I dagens digitala landskap använder man sig externa parter i nästan alla organisationer i någon form av personuppgiftsbehandling – från molntjänster och lönesystem till analysverktyg. Det stora problemet är att många missar en kritisk faktor gällande dataskyddet, leverantörsutvärderingen: du kan outsourca tjänsten, men du kan aldrig outsourca ansvaret. Leverantörsutvärdering är viktigt för dataskyddet och för efterlevnaden, oavsett bransch.
Som personuppgiftsansvarig behåller ni det fulla juridiska ansvaret för personuppgifterna, även när de hanteras av era leverantörer och samarbetspartners. Därför är en noggrann leverantörsutvärdering det viktigaste beviset på att ni uppfyller principen om ansvarsskyldighet enligt GDPR för era externa partners. Draftit kommer i en serie blogginlägg att djupdyka i ämnet dataskydd kopplat till leverantörer. Vi kommer gå igenom vad organisationen behöver göra för att utvärdera, bedöma och hantera era leverantörer.
Det är viktigt att ni tar ert dataskydd på allvar. Principen om ansvarsskyldighet (artikel 5.2 GDPR) kräver att ni kan visa och dokumentera att ni har vidtagit lämpliga åtgärder för att visa att ni följer GDPR. Denna dokumentation börjar med att ni utvärderar vilken relation ni har till den partners och potentiella leverantörer.
Innan ni tecknar avtal med partners eller potentiella leverantörer bör ni utvärdera vilken GDPR-relation kommer att ha:
När relationen är fastställd ska ni välja en leverantör som kan garantera tillräcklig säkerhet för era data. Att slarva med denna bakgrundskontroll kan få allvarliga konsekvenser.
Ett exempel är när tillsynsmyndigheter som IMY (Integritetsskyddsmyndigheten) riktar sanktioner mot er som personuppgiftsansvarig på grund av brister hos era personuppgiftsbiträden. Om er leverantör orsakar en incident och ni inte kan visa att ni har genomfört en tillräcklig bakgrundskontroll, står ni som primärt ansvariga. Konsekvensen blir då att ni riskerar höga sanktionsavgifter och enskilda skadestånd. Er GDPR-dokumentation måste bevisa att ni noggrant har utvärderat er leverantörskedja och valt partners som har robust dataskydd. Ert dataskyddsansvar sträcker sig längre än er egen organisation.
Att ta dataskydd på allvar räcker inte – ni måste kunna visa att ni gör det!
Enligt GDPR-regeln om ansvarsskyldighet (artikel 5.2) måste ni dokumentera och visa att ni har gjort rätt saker för att följa lagen. Den här dokumentationen är ert viktigaste bevis om något går fel.
Arbetet för bevis börjar när ni ska välja en ny partner eller leverantör. Ni måste först klargöra:
När ni vet det, måste ni välja en leverantör som kan garantera god säkerhet. Detta gör ni genom en noggrann leverantörsbedömning även kallad bakgrundskontroll.
Tillsynsmyndigheter som IMY (Integritetsskyddsmyndigheten) har gett organisationer höga sanktionsavgifter just för att de hade brister hos sina leverantörer (biträden).Om er leverantör orsakar en incident och ni inte kan visa att ni gjorde en tillräcklig bakgrundskontroll, är det ni som blir hållna ansvariga. Ni riskerar då sanktionsavgifter och dåligt rykte.
Att göra en ordentlig leverantörsbedömning är ert bästa skydd mot problem. Det är det tydligaste beviset på att ni följer GDPR och tar datasäkerhet på största allvar.
Behovet av ordentlig leverantörsutvärdering och robust hantering av externa parter fick en akut bekräftelse under den omfattande cyberattacken som skedde mot en svensk systemleverantör i augusti 2025. Incidenten var en skarp väckarklocka för alla organisationer som hanterar personuppgifter.
Attacken, som var en sofistikerad utpressning genom ransomware, ledde till att känsliga personuppgifter inklusive personnummer och information om sjukfrånvaro för över miljon anställda i hundratals kommuner, regioner och företag stals och publicerades på Darknet. Detta var ett massivt dataläckage orsakat av en säkerhetsbrist hos ett personuppgiftsbiträde.
