Ekstern GDPR-revisjon: Når du må bevise at du er GDPR-compliant

Har du fått beskjed fra en av dine viktigste kunder at du må (be)vise at du compliant, såkalt "GDPR-klar"?

Krever noen dokumentasjon på deg som databehandler etter GDPR artikkel 28, punkt 3, bokstav h)? Eller skal du levere et offentlig anbud der et krav er å "demonstrere etterlevelse" av personvernforordningen?

Eller er du den som ønsker slik dokumentasjon? Som pålegger leverandører og databehandlere å bevise at de har tatt nødvendige grep, sånn at du (er mer sikker på at du) har ditt på det tørre? Da er dagens innlegg for deg.

For nå er det ikke lenger nok med en personvernerklæring på nettsiden eller et enkelt GDPR-kurs. Fremover må du ha solid dokumentasjon på at du har oversikt over og kontroll på personvernarbeidet ditt - enten det er til egen internkontroll eller til ekstern GDPR-revisjon.

Hva er en GDPR-revisjon?

💡 En revisjon er en granskning eller kontroll og det er flere typer av det vi kan kalle en GDPR-revisjon eller personvernrevisjon;

1. den som Datatilsynet gjør som en tilsynskontroll,
2. en eksternrevisjon (for eksempel etter artikkel 28 nummer 3 bokstav h), og
3. den interne GDPR-revisjonen du gjør selv for å sikre løpende GDPR-etterlevelse.

En ekstern GDPR-revisjon er en gjennomgang en annen/ekstern part gjør av personvernarbeidet i virksomheten din for å vurdere hvordan du overholder GDPR.

De fleste forbinder ordet «revisjon» med regnskap, og en ekstern GDPR-revisjon er på mange måter likt; en kontrollerer et stykke arbeid for å fastslå, på en objektiv og faktabasert måte, om det tilfredsstiller gitte krav.

Merk at vi her, som vanlig, snakker om eksternrevisjon for små til mellomstore bedrifter. Store virksomheter vil trolig ha behov for en revisorerklæring av typen ISAE 3000, som kun statsautoriserte revisorer kan utføre. Les mer på det danske datatilsynets sider.

I denne sammenhengen gransker en personvernarbeidet til en virksomhet for å se om det tilfredstiller kravene i personvernlovgivningen.

En kunde kan selv be om å få gjennomføre en eksternrevisjon eller dere kan få inn en uavhengig og nøytral tredjepart (som Bedre Bedrift).

En måler da personvernarbeidet opp mot lovkravene og gir en score på de ulike punktene. En kan bruke tallverdier, prosenter eller "trafikklys" til å vise status, og ulike kunder vil ha ulike krav for hva som er godt nok.

💡 Formålet med en eksternrevisjon er ikke nødvendigvis å forbedre eller oppdatere personvernarbeidet ditt – det er i hovedsak å dokumentere at du har gjort arbeidet riktig/tilstrekkelig.

I en intern GDPR-revisjon, til sammenligning, skal en også oppdatere personvernarbeidet, identifisere og lukke gap og generelt holde arbeidet løpende ved like. Til det kan du selvsagt også innhente ekstern bistand.

Bedre Bedrift gjennomfører både kvalitetssjekker og internrevisjoner med gapanalyser og konkret bistand til å gjennomføre risikovurderinger, DPIA, kartlegginger og mer, og eksternrevisjoner for deg eller databehandlere du ønsker å kontrollere. Ta kontakt for en uforpliktende samtale.

Hvor mye bør en personvernrevisjon dekke?

Utgangspunktet for en personvernrevisjon er lovkravene som gjelder for virksomheten din. Da holder det kanskje ikke bare å se til personopplysningsloven og personvernforordningen (GDPR).

Her må du også vite hvilke andre lovverk som gjelder deg og din bransje, om det er helse, offentlig sektor eller utdanning med hhv. for eksempel helsepersonelloven, arkivlova og universitets- og høyskoleloven.

Merk også at andre lovverk kan trigge behovet for en revisjon;

Da koronapandemien inntraff ble plutselig en av våre kunder omfattet av helseberedskapsloven, som førte til at deres største kunde innførte årlige revisjoner av dem som databehandler, inkludert stedlige besøk med gjennomgang av virksomhetens GDPR-dokumentasjon.

En GDPR-revisjon tar konkret for seg kravene etter personvernforordningen, jfr. Datatilsynets oversikt over virksomhetens plikter. Og helt til slutt kan du ha en eksternrevisjon av en databehandler, jfr. artikkel 28-3-h.

