkerställa striktast kontroll och omedelbart upprätta ett PUB-avtal.
2. Är ni gemensamt ansvariga? Ni bestämmer tillsammans hur data ska användas.
3. Är de en vanlig leverantör? De hanterar inte era personuppgifter alls men har ändå tillgång till dem.

När ni vet det, måste ni välja en leverantör som kan garantera god säkerhet. Detta gör ni genom en noggrann leverantörsbedömning även kallad bakgrundskontroll.

Undvik dyra sanktionsavgifter – kolla upp dem noga

Tillsynsmyndigheter som IMY (Integritetsskyddsmyndigheten) har gett organisationer höga sanktionsavgifter just för att de hade brister hos sina leverantörer (biträden).Om er leverantör orsakar en incident och ni inte kan visa att ni gjorde en tillräcklig bakgrundskontroll, är det ni som blir hållna ansvariga. Ni riskerar då sanktionsavgifter och dåligt rykte.

Att göra en ordentlig leverantörsbedömning är ert bästa skydd mot problem. Det är det tydligaste beviset på att ni följer GDPR och tar datasäkerhet på största allvar.

När tredjepartsrisken blir verklighet: Attacken mot en svensk systemleverantör

Behovet av ordentlig leverantörsutvärdering och robust hantering av externa parter fick en akut bekräftelse under den omfattande cyberattacken som skedde mot en svensk systemleverantör i augusti 2025. Incidenten var en skarp väckarklocka för alla organisationer som hanterar personuppgifter.

Attacken, som var en sofistikerad utpressning genom ransomware, ledde till att känsliga personuppgifter inklusive personnummer och information om sjukfrånvaro för över miljon anställda i hundratals kommuner, regioner och företag stals och publicerades på Darknet. Detta var ett massivt dataläckage orsakat av en säkerhetsbrist hos ett personuppgiftsbiträde.

Ansvarsskyldighet: Du kan inte outsourca ansvaret för GDPR

Denna incident visar på det fundamentala ansvaret enligt GDPR och ansvarsskyldigheten:

Ni kan outsourca driften till en extern part, men ni kan aldrig outsourca det juridiska ansvaret för dataskyddet.

Även om det var leverantören som drabbades direkt, var det de personuppgiftsansvariga organisationerna som satt i knipa, det är de som har det fulla juridiska ansvaret för de stulna uppgifterna. Attacken ledde omedelbart till att alla berörda personuppgiftsansvariga var tvungna att anmäla incidenten till IMY. Om de personuppgiftsansvariga inte kan visa att de genomför en tillräcklig leverantörsbedömning (eller leverantörsuppföljning), brister de direkt mot principen om ansvarsskyldighet enligt GDPR. Konsekvensen blir att de själva riskerar sanktionsavgifter för brister som deras leverantör orsakade.

Hur ska leverantörer utvärderas – och hur ofta?

Leverantörsutvärderingen är ingen engångsföreteelse. Den ska ske innan avtal tecknas och sedan följas upp löpande (vanligtvis årligen eller oftare vid större förändringar). Om personuppgiftsbehandlingen exempelvis rör uppgifter om barn, stora volymer av personuppgifter, känsliga personuppgifter eller uppgifter om brott, bör utvärderingen ske kvartalsvis.

Detaljer i utvärderingen:

Utvärderingen måste granska både tekniska, organisatoriska och juridiska aspekter:

1. Teknisk säkerhet: Granska de åtgärder leverantören har för att skydda datan. Ingår kryptering (både vid lagring och överföring)? Hur ser rutinerna ut för åtkomstkontroll? Viktigast är att de har robusta lösningar för återställning och backup för att minimera risken för dataförlust.
   
   
2. Organisatoriska rutiner: Se över leverantörens processer för incidenthantering – hur snabbt kan de upptäcka och meddela er om en incident? Kontrollera även hur deras personal utbildas i dataskydd och hur de hanterar rättigheterna för era registrerade, vid exempelvis registerutdrag.
   
