2019-03-06

Hur säkerställs att vi har rätt personuppgiftsbiträdesavtal som faktiskt hjälper?

Vi lever i en värld som digitaliseras för att göra tjänster mer tillgängliga, snabbare anpassas till marknadens behov och bli mer effektiva. En naturlig följd av detta är att använda leverantörer och molntjänster som är specialister på drift och effektiva leveranser.

Mats Juhlén Specialist på it- och informationssäkerhet

Tyvärr har vi den senaste tiden sett flera incidenter där personuppgifter till följd av detta, utifrån ett säkerhetsperspektiv, behandlats felaktigt. Senast i ordningen har vi Vårdguiden 1177 men det är bara en i rad av incidenter där man troligtvis brustit i ansvarsroller och hantering av biträdesrollen. Det är inte i alla fall klart vem av aktörerna som brustit och vilket ansvar som kan fördelas mellan parterna men klargörande kommer. PR skadan är hur som helst uppenbar.

Hur hade då riskerna för felhantering kunnat minskas?

Vilken möjlighet har en personuppgiftsansvarig att begränsa sin skada från negativ PR och kostnader i form av sanktionsavgifter och skadestånd?

Instrumentet är personuppgiftsbiträdesavtalet, ni vet… det som blivit kvar som var organisations dåliga samvete och fortsatt orsakar alla möjliga praktiska bekymmer och huvudbry. Har vi avtal med dem vi behöver, innehåller avtalet vad det ska och hur vet vi att biträdet gör det vi avtalat om?

Oavsett vilken information som skall hanteras av andra än PuA så måste det starta med en analys av vilken information som kan flyttas till ett personuppgiftsbiträde och leverantör, samt beslut om hur uppgifterna skall skyddas. Steg två blir att klargöra rollerna, vad är vi i förhållande till leverantören? I merparten av fallen rör det sig inte ens om en PuA - PuB situation utan någon annan relation så som gemensamt ansvar eller, ännu vanligare faktiskt, två PuA oberoende av varandra. Det handlar om vem som bestämmer ändamål och medel med behandlingen – rent FAKTISK har kontroll.

Den avgörande fråga är hur stor självständig beslutanderätt över behandlingen har aktören?

Korrekt utfört gäller det sedan att i de fall det faktiskt skall upprättas avtal göra det efter Dataskyddsförordningens krav på innehållet i avtalet och det enskilda behovet av skydd. Det tredje steget är att enligt bestämmelser man avtalat om faktiskt följa upp biträdets behandling av personuppgifterna, att granska leverantörens behandlingar under hela avtalstiden. Med vilken frekvens detta behöver ske, hur det skall genomföras och till vilken kostnad skall framgå av personuppgiftsavtalet.

Börja därför med att göra en enkel analys enligt nedan om vem som är personuppgiftsansvarig

  • Vem har bestämt varför personuppgifter ska behandlas
  • Vem har bestämt medel för behandlingen, här avses både tekniska och organisatoriska åtgärder som avgör hur en behandling går till.
  • Avsikten med att fördela ansvaret handlar om att ge den registrerade fullgott skydd. Den som i en tolkning bäst gör det, är ansvarig. Om konflikt uppstår på så sätt att bestämmande över ändamål och medel fördelas på olika aktörer värderas den som ansvarig som bäst har möjlighet att fullgöra skyddet för den registrerade.

Detta fastställer om man är PuA, gemensamt PuA eller PuB.

Utifrån ovanstående upprättas korrekt avtal som säkerställer efterlevnad och innehåller två delar -tvingande innehåll och icke tvingande innehåll (instruktion), här finns stora möjligheter att effektivisera sitt framtida arbete med avtalen om man planerar väl.

Vi har säkert varit många som blev översköljda av biträdesavtal under 2018 och analysen gjordes kanske inte så grundligt som det behövdes och processen för uppföljning blev aldrig satt.

Känner ni att er organisation skulle behöva bättre förståelse för rollen som PuB och hur man ska förhålla sig till det så har vi målgruppsanpassade utbildningar för detta som går igenom de juridiska aspekterna kring PuA och PuB, och erbjuder stöd vid avtalsupprättelse och avtalsuppföljningar.

Kontakta oss för mer information sakerhet@atea.se.