Dette overser mange i GDPR databehandleravtaler

04-09-2018

 

Du har sannsynligvis inngått GDPR databehandleravtaler med driftsleverandørene dine. Men, har du sikret deg i forhold til om driftsleverandørenes underleverandører flytter ut av Europa? Da risikerer du nemlig å bryte GDPR-regelverket.

GDPR ble innført i store deler av Europa 25. mai og i Norge 20. juli 2018. Vi har alle sett resultatene av GDPR-arbeid i form av en massiv mengde mail om nye regler og forespørsler om aktivt samtykke til fortsatt å motta informasjon om produkter og tjenester.

Mange av oss har dessuten vært sterkt involvert i å få alt på plass i egen organisasjon innen tidsfristen.

Hold deg oppdatert! Legg igjen din epost og få informasjon om nye blogginnlegg, webinarer og eventer direkte i din innboks!

Langvarig GDPR-glede

Kanskje du er en av dem? Ikke for å ødelegge gleden, altså, men vi er nødt til å ta opp en sak. Ja, kanskje blir du nødt til å gjøre enda litt GDPR-arbeid, nå som du egentlig var glad og fornøyd. Men, når som vi er inne på temaet glede – vi kan love at du vil glede deg over å ha dyptgående databehandleravtaler på plass dersom noe skjer.

Saken gjelder ansvaret til underleverandører.

Mange har helt korrekt inngått databehandleravtaler med driftsleverandørene sine. I neste omgang har disse inngått back to back-avtaler med leverandører av offentlige skytjenester som Google Cloud, AWS og Microsoft Azure.

Basefarms compliance advisor Patrick Tahiri har veiledet mange virksomheter i GDPR. Han forklarer: – Når driftsleverandører som oss i Basefarm bruker offentlige skytjenester som en del av sine hybride skyleveranser, må dere sørge for at leverandøren inngår back to back-avtaler med disse. Avtalene må kort og godt være på plass tvers igjennom hele verdikjeden i den hybride skyen, sier Tahiri.

btn-top

Hva om underleverandører flytter?

Noe som har fått lite oppmerksomhet er at mange offentlige skyleverandører får mange av sine tjenester levert av underleverandører. Også da må back to back-avtaler være på plass. Tahiri anbefaler at avtaleverket er på plass også på dette området:

– Vær oppmerksom på at slike underleverandører kan velge å flytte produksjonen av tjenestene sine ut av Europa. Da kan dere komme i brudd med GDPR-regelverket. Vi har sett mange konkrete tilfeller hvor det ikke er tatt høyde for dette potensielle problemet, sier Tahiri.

Hvor sannsynlig er det at dette kan inntreffe? Scenariet er ikke det mest sannsynlige, men fordi det faktisk kan inntreffe bør du være forberedt gjennom avtaler og tilgang på kompetanse for migrering fra en sky til en annen.

btn-top

Sjekkliste ved bruk av subkontraktorer i GDPR-sammenheng

  1. Forvent at de fleste subkontraktører vil håndtere dette profesjonelt. Likevel har du ansvaret for dataene og behandlingen av disse. Vurder risikoen proaktiv ved valg av subkontraktører. Sjekk at de er sitt GDPR-ansvar bevisst og compliant.
  2. Pass på at avtalen inkluderer klausuler om tidlig varsling dersom en underleverandør er på vei ut av dem europeiske GDPR-sonen
  3. Undersøk regelmessig at subkontraktøren faktisk følger kontrakten i praksis. Gjør det selv ved hjelp av spørreskjemaer eller og heng dere på andre for å spleise på oppgaver og kostnader tilknyttet GDPR-revisjon. Basefarm vil opptre på vegne av mange kunder
  4. Dere må faktisk være forberedt på å flytte hele skyinstallasjonen til en annen skyleverandør. Da er det viktig å ha nødvendig kompetanse tilgjengelig. Og, som ved alle backup- og restore-rutiner gjelder det å teste at dere er i stand til å flytte i praksis.
btn-top

Ønsker du mer informasjon om GDPR?

Les mer her, eller fyll ut skjemaet nedenfor så vil våre eksperter kontakte deg fortløpende.

btn-top