Slik jobber 99x med GDPR og datasikkerhet

Outsourcing av IT-utvikling, programvare og apper handler om tillit og trygghet. Det er ikke lett å betro utviklingen av virksomhetens forretningssystemer, digitale kundetjenester eller forretningskritiske apper til en annen part. Og det blir ikke enklere om outsourcingspartneren befinner seg nærmest på andre siden av jorden, nesten tusen mil unna.

Derfor er det ikke rart at spørsmål rundt personvern, GDPR og IT-sikkerhet raskt dukker opp når jeg har møter med nye kunder.

Åtte punkter for IT-sikkerhet

Det forstår jeg godt. Svikter IT-sikkerheten og/eller om man bryter reglene rundt personvern (GDPR), er konsekvensene i beste fall økonomisk tap. I verste fall kan virksomheten knekke sammen. Derfor har vi integrert datasikkerhet, personvern og GDPR i vår leveranse- og prosjektmetodikk. De åtte punktene under strukturer hvordan vi ivaretar IT-sikkerhet og personvern i våre leveranser:

• Vi er ISO 9001-sertifisert. ISO 9001 er ledelsessystemer for kvalitet, anerkjent over hele verden.
• Vi er ISO 27001-sertifisert. ISO 27001:2013 er rammeverket for IT-sikkerhet.
• Vi har vårt eget personvernombud.
• Vi er ISO 27701-sertifisert. ISO 27701:2019 setter standarden for personvern.
• Vi gjennomfører årlige IT-sikkerhets- og personvern-revisjoner fra DNV.
• Vi gjør interne revisjoner av IT-sikkerhet og personvern/GDPR hvert halvår.
• Alle nye ansatte må gjennom en grundig opplæring i GDPR, personvern og IT-sikkerhet, og bestå ulike tester før de kan begynne å jobbe i 99x.
• Vi jobber etter prinsippet om “Privacy as Default Setting”.

IT-sikkerhet og personvern er med andre ord ikke noe vi tar lett på. Og i tillegg til ovenstående, har vi en intern sikkerhetsportal der vi deler kunnskap og hvor alle ansatte kontinuerlig får opplæring og kurs. Vi er også med i Cloud Security Alliance.

GDPR og outsourcing

I 2018 fikk vi den nye personopplysningsloven. Loven har innlemmet EUs personvernforordning (GDPR - General Data Protection Regulation) samt særnorske regler. EU-forordningen er et sett lover som gjelder for alle EU/EØS-land.

Med GDPR-loven ønsker EU å sikre borgernes rettigheter, personvern og sikkerhet blant annet i forhold til digitale trusler, som datainnbrudd, cyberkriminalitet og personlig informasjon på avveie. GDPR har satt IT-sikkerhet på dagsorden for alle som jobber med programvare og IT-tjenester.

EUs GDPR-rammeverk er omfattende og komplekst og brudd på reglene kan medføre store bøter på mange millioner kroner, om virksomhetens omsetning er stor nok. Og det er konsernomsetningen som gjelder.

I Norge er GDPR-reglene innlemmet i Personopplysningsloven, som handler om behandling – altså innsamling og bruk – av personopplysninger. Loven gir virksomhetene en rekke plikter: Samtidig gir loven enkeltpersoner (ofte kalt registrerte) en rekke rettigheter. Og loven gjelder stort sett alle virksomheter.

“I 99x kan våre kunder være trygge på at all systemutvikling skjer i henhold til personvernprinsippene der personvern er innebygd (Privacy is Default Setting)”

I 99x kan våre kunder være trygge på at all systemutvikling skjer i henhold til personvernprinsippene der personvern er innebygd (Privacy is Default Setting). Det betyr at vi tar hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Dette skal sørge for at informasjonssystemene oppfyller personvernprinsippene og at det ivaretar de registrertes rettigheter. I reguleringen heter dette “Data Protection by Design and by Default”

Hjelper kundene med GDPR-regler

Som outsourcingspartner og leverandør av ulike tjenester knyttet til programvareutvikling, er det særlig to områder i GDPR-regelverket som vi i 99x må forholde oss til. Personvernforordningen skiller mellom begrepene behandlingsansvarlig og databehandler.

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Dette er vanligvis en virksomhet. Behandlingsansvarlig er den som har det juridiske ansvaret for at personopplysningene behandles i henhold til lovverket.

