Är din försörjningskedja redo för GDPR? Några tips inför implementeringen
Nu är det hög tid att påbörja arbetet med att anpassa försörjningskedjan till den nya dataskyddsförordningen (GDPR). Med mindre än ett och ett halvt år kvar bör alla som direkt eller indirekt berörs av personuppgiftsbehandling se över sin sourcingstrategi och sina leverantörsavtal. För det är nämligen så att från och med den 25 maj 2018 är det otillåtet att anlita leverantörer för behandling av personuppgifter som inte uppfyller kraven på dataskydd.
Underlåtenhet att agera mot bättre vetande utgör inte en förmildrande omständighet. Därutöver måste en ny typ av personuppgiftsbiträdesavtal tecknas med samtliga leverantörer som utför behandling i någon form. Brister man i detta hänseende kan man dömas till viten till det högre beloppet av 2% av årsomsättningen eller 10 miljoner Euro.
Fördela ansvar och risker på effektivt sätt. För leverantörer som agerar personuppgiftsbiträden innebär GDPR en förhöjd affärsrisk jämfört med dagens personuppgiftslagstiftning (PuL). Till skillnad från PuL underkastas personuppgiftsbiträden ett direkt rättsligt ansvar och samma påföljdssystem som personuppgiftsansvariga. Denna förändrade riskexponering medför sannolikt i inte helt okomplicerade avtalsdiskussioner om prishöjningar, fördelning av ansvar och ansvarsbegränsningar. Att man inte riktigt vet hur Datainspektionen (DI) och den Europeiska dataskyddsstyrelsen (EDPB) kommer att tolka det nya regelverket eller hur tufft man kommer att tillämpa det nya sanktionssystemet på överträdelser utgör en ytterligare osäkerhet i sammanhanget. Och det är just här som den stora utmaningen ligger, att skriva avtal som såväl skapar incitament till efterlevnad och fördelar ansvar och risker symetriskt och på ett balanserat sätt. För det ligger egentligen inte i någon parts intresse att skjuta över ansvar och risk på en motpart som saknar effektiva möjligheter att kontrollera och hantera dessa. En ineffektiv riskfördelning tenderar snarast att blir en mycket dyr och dålig affär. Om möjligt undvik sk cappat ansvar.
Säkerställ teknisk och organisatorisk förmåga. Det åligger den personuppgiftsansvarige att säkerställa att sina biträden har teknisk, organisatorisk och ekonomisk förmåga att upprätthålla ett ändamålsenligt skydd och tillgodose att den enskildes rättigheter skyddas. Biträdet har en motsvarande skyldighet att lämna tillräckliga bevis för att så är fallet. Den ansvarige har alltså en rättslig förpliktelse att kontrollera förmågan hos biträdet innan denne får anlitas. Underlåtenhet kan leda till hårda sanktioner. Att leverantören ska kunna styrka att man arbetar utifrån ett relevant och etablerat ledningssystem, exempelvis ISO27001 eller en branschspecifik uppförandekod, torde bli standard i kommande upphandlingar. Och beroende på behandlingens art och omfattning kommer det i vissa fall även att krävas certifiering av en oberoende tredje part.
Även befintliga leverantörer måste regelbundet utvärderas under avtalstiden. Stöd för detta ges i rätten för personuppgiftsansvarige, eller någon i dennes ställe, att utföra inspektioner hos biträdet.
Agera snabbt och med rätt åtgärder. Om man upptäcker att en leverantör inte kommer att kunna leva upp till kraven i GDPR bör man även överväga att säga upp avtalet till upphörande alternativt att häva avtalet om det finns förutsättningar för detta. I de flesta leveransavtal finns formuleringar som förpliktigar leverantören att följa gällande rätt och då torde hävningsrätten kunna utnyttjas. Detta torde gälla även innan GDPR trätt ikraft om det står klart att det kommer att inträffa avtalsbrott. I en normal hävningssituation har den skadelidande även rätt att kräva skadestånd. Men det kan bli knepigt att utkräva skadestånd om det visar sig att man vid något tillfälle accepterat bristen. Att fortsätta köpa en tjänst från en leverantör med vetskap att denne inte följer gällande rätt torde kunna ses som en tyst accept av en leverans som inte håller måttet.
GDPR kommer att kräva en helt ny typ av personuppgiftsbiträdesavtal. I GDPR framgår inte bara att behandlingen måste dokumenteras genom ett avtal, utan också vad avtalet ska innehålla. I artikel 28 finns en katalog av skyldigheter som biträdesavtalet ska omfatta och parterna måste förhålla sig till. Kanske viktigast ändå är att den personuppgiftsansvariges instruktioner för behandlingen tydligt anges i biträdesavtalet och vilka tekniska och organisatoriska åtgärder som parterna ska genomföra för att uppfylla kraven på inbyggt dataskydd - ”Privacy by Design”. I biträdesavtalet kan det vara lämpligt att även ange hur snabbt en en personuppgiftsincident måste rapporteras av biträdet till den personuppgiftsansvarige. Den senare har i princip en absolut gräns om 72 timmar att förhålla sig till tillsynsmyndigheten. Denna tidsgräns tar dock inte hänsyn till antal leverantörsled incidentrapporten måste färdas innan den når slutmottagaren. Ju fler led desto kortare tidsspann för varje enskilt led. Därför bör man kontrollera hur SLA:erna ser ut genom hela leveranskedjan. Här kan du ladda ner ett gratis exempel på ett personuppgiftsbiträdesavtal.
Det är hög tid att påbörja anpassningen av sourcingstrategi och leverantörsavtal till GDPR. Tillsätt en arbetsgrupp med tvärfunktionell och relevant kompetens, såsom avtals- och personuppgiftsjuridik, IT- och informationssäkerhet samt förhandling. Börja arbetet med att göra en klassificering av aktuella personuppgifter och som huvudregel bör man även göra en konsekvensanalys av riskerna. Om det förekommer särskilt känsliga uppgifter ur ett integritetsperspektiv bör man fundera på om det över huvud taget är lämpligt eller ens lagligt att lägga ut behandlingen på en underleverantör. Det kan finnas andra bestämmelser som förhindrar en överföring av information till annan part, t ex i offentlighet och sekretesslagen. Gör därefter en förteckning på vilka avtal som ska omförhandlas och vilka som ska sägas upp. Gör sedan en upphandlings- och förhandlingsstrategi för att säkerställa att dina egna krav såväl som bestämmelserna i GDPR kan uppfyllas på ett effektivt sätt. Ta hjälp av dina leverantörsansvariga för att få en bra dialog under förhandlingen.
Vill du veta mer? Har du frågor eller funderingar? Kontakta gärna mig. Jag arbetar med it-sourcing samt juridisk rådgivning på Knowit och nås på hans-peter.erlingsson@knowit.se eller +46 70 143 26 16.