Hvilken betydning har GDPR, DPA og Schrems for outsourcing av digitale produktutviklingstjenester?

Outsourcing av softwaretjenester og samutvikling av digitale SaaS-produkter med partnere i land utenfor Europa, gjør at du må tenke grundig gjennom hvordan persondata behandles, og ikke minst hvordan softwaren din bygges for å ivareta det europeiske regelverket rundt personvern.

Hva er GDPR og DPA?

Det har skjedd store endringer i lovverket rundt håndtering av persondata de siste årene.

Personvernforordningen – General Data Protection Regulation (GDPR) ble innført i 2018 og gjelder i alle EU og EØS land. GDPR handler om hvordan persondata skal håndteres i forbindelse med overføring og lagring av personopplysninger. Deler av regelverket er ganske generelt, og gir handlingsrom for den enkelte virksomheten.

Mellom en virksomhet og en tredjeparts databehandler skal det inngås en databehandlingsavtale, eller DPA (Data Processing Agreement). Denne avtalen regulerer personvernet i tråd med GDPR og sikrer at persondata lagres riktig, ikke misbrukes eller er sårbare for angrep. Denne avtalen er et av fundamentene for å sikre etterlevelsen av GDPR.

Hva er Schrems II og hva betyr det for databeskyttelsesloven i EU/EØS?

I 2020 avsa EU-domstolen sin kjennelse i saken Schrems vs. Facebook. Dommen førte til en ugyldiggjøring av EU-US Privacy Shield-rammeverket som handlet om overføring av data mellom USA og Europa.

Schrems-avgjørelsen har stor betydning for databeskyttelseslovgivningen i EU og EØS, siden den fastslår hvor sensitive enkeltpersoners personopplysninger er, og hvor viktig det er å beskytte disse dataene.

Etter Schrems kan data bare overføres mellom land hvis de overførende landene har vist "et tilstrekkelig nivå av databeskyttelse".

Kjennelsen påvirker virksomheter som er avhengige av overføring av data til land utenfor EU/ EØS, såkalt tredjeland. Avgjørelsen innebærer at alle individer i land som følger GDPR lovgivningen, mottar det høyeste nivået av datavern som er tilgjengelig.

Hva kan du gjøre for å sikre etterlevelse av GDPR når programmeringsaktiviteter outsources?

For å etterleve GDPR, må virksomheten ta ekstra forholdsregler når softwaretjenester som omfatter overføring av persondata outsources. Tredjepartsleverandører relatert til databehandling må være i samsvar med GDPR, og må kunne bevise at tilstrekkelige tekniske og organisatoriske tiltak er implementert for å beskytte sensitive data.

Det er ikke alltid outsourcing-partneren skal behandle personopplysninger direkte, men softwaren de bygger skal nesten alltid det. Derfor må de som samskaper det digitale produktet ditt vite hvordan de bygger etter “secure by design”-prinsippet, det vil si at det bygges inn beskyttelsesmekanismer i selve koden, og at løsningen tar høyde for å ivareta personvernet til brukerne. Videre er det viktig å ha et bevisst forhold til hvilke persondata outsourcing-partneren eventuelt skal ha tilgang til, og hvordan disse dataene anonymiseres i tråd med GDPR.

For å sikre full compliance med GDPR-regelverket, bør du undersøke potensielle samarbeidspartenere grundig:

• Er outsourcingspartneren ISO-sertifisert på EUs personvernforordning/ GDPR (ISO 27001 og 27701)?
• Er nødvendige tillatelser og dokumentasjon på plass før samarbeidet starter og du gir partneren tilgang?
• Opererer outsourcingpartneren i samsvar med GDPR-kravene?
• Har outsourcingpartneren et dedikert personvernombud?
• Foretas det regelmessige revisjoner av sikkerhetstiltak og prosedyrer?

Virksomheten din bør også vurderer egne interne prosesser rundt outsourcing. Du bør ha systemer som sikrer at du beskytter både kunders og egen virsomhets personvern, og dumå kunne beskytte sensitiv informasjon mot potensielt brudd eller misbruk.

Det skaper trygghet rundt at alle som er involvert i databehandling på virksomhetens vegne, gjør det sikkert og ansvarlig. Det gjør det også enkelt å dokumentere dersom virksomheten skulle få ettersyn.

ISO-standarder sikrer compliance

Hvis outsourcing-partneren din følger ISO- standardene som handler om sikkerhet og personvern, kan du være trygg på at virksomheten leverer på de strenge kravene som stilles til personvern.

Med ISO 27001- rammeverket for sikkerhet, og ISO 27701 – standarden for personvern, kan du være sikker på at outsourcingpartneren din både er compliant, og lager digitale produkter som er compliant med GDPR-lovverket.

Les mer: Hva er ISO-sertifiseringer og hvorfor er de viktige

Schrems II avgjørelsen tjener som en påminnelse om at virksomheter må være varsomme når de outsourcer programmerings- og databehandlingsaktiviteter til tredjeparter, spesielt utenfor EU/EØS. Ved å ta grep for å redusere risikoen forbundet med dataoverføringer og sikre at både din egen virksomhet og outsourcingpartneren din agerer i samsvar med GDPR, kan du trygt outsource digitale programutviklingstjenester uten å være i strid med loven.

Snakk med oss om outsourcing og GDPR – teamet vårt kan hjelpe deg med å navigere disse farvannene og at virksomheten din overholder regelverket.

Les mer: Sjekkliste for outsourcing av digital produktutvikling og software-programmering