Har du fått beskjed fra en av dine viktigste kunder at du må (be)vise at du compliant, såkalt "GDPR-klar"?
Krever noen dokumentasjon på deg som databehandler etter GDPR artikkel 28, punkt 3, bokstav h)? Eller skal du levere et offentlig anbud der et krav er å "demonstrere etterlevelse" av personvernforordningen?
Eller er du den som ønsker slik dokumentasjon? Som pålegger leverandører og databehandlere å bevise at de har tatt nødvendige grep, sånn at du (er mer sikker på at du) har ditt på det tørre? Da er dagens innlegg for deg.
For nå er det ikke lenger nok med en personvernerklæring på nettsiden eller et enkelt GDPR-kurs. Fremover må du ha solid dokumentasjon på at du har oversikt over og kontroll på personvernarbeidet ditt - enten det er til egen internkontroll eller til ekstern GDPR-revisjon.
💡 En revisjon er en granskning eller kontroll og det er flere typer av det vi kan kalle en GDPR-revisjon eller personvernrevisjon;
En ekstern GDPR-revisjon er en gjennomgang en annen/ekstern part gjør av personvernarbeidet i virksomheten din for å vurdere hvordan du overholder GDPR.
De fleste forbinder ordet «revisjon» med regnskap, og en ekstern GDPR-revisjon er på mange måter likt; en kontrollerer et stykke arbeid for å fastslå, på en objektiv og faktabasert måte, om det tilfredsstiller gitte krav.
Merk at vi her, som vanlig, snakker om eksternrevisjon for små til mellomstore bedrifter. Store virksomheter vil trolig ha behov for en revisorerklæring av typen ISAE 3000, som kun statsautoriserte revisorer kan utføre. Les mer på det danske datatilsynets sider.
I denne sammenhengen gransker en personvernarbeidet til en virksomhet for å se om det tilfredstiller kravene i personvernlovgivningen.
En kunde kan selv be om å få gjennomføre en eksternrevisjon eller dere kan få inn en uavhengig og nøytral tredjepart (som Bedre Bedrift).
En måler da personvernarbeidet opp mot lovkravene og gir en score på de ulike punktene. En kan bruke tallverdier, prosenter eller "trafikklys" til å vise status, og ulike kunder vil ha ulike krav for hva som er godt nok.
💡 Formålet med en eksternrevisjon er ikke nødvendigvis å forbedre eller oppdatere personvernarbeidet ditt – det er i hovedsak å dokumentere at du har gjort arbeidet riktig/tilstrekkelig.
I en intern GDPR-revisjon, til sammenligning, skal en også oppdatere personvernarbeidet, identifisere og lukke gap og generelt holde arbeidet løpende ved like. Til det kan du selvsagt også innhente ekstern bistand.
Bedre Bedrift gjennomfører både kvalitetssjekker og internrevisjoner med gapanalyser og konkret bistand til å gjennomføre risikovurderinger, DPIA, kartlegginger og mer, og eksternrevisjoner for deg eller databehandlere du ønsker å kontrollere. Ta kontakt for en uforpliktende samtale.
Utgangspunktet for en personvernrevisjon er lovkravene som gjelder for virksomheten din. Da holder det kanskje ikke bare å se til personopplysningsloven og personvernforordningen (GDPR).
Her må du også vite hvilke andre lovverk som gjelder deg og din bransje, om det er helse, offentlig sektor eller utdanning med hhv. for eksempel helsepersonelloven, arkivlova og universitets- og høyskoleloven.
Merk også at andre lovverk kan trigge behovet for en revisjon;
Da koronapandemien inntraff ble plutselig en av våre kunder omfattet av helseberedskapsloven, som førte til at deres største kunde innførte årlige revisjoner av dem som databehandler, inkludert stedlige besøk med gjennomgang av virksomhetens GDPR-dokumentasjon.
En GDPR-revisjon tar konkret for seg kravene etter personvernforordningen, jfr. Datatilsynets oversikt over virksomhetens plikter. Og helt til slutt kan du ha en eksternrevisjon av en databehandler, jfr. artikkel 28-3-h.
Hvor mye du skal legge inn i revisjonen kommer an på hva du skal dokumentere – for hvem.
Personvernforordningen artikkel 28, nr. 3, bokstav h) omtaler spesifikt revisjoner og inspeksjoner (min utheving):
h) gjør tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne artikkel er oppfylt, samt muliggjør og bidrar til revisjoner, herunder inspeksjoner, som gjennomføres av den behandlingsansvarlige eller en annen revisor på fullmakt fra den behandlingsansvarlige.
Da går revisjonen/inspeksjonen konkret på rollen din som databehandler og en ser typisk på forhold som:
En slik revisjon har da typisk et smalere scope enn en full GDPR eksternrevisjon, siden den konkret går på forpliktelsene fastsatt i artikkel 28.
💡 Du bør likevel være forberedt på å måtte demonstrere etterlevelse av hele lovverket, noe vi ser i økende grad.
Kanskje har du allerede mottatt omfattende spørreskjemaer fra kunder, samarbeidspartnere eller investorer, som ønsker bevis på at du er "GDPR compliant"?
Slike skjemaer består ofte av 25-45 spørsmål om alle forhold rundt sikkerhet og personvern; om opplæring og rutiner og bekreftelser på at du har gjennomført kartlegging av personopplysninger, risikovurderinger, DPIA-er, GDPR-revisjoner og mer, som dette lille utdraget fra et skjema viser:
Noen krever kopier av rutinebeskrivelser og protokoller og i "verste fall" ønsker kunden å komme på stedlige besøk, slik kunden vår nevnt over nå opplever. Da er det viktig å være godt forberedt.