Databehandler er den som behandler personopplysninger på oppdrag fra den behandlingsansvarlige. En databehandler har med andre ord fått delegert en oppgave om å behandle personopplysninger fra en behandlingsansvarlig.

I de fleste prosjekter er vi en databehandler og inngår da en databehandleravtale med vår kunde (behandlingsansvarlig). Selv om vi svært sjelden har tilgang til personopplysninger, er det slik at teknologien vi utvikler, for eksempel en skytjeneste, ofte lagrer slike opplysninger. Skytjenesten er dermed en databehandler da lagringen i skytjenesten i seg selv er behandling av personopplysninger som skytjenesten gjør på vegne av den behandlingsansvarlige. Det er vanskelig å vite hva som er rett og galt i forhold til datainnsamling, bruk av teknologi og GDPR og personopplysningsloven. Særlig små og nystartede selskaper mangler ressursene som kreves for å sikre at man bruker teknologien i henhold til lovverket. Med erfaring fra mer enn 150 ulike utviklingsprosjekter, i hovedsak for norske kunder, kjenner 99x regelverk godt – og vi deler gjerne vår kunnskap og erfaring med våre kunder.

Les om hvordan vi hjelper norske virksomheter med IT-utvikling.

Facebook-effekten for outsourcing

Den 16. juli 2020 kom den såkalte Schrems II-dommen. EU-domstolen vurderte om Facebook brøt GDPR-reglene i forbindelse med at Facebook overførte personopplysninger om europeiske brukere til USA. Dommen har betydning for all overføring av personopplysninger fra land i EU til land utenfor EU.

Overføring av personopplysninger til land utenfor EU/EØS, såkalte tredjeland, krever at det må foreligge et overføringsgrunnlag. Årsaken er at personopplysningene vil “forlate” beskyttelsen GDPR gir. Privacy Shield og SCC har vært de to vanligste overføringsgrunnlagene, tiltak som sikrer at personopplysningene er beskyttet når de forlater EU/EØS.

Privacy Shield er en avtale mellom EU og USA, som kort sagt la til grunn at USA ga europeiske personopplysninger nok beskyttelse. SCC, EUs standardavtaler, er et avtaleverk hvor dataimportøren i mottakerlandet tar ansvar for å sikre beskyttelse av persondataene.

Trygg databehandling etter Schrems II

Sommeren 2020 kom altså Schrems II-dommen der EU-domstolen kom frem til at Privacy Shield er ugyldig som overføringsgrunnlag. Dommen påvirker naturlig nok mange av våre kunder og våre leveranser. Under gir jeg derfor et kort innblikk i hva 99x gjør for å sikre at overføring av data og personopplysninger skjer i henhold til GDPR-lovverket.

Fra vår side har vi gjort følgende:

1. Vi har gått gjennom det srilankiske lovverket for å sjekke om det gir tilstrekkelig beskyttelsesnivå, som etter GDPR. Sri Lanka har en personvernlov på trappene, som ikke er vedtatt ennå. Imidlertid er det lover som gir en viss beskyttelse av persondata, men ikke på nivå med GDPR.
2. Derfor har 99x implementert ekstra sikkerhet og kontroll som følger anbefalingene fra Det europeiske personverrådet (EDPB – European Data Protection Board). Disse prosessene kommer i tillegg til ISO 27001 og 27701 nevnt i starten av denne posten.

Samtidig må kunden gjøre følgende:

1. I utgangspunktet anbefaler vi at persondata ikke overføres til oss, men når persondata må overføres bør kunden bruke den siste utgaven av EUs standardavtale for dataoverføring (SCC).
2. Sjekk om det er mulig og nødvendig å legge inn ytterligere sikkerhetsmekanismer og kontroll. Det kan i tilfelle legges inn som del av avtalene rundt dataoverføring eller databehandling.

IT-sikkerhet, og riktig og trygg behandling av data og personopplysninger, er svært viktig for våre kunder – og derfor for oss. Våre kunder kan være helt trygge på at all systemutvikling skjer i henhold til personvernprinsippene der personvern er innebygd (Privacy is Default Setting).

Her kan du lese om våre løsninger.

Avtal et møte med oss for å vite mer om hvordan 99x kan hjelpe med å utvikle moderne og gode IT-løsninger.