Hvor mye du skal legge inn i revisjonen kommer an på hva du skal dokumentere – for hvem.

GDPR-revisjoner/-inspeksjoner etter artikkel 28-3-h

Personvernforordningen artikkel 28, nr. 3, bokstav h) omtaler spesifikt revisjoner og inspeksjoner (min utheving): 

h) gjør tilgjengelig for den behandlingsansvarlige all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i denne artikkel er oppfylt, samt muliggjør og bidrar til revisjoner, herunder inspeksjoner, som gjennomføres av den behandlingsansvarlige eller en annen revisor på fullmakt fra den behandlingsansvarlige.

Da går revisjonen/inspeksjonen konkret på rollen din som databehandler og en ser typisk på forhold som:

• At du har egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen og verner de registrertes rettigheter
• (Og hvis du er en databehandler med en teknisk løsning (f.eks. SaaS-selskap) må du være forberedt på grundige og mer tekniske sikkerhetsrevisjoner)
• At behandlingen er underlagt en avtale / annet rettslig dokument (databehandleravtale) som inneholder alle punktene nevnt i nr. 3 (behandlingens art, formål, type personopplysninger osv.)
• At du har databehandleravtaler med eventuelle under-databehandlere

En slik revisjon har da typisk et smalere scope enn en full GDPR eksternrevisjon, siden den konkret går på forpliktelsene fastsatt i artikkel 28.

💡 Du bør likevel være forberedt på å måtte demonstrere etterlevelse av hele lovverket, noe vi ser i økende grad.

Kanskje har du allerede mottatt omfattende spørreskjemaer fra kunder, samarbeidspartnere eller investorer, som ønsker bevis på at du er "GDPR compliant"?

Slike skjemaer består ofte av 25-45 spørsmål om alle forhold rundt sikkerhet og personvern; om opplæring og rutiner og bekreftelser på at du har gjennomført kartlegging av personopplysninger, risikovurderinger, DPIA-er, GDPR-revisjoner og mer, som dette lille utdraget fra et skjema viser:

Noen krever kopier av rutinebeskrivelser og protokoller og i "verste fall" ønsker kunden å komme på stedlige besøk, slik kunden vår nevnt over nå opplever. Da er det viktig å være godt forberedt.

Disse henvendelsene krever ofte mye tid og ressurser fra en databehandler. Hvis du har flere hundre eller tusenvis av kunder bør du standardisere informasjonen og gjøre den enkelt tilgjengelig på nettsiden din, slik at du får effektivisert arbeidet. Husk at du også kan legge til rette for dette i databehandleravtalen din!

Hvorfor bør du gjennomføre en ekstern GDPR-revisjon?

Du må eller ønsker å gjennomføre en ekstern personvernrevisjon fordi:

• Det er smart å være godt forberedt og du ønsker å være i forkant
• En uavhengig vurdering fra en nøytral tredjepart signaliserer at du virkelig tar personvern på alvor
• Noen har bedt deg om å bevise etterlevelse av GDPR, særlig etter artikkel 28-3-h
• Det er et krav i et offentlig anbud du skal svare på
• Advokater har bedt om det i en due diligence-prosess (M&A/oppkjøp) og/eller investorer krever det*
• Du ønsker å være i forkant av en tilsynskontroll fra Datatilsynet

* Ikke minst for å unngå en GDPR-bot på 18,4 millioner pund, som hotellkjeden Marriott fikk for et databrudd i en underliggende virksomhet. Databruddet skjedde før oppkjøpet, noe som understreker hvor viktig det er med gode due diligence-prosesser, inkludert revisjon av personvern- og sikkerhetsarbeidet.

I det første scenarioet er du selv proaktiv – du vet at det bare er et spørsmål om tid før du får en slik henvendelse, og vil at revisjonen skjer på dine betingelser.

Du vil også unngå en situasjon der du får (for) kort tid på deg til å svare på en henvendelse, kanskje ikke rekker fristen (eller ikke gir et tilfredsstillende svar) og mister en viktig kunde.

Særlig databehandlere må være forberedt på slike revisjoner/inspeksjoner, som følge av kravet i artikkel 28-3-h. Da handler det ofte om at andre må skaffe bevis på at de kun bruker databehandlere som etterlever GDPR.

Dette er typisk de store og viktige kundene, gjerne fra offentlig sektor. De trenger dokumentasjonen til egne risikovurderinger og bevis på sin etterlevelse som behandlingsansvarlig (jfr. artikkel 24).