Disse henvendelsene krever ofte mye tid og ressurser fra en databehandler. Hvis du har flere hundre eller tusenvis av kunder bør du standardisere informasjonen og gjøre den enkelt tilgjengelig på nettsiden din, slik at du får effektivisert arbeidet. Husk at du også kan legge til rette for dette i databehandleravtalen din!
Du må eller ønsker å gjennomføre en ekstern personvernrevisjon fordi:
* Ikke minst for å unngå en GDPR-bot på 18,4 millioner pund, som hotellkjeden Marriott fikk for et databrudd i en underliggende virksomhet. Databruddet skjedde før oppkjøpet, noe som understreker hvor viktig det er med gode due diligence-prosesser, inkludert revisjon av personvern- og sikkerhetsarbeidet.
I det første scenarioet er du selv proaktiv – du vet at det bare er et spørsmål om tid før du får en slik henvendelse, og vil at revisjonen skjer på dine betingelser.
Du vil også unngå en situasjon der du får (for) kort tid på deg til å svare på en henvendelse, kanskje ikke rekker fristen (eller ikke gir et tilfredsstillende svar) og mister en viktig kunde.
Særlig databehandlere må være forberedt på slike revisjoner/inspeksjoner, som følge av kravet i artikkel 28-3-h. Da handler det ofte om at andre må skaffe bevis på at de kun bruker databehandlere som etterlever GDPR.
Dette er typisk de store og viktige kundene, gjerne fra offentlig sektor. De trenger dokumentasjonen til egne risikovurderinger og bevis på sin etterlevelse som behandlingsansvarlig (jfr. artikkel 24).
💡 Fordelen med å få en uavhengig part til å gjennomføre en revisjon av personvernarbeidet ditt, er at vurderingen blir nøytral. Det bygger tillit og troverdighet med kunder og andre som har interesse av slik dokumentasjon.
For det første må du innhente ekstern bistand (ellers hadde det ikke vært en eksternrevisjon). Så må du vite hva slags revisjon som skal gjøres, jfr. det som står skrevet over (inkludert om du har behov for en revisorgodkjent revisjon etter f.eks. ISAE 3000).
Og, ikke minst, sikre deg om at vedkommende har riktig kompetanse og erfaring, samt kun baserer seg på troverdige kilder.
For å gjøre arbeidet så enkelt og effektivt som mulig, bør du gjøre noen forberedelser i forkant:
Selve revisjonen gjennomføres typisk gjennom spørreskjemaer, intervjuer og en grundig analyse av personverndokumentasjonen deres.
Funnene oppsummeres og dere bør få anledning til å gå gjennom disse før den endelige konklusjonen gjøres. Kanskje kommer du på noe du glemte å si tidligere, som har betydning for resultatet.
Sluttrapporten dateres og leveres enten til deg eller til den som har bestilt eksternrevisjonen. Avhengig av type virksomhet, bransje og hvilke personopplysninger som behandles, kan slike revisjoner gjøres hvert kvartal, halvår eller årlig.
For at noen skal kunne gjøre en grundig (nok) vurdering av arbeidet ditt, holder det ikke bare å ha skummet gjennom lovteksten.
Vedkommende bør ha solid praktisk erfaring fra å jobbe med GDPR, kun lene seg på troverdige kilder, i tillegg til å:
For å gjøre en god eksternrevisjon her hjemme, bør en også ha lest noen av de siste par års vedtak fra Datatilsynet for å forstå hva de vektlegger, hvordan de tolker de ulike paragrafene og artiklene, og hva anbefalt praksis er.
Det holder ikke å forstå overordnet hva en risikovurdering er, men en bør vite hva som kreves for å få den "godkjent" av Datatilsynet.
I en GDPR-revisjon er det heller ikke bare personvernlovgivningen som er viktig.
Om det er for intern- eller eksternrevisjon, bør vedkommende (eller revisjonsteamet til sammen dekke) i tillegg:
En trenger ikke å være sikkerhetsekspert eller ha doktorgrad i kryptologi, men en viss teknisk forståelse er nødvendig.
Og selv om en skal være nøye, må en vite hvor balansegangen går så en ikke er for rigid heller. ;) Både risikovurderinger, sikkerhetstiltak og revisjoner må sees i forhold til din type virksomhet, bransje og personopplysningene du behandler.
Lykke til!
Trenger du bistand i personvernarbeidet ditt? Les mer om Bedre Bedrift og ta kontakt for en uforpliktende samtale i dag. Vårt råd er: vær godt forberedt og gjennomfør en revisjon i god tid før du får henvendelse om en!
Motta sjekklisten som PDF og (kun) to e-poster til med konkrete tips til arbeidet (meld deg av når som helst).
Og selv om e-postene også nevner hvordan jeg kan hjelpe deg, blir du ikke bombardert med salgspitcher (som ingen kan fordra 🤢). For å ivareta markedsføringsloven trenger jeg samtykket ditt, derfor må du krysse av i boksen 👇. Les mer om personvernet ditt her.
Få viktige oppdateringer om GDPR og nyttige tips for å drive en lønnsom og profesjonell bedrift.
Nyhetsbrev sendes ut 1-2 ganger i måneden og inneholder noen ganger informasjon om produkter og tjenester. Meld deg av når som helst.
Abonnenter får invitasjon til et gratis ressursbibliotek for småbedriftseiere og gründere.