Når I bruger leverandører til at behandle personoplysninger – fx hosting, e-mail, CRM eller andre systemer – kræver GDPR, at I har styr på jeres leverandører. Privanize identificerer jeres databehandlere, indsamler aftaler, gennemfører leverandørtilsyne og kontakter leverandører, hvor det er nødvendigt.
Leverandørstyring handler om at have styr på de virksomheder, I bruger til at behandle personoplysninger. GDPR kræver bl.a. databehandleraftaler og løbende tilsyn med jeres leverandører.
En databehandler er en virksomhed eller person, der behandler personoplysninger på jeres vegne – fx jeres hosting-udbyder, e-mailudbyder, CRM-system, bogholderssoftware eller cloud-lagring. I er datansvarlig – I bestemmer formålet med behandlingen. Leverandøren er databehandler – de udfører behandlingen for jer. GDPR stiller krav til både jer og dem.
GDPR kræver, at der er en skriftlig databehandleraftale mellem jer og hver databehandler. Aftalen skal bl.a. beskrive formålet med behandlingen, hvilke data der behandles, sikkerhedsforanstaltninger og leverandørens forpligtelser over for jer. Uden en gyldig aftale må I ikke lade leverandøren behandle personoplysninger. Derfor er det vigtigt at indsamle og bevare databehandleraftaler – så I kan dokumentere, at kravene er opfyldt.
En leverandørtilsyn (eller vendor review) er en vurdering af, om jeres leverandører behandler personoplysninger på en måde, der lever op til GDPR. I skal sikre jer, at leverandøren har passende tekniske og organisatoriske foranstaltninger – fx kryptering, adgangskontrol og procedurer ved databrud. leverandørtilsynet skal foretages, før I indgår aftale, og løbende herefter. Det dokumenterer, at I har tænkt over risikoen og tager jeres ansvar alvorligt.
Privanize overtager arbejdet med leverandørstyringen. Her er, hvordan det foregår:
Ud fra jeres fortegnelse og forretningsmodel identificerer vi, hvilke leverandører der behandler personoplysninger på jeres vegne – fx hosting, e-mail, CRM, bogholderssoftware og andre systemer. Så I får et komplet overblik.
Privanize kontakter jeres leverandører og indsamler databehandleraftaler – enten som selvstændig aftale eller som databehandlertilæg til den eksisterende aftale. Vi sikrer, at I har den dokumentation, GDPR kræver, samlet ét sted.
For at kunne vurdere leverandørens sikkerhed og GDPR-compliance beder vi om relevant materiale – fx sikkerhedsdokumentation, certificeringer eller svar på vores spørgsmål. Vi samler det, der skal bruges til gennemgangen.
Privanize gennemgår materialet og vurderer, om leverandøren lever op til kravene. Vi giver jer et klart overblik over risici og eventuelle mangler – og hvad der skal løses.
Hvis der er mangler eller uklarheder – fx manglende databehandleraftale eller utilstrækkelig dokumentation – tager Privanize kontakt til leverandøren på jeres vegne og arbejder på at få det løst.
Privanize gør vores bedste for at indsamle aftaler, materiale og kontakte leverandører på jeres vegne. Men nogle leverandører vil kun kommunikere direkte med jer og ikke med os. I disse situationer giver vi jer klare instruktioner om, hvordan I selv skal kontakte leverandøren, hvad I skal bede om, og hvordan I skal formulere jer. Så I har en konkret handlingsplan, selv når vi ikke kan tage dialogen for jer. Og vi står naturligvis til rådighed for spørgsmål hele vejen igennem.
Book et gratis møde og hør, hvordan Privanize kan overtage leverandørstyring og databehandleraftaler.
Book et gratis møde