💡 Fordelen med å få en uavhengig part til å gjennomføre en revisjon av personvernarbeidet ditt, er at vurderingen blir nøytral. Det bygger tillit og troverdighet med kunder og andre som har interesse av slik dokumentasjon.

Hvordan gjennomføres en ekstern GDPR-revisjon?

For det første må du innhente ekstern bistand (ellers hadde det ikke vært en eksternrevisjon). Så må du vite hva slags revisjon som skal gjøres, jfr. det som står skrevet over (inkludert om du har behov for en revisorgodkjent revisjon etter f.eks. ISAE 3000).

Og, ikke minst, sikre deg om at vedkommende har riktig kompetanse og erfaring, samt kun baserer seg på troverdige kilder.

For å gjøre arbeidet så enkelt og effektivt som mulig, bør du gjøre noen forberedelser i forkant:

• Rydd opp og samle all dokumentasjon du har knyttet til håndtering av personvern og sikkerhet i virksomheten, på én plass/mappe
• Gå gjennom alt arbeidet fra tidligere sånn at du kan svare godt på spørsmål
• Ta en titt på Datatilsynets liste over virksomhetens plikter – du kan forvente mange spørsmål rundt disse punktene!

Selve revisjonen gjennomføres typisk gjennom spørreskjemaer, intervjuer og en grundig analyse av personverndokumentasjonen deres.

Funnene oppsummeres og dere bør få anledning til å gå gjennom disse før den endelige konklusjonen gjøres. Kanskje kommer du på noe du glemte å si tidligere, som har betydning for resultatet.

Sluttrapporten dateres og leveres enten til deg eller til den som har bestilt eksternrevisjonen. Avhengig av type virksomhet, bransje og hvilke personopplysninger som behandles, kan slike revisjoner gjøres hvert kvartal, halvår eller årlig.

Hvilken erfaring bør en ekstern hjelper ha?

For at noen skal kunne gjøre en grundig (nok) vurdering av arbeidet ditt, holder det ikke bare å ha skummet gjennom lovteksten.

Vedkommende bør ha solid praktisk erfaring fra å jobbe med GDPR, kun lene seg på troverdige kilder, i tillegg til å:

• Ha erfaring fra andre relevante lovverk, som ePrivacy-direktivet (spesielt slik det er implementert her i Norge)
• Ha god oversikt over uttalelser, retningslinjer, veiledninger og anbefalinger fra det europeiske personvernrådet (EDBP) og holde seg løpende oppdatert på nyheter derfra
• Ha god oversikt over informasjon og dommer fra ulike europeiske datatilsyn
• Ha inngående kjennskap til Schrems II og vite f.eks. hva konsekvensene av Brexit er
• Ha særlig god oversikt over veiledninger, uttalelser og dommer fra det norske Datatilsynet

For å gjøre en god eksternrevisjon her hjemme, bør en også ha lest noen av de siste par års vedtak fra Datatilsynet for å forstå hva de vektlegger, hvordan de tolker de ulike paragrafene og artiklene, og hva anbefalt praksis er.

Det holder ikke å forstå overordnet hva en risikovurdering er, men en bør vite hva som kreves for å få den "godkjent" av Datatilsynet.

Revisjon krever mer enn kunnskap om GDPR

I en GDPR-revisjon er det heller ikke bare personvernlovgivningen som er viktig.

Om det er for intern- eller eksternrevisjon, bør vedkommende (eller revisjonsteamet til sammen dekke) i tillegg:

• Kunne jobbe systematisk, nøye og kvalitetsbevisst
• Kjenne godt til sikkerhetsområdet generelt
• Ha en grunnleggende teknisk forståelse (kjenne til f.eks. kryptering og hashing)
• Ha erfaring med eller i det minste god kjennskap til risikostyring (risikovurderinger, ROS-analyser)
• Kjenne til rammeverk som/fra SANS Critical Security Controls, ISO 27007, ENISA og lignende (ev. ISAE 3000)

En trenger ikke å være sikkerhetsekspert eller ha doktorgrad i kryptologi, men en viss teknisk forståelse er nødvendig.

Og selv om en skal være nøye, må en vite hvor balansegangen går så en ikke er for rigid heller. ;) Både risikovurderinger, sikkerhetstiltak og revisjoner må sees i forhold til din type virksomhet, bransje og personopplysningene du behandler.

Lykke til!

Trenger du bistand i personvernarbeidet ditt? Les mer om Bedre Bedrift og ta kontakt for en uforpliktende samtale i dag. Vårt råd er: vær godt forberedt og gjennomfør en revisjon i god tid før du får henvendelse om en!