Denna incident visar på det fundamentala ansvaret enligt GDPR och ansvarsskyldigheten:
Ni kan outsourca driften till en extern part, men ni kan aldrig outsourca det juridiska ansvaret för dataskyddet.
Även om det var leverantören som drabbades direkt, var det de personuppgiftsansvariga organisationerna som satt i knipa, det är de som har det fulla juridiska ansvaret för de stulna uppgifterna. Attacken ledde omedelbart till att alla berörda personuppgiftsansvariga var tvungna att anmäla incidenten till IMY. Om de personuppgiftsansvariga inte kan visa att de genomför en tillräcklig leverantörsbedömning (eller leverantörsuppföljning), brister de direkt mot principen om ansvarsskyldighet enligt GDPR. Konsekvensen blir att de själva riskerar sanktionsavgifter för brister som deras leverantör orsakade.
Hur ska leverantörer utvärderas – och hur ofta?
Leverantörsutvärderingen är ingen engångsföreteelse. Den ska ske innan avtal tecknas och sedan följas upp löpande (vanligtvis årligen eller oftare vid större förändringar). Om personuppgiftsbehandlingen exempelvis rör uppgifter om barn, stora volymer av personuppgifter, känsliga personuppgifter eller uppgifter om brott, bör utvärderingen ske kvartalsvis.
Detaljer i utvärderingen:
Utvärderingen måste granska både tekniska, organisatoriska och juridiska aspekter:
Att inte prioritera leverantörsutvärderingar och därmed riskera en bristfällig leverantörshantering kan få svåra konsekvenser. Bristande dokumentation är ett direkt brott mot ansvarsskyldigheten och kan leda till höga sanktionsavgifter från IMY. Utöver de ekonomiska straffen riskerar ni skadeståndsanspråk från drabbade individer och förlust av kundförtroende som kan ta långt tid att reparera. Genom att göra leverantörsbedömningen till en systematisk och väl dokumenterad process minskar ni inte bara era juridiska risker, ni visar också att ni tar ansvar för era kunders och anställdas integritet, vilket är grunden i effektiv GDPR-efterlevnad.
I en tid där dataskydd och regelefterlevnad står i centrum, utgör tredjepartsrisker en av de största utmaningarna för företag. När ni anlitar personuppgiftsbiträden eller outsourcar processer, överlåter ni samtidigt ansvaret för känslig data. Hur kan ni vara säkra på att era partners lever upp till de strikta kraven i GDPR och skyddar era kunders information? Att manuellt granska avtal, följa upp säkerhetsrutiner och dokumentera leverantörsbedömningar är tidskrävande, riskfyllt och ofta ineffektivt. Med hjälp av metoder för leverantörsuppföljning får full kontroll och översikt, vilket drastiskt minskar risken för dataintrång och kostsamma sanktioner.
Idag är leverantörsbedömning och säkerhetsutvärderingar nödvändighet för att garantera dataskydd och GDPR-efterlevnad. Att manuellt hantera och övervaka alla era tredjepartsleverantörer, personuppgiftsbiträden och personuppgiftsansvarig är en tidskrävande och komplex process som ökar risken för misstag och dyra sanktioner.
Draftit kan snart presentera en ny lösning för just detta ändamålet: Ett nytt verktyg för att hantera leverantörer. Detta verktyg är speciellt utformat för att hjälpa organisationer att effektivt identifiera, bedöma och hantera de leverantörsrisker som direkt påverkar dataskyddsarbetet.
Det nya verktyget är utvecklat för att förenkla riskhantering av tredje part:
Med våra verktyg frigör ni tid och resurser som kan läggas på kärnverksamheten. Med vår plattform får ni en spårbar och trygg metodik för ert GDPR-arbete, vilket ger er det starkaste beviset på att ni tagit ert dataskydd på allvar.
Håll utkik, snart kommer mer detaljerad information om hur detta verktyg kommer förenkla er leverantörsutvärdering.
Boka en demo redan idag! Få direkt stöd av våra GDPR-experter och en beprövad metodik som gör ert dataskydd både tryggt och effektivt.
Boka en demo och få stöd av experter, verktyg och metodik som gör GDPR-arbetet tryggt och spårbart.