Husk underleverandørene!
Virksomheter som bruker skytjenester må passe på at databehandleravtalene går gjennom alle skylag for å sikre at de overholder GDPR.
Når virksomheter setter bort hele eller deler av databehandlingen til en ekstern leverandør, er det viktig at behandlingen av dataene reguleres gjennom solide avtaler. Det blir spesielt relevant dersom det finnes persondata i behandlingen.
Databehandleravtale
Databehandleravtaler er et viktig verktøy når den nye personopplysningsloven, som er basert på EU-forordningen «General Data Protection Regulation» – GDPR, trer i kraft også i Norge til sommeren.
Derfor har Datatilsynet nylig utgitt en ny veileder for databehandleravtaler, som er tilpasset det kommende regelverket. I den sammenhengen minner skyleverandøren Basefarm om at det er viktig å huske underleverandører når databehandleravtalen skal utarbeides.
– Databehandleravtaler er ikke nødvendigvis vanskelig å få på plass, men det er viktig at virksomheter som bruker skytjenester har orden på dette. Det handler om at data blir behandlet som avtalt og i samsvar med GDPR, og ikke minst at kunden blir orientert dersom skyleverandøren for eksempel får inn en ny underleverandør, sier compliance rådgiver Patrick Tahiri i Basefarm i en pressemelding.
Etterlevd i praksis
Når den nye personopplysningsloven har trådt i kraft vil virksomhetene få større ansvar, mens Datatilsynet vil overvåke at de følger regelverket. Det vil blant annet skje gjennom tilsyn hos virksomhetene.
– Om du skulle få GDPR-ettersyn vil du dessuten være veldig fornøyd med å ha kontroll også med databehandleravtaler. Ved kontroll er det naturligvis viktig at virksomheten også kan dokumentere at avtalene blir etterlevd i praksis. En god måte å håndtere dette på i praksis er å følge opp avtalene gjennom virksomhetens internkontrollregime, sier Tahiri.
Basefarm-eksperten tipser om at databehandleravtalen som skybrukeren inngår med sin skyleverandør blant annet må regulere roller og forpliktelser:
1. For databehandleren (skyleverandøren) inkludert følging av instrukser, dokumentert etterlevelse av GDPR, konfidensialitet, sikkerhet og tilgangskontroll i forhold til personlige data
2. For databehandleren når en tjeneste skal avsluttes, inkludert sletting eller tilbakelevering av data
3. Ved eventuelle skifte eller introduksjon av nye underleverandører til skyleverandøren
Tahiri forklarer at en vanlig situasjon for mange virksomheter er at databehandlingen skjer i en priv at sky, det vil si i en serverpark hos en lokal driftsleverandør. I en slik situasjon er det tilstrekkelig å inngå databehandleravtale med denne ene leverandøren.
Underleverandører hos de store
Basefarm peker på et annet scenario, som er at en virksomhet via sin driftsleverandør også bruker tjenester i én eller flere offentlige skyer som Google Cloud, Amazon eller Microsoft Azure. I slike situasjoner må it-driftsleverandøren inngå back-to-back-avtaler med disse, altså sørge for at de offentlige skyleverandørene forplikter seg på samme måte som it-driftsleverandøren har gjort overfor kunden sin. Her kan man støte på standardavtaler som leverandørene er tilbakeholdne med å endre.
– Den offentlige skyen er ikke så utflytende som begrepet gir inntrykk av. Vi får mulighet til å velge i hvilket datasenter tjenestene skal kjøres. Imidlertid knytter skyleverandørene til seg internasjonale underleverandører som tilbyr tjenester i den offentlige skyen. Dette er det viktig å være oppmerksom på og regulere i avtaler, sier Tahiri, og legger til:
– Her er klare retningslinjer for varsling ved leverandørskifte ekstra viktig. Dersom en sentral tjeneste blir flyttet utenfor Europa, må man i ytterste konsekvens flytte hele installasjonen til en annen offentlig skyleverandør som har et tilsvarende, europeisk tilbud.