GDPR gør det sværere at outsource it-opgaver uden for EU

13 marts 2018

En række nye betingelser skal opfyldes før en virksomhed fremover kan overdrage data ud af EU, og den kommende persondataforordning vil gøre det vanskeligere for danske virksomheder at outsource IT-opgaver til lande uden for EU.

Det er næppe gået mange i it-branchen forbi, at kravene til behandling af EU-borgeres data bliver skærpet med EU’s kommende persondataforordning, der har til formål at give borgerne kontrollen over egne persondata. Men hvordan sikrer man borgernes rettigheder, når flere selskaber i EU outsourcer IT-opgaver til leverandører uden for EU, der ikke er omfattet af forordningen? 

Dansk Standard har spurgt advokat Niels Christian Døcker, der er ekspert i persondatalovgivning, om, hvordan man som dansk virksomhed skal forholde sig til IT-outsourcing ud af EU under GDPR.

Kravene til outsourceren bliver strammere

- Forordningen dikterer ikke et direkte forbud mod at overdrage data til en databehandler i et tredjeland uden for EU, men oplister en række betingelser, der skal opfyldes, for at selve data-overdragelsen er lovlig, fortæller Niels Christian Døcker, og henviser til EU-Kommissionens forhåndsgodkendelse af 13 tredjelande og områder, såsom Isle of Man, New Zealand og Schweiz.

Kommissionen har altså på forhånd vurderet tredjelande, som er lande uden for EU, ud fra deres nationale lovgivning, så virksomheder kan se, om databehandlerne i det pågældende land har et tilstrækkeligt højt sikkerhedsniveau til frit at kunne overdrages data.

- Måske benytter en dansk virksomhed sig af et call-center i New Delhi, hvor der sidder nogle dygtige it-folk, der får til opgave at behandle danskeres data, der er blevet oplyst fx ved køb i en webshop. I det tilfælde er der tale om et tredjeland, der ikke er forhåndsgodkendt af EU-Kommissionen, og så skal den danske virksomhed i stedet kunne bevise, at en række bindende virksomhedsregler bliver opfyldt for at kunne overdrage data på lovlig vis, siger Niels Christian Døcker.

GDPR oplister 14 minimumspunkter under bindende virksomhedsregler, og der kommer derfor til at være langt flere definerede regler og sikkerhedsmekanismer at tage stilling til, inden man kan overdrage data i sammenligning med det nuværende direktiv.

- De bindende virksomhedsregler skal herefter godkendes af Datatilsynet, inden virksomheden kan overdrage data til fx call-centeret i New Delhi. Altså er bare det, at man overdrager data ulovligt, hvis ikke man har en godkendelse fra Datatilsynet, siger Niels Christian Døcker.

Det er ikke nyt, at man som dataansvarlig er påkrævet en skriftlig aftale, når man overlader persondata til en databehandler. Det nye ligger i listen af forhold, som nu skal indgå i aftalen, herunder fx organisatoriske og tekniske krav til databehandleren, særlige betingelser for samarbejde og kommunikation mellem den dataansvarlige virksomhed og behandleren samt risikofordeling i forbindelse med aftalebrud. Det betyder, at man er nødt til at løbe sine eksisterende aftaler igennem for at sikre, at de er på niveau med GDPR.

Din indiske leverandør er ikke ansvarlig for dine kunders data

Som virksomhed er man ansvarlig for den EU-borger, man har fået data fra, da det er mellem borger og virksomhed, der indgås en kontrakt i relation til persondata.

At man som virksomhed vælger at outsource databehandling til et tredjeland, fordi det fx er billigere, ændrer ikke ved, at ansvaret ved et eventuelt databrud pålægges ens egen virksomhed.

Det er dog gennemgående for GDPR, at der er en større frihedsgrad i forbindelse med almindelige persondata end i forbindelse med personfølsomme data. Persondata dækker over fx navn og alder, mens personfølsomme data fx kan være oplysninger om helbred.

Også de skærpede bødeforhold ved eventuelle databrud afhænger af typen af data. Er der tale om almindelige persondata er bødeniveauet op mod 2 pct. af virksomhedens globale omsætning, mens det er op mod 4 pct., hvis der er tale om personfølsomme data. Det er dermed afgørende at have overblik over, hvilken type data, man som virksomhed overdrager til et tredjeland.

Skab overblik og følg op på dit dataansvar

Ofte outsources opgaver forbundet til kundebetjening, programmering eller arkivering. Herudover er det udbredt at bruge ’Cloud Providers’ til dataopbevaring. Typen af data, der outsources, afhænger dog i høj grad af typen af virksomhed, og derved er gevinsten ved outsourcing også forskellig.

Dermed varierer typen af data, som it-leverandørerne håndterer fra forretningskritiske data til kunders persondata eller følsomme persondata om virksomhedens egne medarbejdere.

Forordningen kræver, at man tager stilling til sikkerheden af de persondata, som databehandleren får mellem hænderne, og at man gør overvejelser om, hvor de pågældende data rent fysisk befinder sig, hvor længe de opbevares og hvordan de tilbagekaldes, arkiveres eller slettes. Danske virksomheder skal altså have et klart billede af, hvilken type data, de overdrager, og hvordan data bliver behandlet hos leverandøren.

ISO 27001 og GDPR

For at skabe det overblik kan man anvende den internationale standard for informationssikkerhed, ISO 27001. Kravene til beskyttelse af informationer efter ISO 27001 fungerer nemlig som et velegnet skelet til at tackle de nye lovkrav i persondataforordningen. Derfor er et godt udgangspunkt at sikre sig, at den virksomhed, man outsourcer til, lever op til kravene i ISO 27001, som er kendt og anerkendt over hele verden - også uden for EU.

- Omdrejningspunktet for standarden er risikostyring. ISO 27001 giver et overblik over organisationens informationer og understøtter en passende beskyttelse af de data, som outsources. Standarden kan altså være med til at sikre, at man udarbejder aftaler og følger op på outsourcing-partneres performance med afsæt i et opdateret risikobillede. Derved kan man indbygge foranstaltninger til at beskytte den registreredes rettigheder, som er afstemt efter en vurdering af risici i den konkrete leverandørrelation, siger Anders Linde, konsulent hos Dansk Standard.

Derudover sikrer forslagene til kontroller i ISO 27001’s anneks, at man som virksomhed tager aktivt stilling til behovet for at overvåge eller måske auditere sine leverandørers services og performance.

- Standardens generelle fokus på dokumentation af organisationens informationssikkerhedsadfærd er også i tråd med forordningens fokus på dokumentation af lovmedholdelighed, afslutter Anders Linde.

Niels Christian Døcker anbefaler desuden, at man som dansk virksomhed altid fører et krav om at efterleve GDPR ind i leverandør- og databehandleraftaler – uanset om man indgår aftale med en virksomhed inden for EU, i et land forhåndsgodkendt af EU-Kommissionen eller i et tredjeland, da der kan ske databrud uanset beliggenhed, og at man i et sådant tilfælde kan henvise til kontraktuelle forhold virksomhederne imellem i den efterfølgende afklaring af databruddet.