Artikel top billede

(Foto: Computerworld)

GDPR betyder strengere regler for outsourcing af data

En række nye betingelser skal opfyldes før en virksomhed fremover kan sende data ud over EU’s grænser. Den nye persondataforordning vil med andre ord gøre det vanskeligere for danske virksomheder at outsource it-opgaver til lande uden for EU.

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Præcist hvor mange danske virksomheder, der outsourcer databehandling uden for EU vides ikke, men at det sker må formodes at være tilfældet. Indtil nu har der principielt ikke været den store forskel i, om man sender sine data til Irland eller til Indien, men med den nye persondataforordning vil der være en lang række af kriterier, databehandleren skal leve op til, hvis denne befinder sig i et land uden for EU’s grænser.

Kriterier, der defineres i GDPR persondataforordningen, hvis fornemmeste opgave jo netop er at stramme op på datasikkerheden og give borgerne kontrol over egne persondata.

”Forordningen dikterer ikke et direkte forbud mod at overdrage data til en databehandler i et tredjeland uden for EU, men oplister en række betingelser, der skal opfyldes, for at selve dataoverdragelsen er lovlig”, siger advokat Niels Christian Døcker, der er ekspert i persondatalovgivning og ved, hvorledes man som dansk virksomhed skal forholde sig til it-outsourcing ud af EU under GDPR.

Han føjer til, at EU-Kommissionen ud fra en vurdering af deres nationale lovgivning dog allerede har forhåndsgodkendt 13 tredjelande og områder, såsom Isle of Man, New Zealand og Schweiz.

Bindende virksomhedsregler

”Det giver virksomhederne mulighed for at se, om databehandlerne i et af de pågældende lande har et tilstrækkeligt højt sikkerhedsniveau til, at der frit kan overdrages data.

Men hvis virksomheden benytter eller ønsker at benytte et callcenter i f.eks. Indien, hvor der sidder nogle dygtige it-folk, der får til opgave at behandle danskeres data, der er blevet oplyst ved køb i en webshop, er der tale om et tredjeland, som ikke er forhåndsgodkendt af EU-Kommissionen.

Derfor skal den danske virksomhed kunne bevise, at en række såkaldte bindende virksomhedsregler bliver opfyldt, før data kan overdrages på lovlig vis”, siger Niels Christian Døcker.

EU’s persondataforordning oplister for nærværende 14 minimumspunkter under disse regler, og flere kommer til. Sammenlignet med det nuværende direktiv vil der altså være langt flere definerede regler og sikkerhedsmekanismer at tage stilling til, inden man kan overdrage data.

De bindende virksomhedsregler skal derefter godkendes af Datatilsynet, inden virksomheden kan overdrage data til callcenteret i Indien. Al dataoverdragelse er med andre ord ulovligt, hvis ikke man har en godkendelse fra Datatilsynet.

gdpr Niels Christian Døcker anbefaler, at man som dansk virksomhed altid fører et krav om at efterleve GDPR ind i leverandør- og databehandleraftaler – uanset om man indgår aftale med en virksomhed inden for EU, i et land forhåndsgodkendt af EU-Kommissionen eller i et tredjeland. Årsagen er, at der kan ske databrud uanset beliggenhed, og at man i et sådant tilfælde kan henvise til kontraktuelle forhold virksomhederne imellem i den efterfølgende afklaring af databruddet.

Altid virksomhedens ansvar

Det er ikke nyt, at man som dataansvarlig har ansvaret for, at der indgås en skriftlig aftale, når man overlader persondata til en ekstern databehandler. Det nye ligger i listen af forhold, som nu skal indgå i aftalen, herunder f.eks. organisatoriske og tekniske krav til databehandleren, særlige betingelser for samarbejde samt kommunikation mellem den dataansvarlige virksomhed og behandleren.

Endvidere er risikofordeling i forbindelse med aftalebrud en faktor, man er nødt til at forholde sig til. Det betyder, at virksomheden er nødt til at gennemgå sine eksisterende aftaler for at sikre, de er på niveau med GDPR.

”Som virksomhed er man ansvarlig for den EU-borger, man har fået data fra, da det er mellem borger og virksomhed, der indgås en kontrakt i relation til persondata. At man som virksomhed vælger at outsource databehandling til et tredjeland, fordi det f.eks. er billigere, ændrer ikke ved, at ansvaret ved et eventuelt databrud pålægges ens egen virksomhed”, siger Niels Christian Døcker.

Det er dog gennemgående for GDPR, at der er en større frihedsgrad i forbindelse med almindelige persondata end i forbindelse med personfølsomme data. Persondata dækker over f.eks. navn og alder, mens personfølsomme data kan være oplysninger om helbred.