   
3. Juridik och geografi: Säkerställ att ni har ett korrekt utformat personuppgiftsbiträdesavtal eller avtal om gemensamt personuppgiftsansvar på plats. Undersök också var data lagras. Om data överförs utanför EU/EES, måste ni ha laglig grund för överföringen och leverantörens utvärdering måste omfatta en analys av lagstiftningen i ett tredjeland. 

Konsekvenserna av att misslyckas med leverantörsutvärderingen

Att inte prioritera leverantörsutvärderingar och därmed riskera en bristfällig leverantörshantering kan få svåra konsekvenser. Bristande dokumentation är ett direkt brott mot ansvarsskyldigheten och kan leda till höga sanktionsavgifter från IMY. Utöver de ekonomiska straffen riskerar ni skadeståndsanspråk från drabbade individer och förlust av kundförtroende som kan ta långt tid att reparera. Genom att göra leverantörsbedömningen till en systematisk och väl dokumenterad process minskar ni inte bara era juridiska risker, ni visar också att ni tar ansvar för era kunders och anställdas integritet, vilket är grunden i effektiv GDPR-efterlevnad.

Säkerställ GDPR-efterlevnad: Så förändrar vi er tredjepartsriskhantering

I en tid där dataskydd och regelefterlevnad står i centrum, utgör tredjepartsrisker en av de största utmaningarna för företag. När ni anlitar personuppgiftsbiträden eller outsourcar processer, överlåter ni samtidigt ansvaret för känslig data. Hur kan ni vara säkra på att era partners lever upp till de strikta kraven i GDPR och skyddar era kunders information? Att manuellt granska avtal, följa upp säkerhetsrutiner och dokumentera leverantörsbedömningar är tidskrävande, riskfyllt och ofta ineffektivt. Med hjälp av metoder för leverantörsuppföljning får full kontroll och översikt, vilket drastiskt minskar risken för dataintrång och kostsamma sanktioner. 

Nytt verktyg för GDPR-efterlevnad

Idag är leverantörsbedömning och säkerhetsutvärderingar nödvändighet för att garantera dataskydd och GDPR-efterlevnad. Att manuellt hantera och övervaka alla era tredjepartsleverantörer, personuppgiftsbiträden och personuppgiftsansvarig är en tidskrävande och komplex process som ökar risken för misstag och dyra sanktioner.

Draftit kan snart presentera en ny lösning för just detta ändamålet: Ett nytt verktyg för att hantera leverantörer. Detta verktyg är speciellt utformat för att hjälpa organisationer att effektivt identifiera, bedöma och hantera de leverantörsrisker som direkt påverkar dataskyddsarbetet.

Det nya verktyget är utvecklat för att förenkla riskhantering av tredje part:

1. Leverantörsbedömning: Genom strukturerade processer och anpassade mallar kan ni snabbt och enkelt utvärdera leverantörer och deras förmåga att möta era krav på säkerhet och GDPR-krav. 
2. Hantering av avtal: Plattformen hjälper er att spåra och säkerställa att ni har korrekta och uppdaterade avtal på plats, vilket är ett grundläggande krav enligt GDPR.
3. Löpande Leverantörsuppföljning: Risker förändras över tid. Vårt verktyg underlättar den löpande granskningen av leverantörer och partners, vilket säkerställer att ni kontinuerligt uppfyller er dokumentationsplikt och principen om ansvarsskyldighet.

Följ GDPR effektivare

Med våra verktyg frigör ni tid och resurser som kan läggas på kärnverksamheten. Med vår plattform får ni en spårbar och trygg metodik för ert GDPR-arbete, vilket ger er det starkaste beviset på att ni tagit ert dataskydd på allvar.

Håll utkik, snart kommer mer detaljerad information om hur detta verktyg kommer förenkla er leverantörsutvärdering.

Ta nästa steg och boka ett möte 

Boka en demo redan idag! Få direkt stöd av våra GDPR-experter och en beprövad metodik som gör ert dataskydd både tryggt och effektivt.

Boka en demo och få stöd av experter, verktyg och metodik som gör GDPR-arbetet tryggt och spårbart.