<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=268242&amp;fmt=gif">

Er skytjenesteleverandøren din GDPR-kompatibel?

Tom-Erik von Krogh-Martinsen | 3 minutter lesetid


Bruker din bedrift en SaaS-løsning i dag, eller planlegger dere å investere i en?

Da er det noen viktige spørsmål dere bør stille leverandøren, for å være sikker på at systemet er kompatibelt med de nye GDPR-reglene som kommer 1. juli. (Jepp, det er utsatt.)

Som bruker av en SaaS-løsning betror du i praksis persondata til leverandøren av systemet. Når dere setter ut hele eller deler av behandlingen av personopplysninger til en annen tjenesteleverandør, er den eller de som behandler opplysningene, definert som databehandler.

Som den behandlingsansvarlige part er dere da forpliktet til å forsikre dere om at databehandleren har tilstrekkelig sikkerhetsnivå. Dette innebærer at du som kunde må bedømme hvilke sikkerhetstiltak leverandøren gjør for å beskytte dine persondata.

Ikke alle leverandører er like “modne” når det gjelder GDPR og sikkerheten rundt dine personopplysninger. Når du kjøper et nytt SaaS-basert-system, må du kontrollere at leverandøren (og eventuelle tredjepartsleverandører) har tatt hensyn til datasikkerhet og personvernprinsipper allerede i utviklingen av systemet.

Systemet skal oppfylle følgende sikkerhetskrav:

  • Tilgang kun til de som trenger oppgavene for å utføre sitt arbeid.
  • Funksjoner for å slette data som ikke lenger behandles.
  • Innstillinger kan tilpasses slik at mengden personopplysninger som samles inn eller behandles, minimeres.
  • Begrensning av hvilke apper som kan brukes til behandling av personopplysninger.
  • Sterk påloggingsautentisering ved behandling av personopplysninger.
  • Beskyttelse av personopplysninger når de sendes eller lagres, f. eks. på ulike enheter, i skyen eller ved kryptering.

Her er 3 spørsmål dere bør stille til leverandøren av SaaS-systemet dere bruker eller skal investere i:

 

1. Har leverandøren utarbeidet en databehandleravtale mellom seg og sine kunder?

En virksomhet som bruker skytjenester eller nettbaserte tjenester som behandler personopplysninger, vil i de aller fleste tilfeller måtte ha en databehandleravtale. Databehandleravtalen regulerer hva databehandleren (f. eks. leverandøren av et IT-system), kan gjøre med personopplysningene.

2. Hvordan sørger leverandøren for sikker datalagring/hosting?

Spør leverandøren om hva slags sikkerhetstiltak de har på plass for å beskytte data mot tap, misbruk og uautorisert bruk.

3. Hvilke rutiner har leverandøren for håndtering av eventuelle sikkerhetsbrudd?

Spør systemleverandøren om hvilke prosedyrer de har for å melde fra dersom personopplysninger kommer på avveie.

 

Er dere i rute til GDPR?

  

New Call-to-action

Skrevet av Tom-Erik von Krogh-Martinsen

Som forenklingsevangelist og daglig leder i CHECKD, drives Tom-Erik av å gjøre hverdagen enklere og bedre for ansatte i byggebransjen.