Tag udgangspunkt i ISO 27001

Kravene til beskyttelse af informationer efter ISO 27001 fungerer som et velegnet skelet til at tackle de nye lovkrav i persondataforordningen. Eller sagt på en anden måde – hvis databehandleren lever op til denne internationale standard, er man nået et godt stykke med henblik på at leve op til persondataforordningen. Ifølge kommunikationskonsulent Nina Vindel fra Dansk Standard er ISO 27001 kendt verden over.

Det er persondataforordningen ikke, hvilket er endnu et godt argument for, at virksomhederne læner sig op ad denne, når virksomhederne skal sikre sig, at den eksterne databehandler uden for EU lever op til lovkravene. Omdrejningspunktet for standarden er risikostyring. ISO 27001 giver således et overblik over organisationens informationer og understøtter en passende beskyttelse af de data, som outsources.

Standarden kan altså være med til at sikre, at der udarbejdes aftaler, og at man med afsæt i et opdateret risikobillede følger op på outsourcingpartnerens performance. Derved kan man indbygge foranstaltninger til at beskytte de registrerede personers rettigheder, som er afstemt efter en vurdering af risici i den konkrete leverandørrelation.

Forslagene til kontroller i ISO 27001’s anneks kræver, at man som virksomhed tager aktivt stilling til behovet for at overvåge eller måske auditere sine leverandørers services. Standardens generelle fokus på dokumentation af organisationens informationssikkerhedsadfærd er også i tråd med forordningens fokus på dokumentation af lovmedholdelighed.

Skærpede bødeforhold

Også de skærpede bødeforhold ved eventuelle databrud afhænger af typen af data. Er der tale om almindelige persondata, er bødeniveauet op mod 2 procent af virksomhedens globale omsætning, mens det er op mod 4 procent, hvis der er tale om personfølsomme data.

Det er dermed afgørende at have overblik over, hvilken type data, man som virksomhed overdrager til et tredjeland. Ofte outsources opgaver forbundet til kunde-betjening, programmering eller arkivering. Herudover er det udbredt at bruge Cloud Providers til dataopbevaring. Typen af data, der outsources, afhænger dog i høj grad af typen af virksomhed, og derved er gevinsten ved outsourcing også forskellig.

Persondataforordningen kræver, at man tager stilling til sikkerheden af de persondata, som databehandleren får mellem hænderne, og at man gør sig overvejelser om, hvor de pågældende data rent fysisk befinder sig, hvor længe de opbevares, og hvordan de tilbagekaldes, arkiveres eller slettes.

Danske virksomheder skal altså have et klart billede af, hvilken type data, de overdrager, og hvordan data bliver behandlet hos leverandøren. For at skabe dette overblik kan virksomhederne med fordel anvende den internationale standard for informationssikkerhed, ISO 27001 som udgangspunkt.

Danmark er nødt til at rette ind

Persondataforordningen med gyldighed fra 25. maj afløser et direktiv fra 1995, der i dag er håbløst forældet. Når der er tale om en forordning, betyder det samtidig, at det nye regelsæt er løftet op på EU’s øverste myndighedsniveau. Ikke desto mindre har man åbnet op for, at de enkelte lande på mere end 50 punkter kan tilpasse regelsættet lokalt, hvilket er helt usædvanligt for en forordning.

Det skal derfor blive interessant at se, hvilke lokale tilpasninger, der vil ske i Danmark, hvor især de nye muligheder for bøder i millionklassen er en helt ny dagsorden. ”I andre lande er man allerede vant til store bøder. Eksempelvis i Italien, hvor en virksomhed for nogle år siden blev idømt en bøde på 5,3 millioner euro for brud på datasikkerheden.

Den største bøde, Datatilsynet har udstedt i Danmark, er på 25.000 kroner, hvilket ingenlunde animerer virksomhederne til måske at bruge en mindre formue på sådan en som mig med henblik på at sikre, at databehandlingsprocesserne lever op til lovgivningen”, siger advokat Niels Christian Døcker, der dog imødeser en overgangsordning, inden de helt store bøder begynder at falde.

Ifølge persondataforordningen er bødetaksterne på op til 2 og 4 procent af virksomhedernes omsætning en øvre grænse, men Niels Christian Døcker er ikke i tvivl om, at Datatilsynet så at sige af politiske og kollegiale hensyn er nødt til at følge de høje bødeniveauer i udlandet.

I modsat fald kunne man forestille sig, at udenlandske virksomheder ville spekulere i små bødestørrelser og lade sig registrere i Danmark med henblik på at få eventuelle sager behandlet af de danske myndigheder – og det ville ikke være velset i EU-systemet.