GDPR og avtalene deres: Hvilke krav stilles og hvordan oppfyller dere dem?

GDPR stiller tydelige krav til hvordan personopplysninger håndteres — ogsa i avtaler. Har dere oversikt over hvilke av avtalene deres som berorer persondata, og om de oppfyller kravene?

Hvilke avtaler berores?

Alle avtaler der personopplysninger behandles berores av GDPR. Det inkluderer ikke bare apenbare tilfeller som HR-systemer og kunderegister, men ogsa leverandøravtaler der underleverandører håndterer data pa deres vegne.

• ✓ IT-leverandører og skytjenester
• ✓ Lonnsadministrasjon og HR-systemer
• ✓ Markedsforingsverktoy og CRM
• ✓ Konsulenter med tilgang til interne systemer
• ✓ Renhold, vakthold og andre tjenesteleverandører med tilgang til lokaler

Databehandleravtale (DPA)

Nar en tredjepart behandler personopplysninger pa deres vegne, kreves en databehandleravtale (DPA). Avtalen skal spesifisere hvilke opplysninger som behandles, formalet, lagringsperiode og sikkerhetstiltak.

Uten DPA bryter dere med GDPR — uansett om leverandøren faktisk håndterer data korrekt eller ikke.

Vanlige mangler

• ✗ Manglende DPA-er — avtale finnes, men databehandleravtalen mangler eller er utdatert
• ✗ Utydelig datalagring — avtalen angir ikke hvor data lagres (EU/tredjeland)
• ✗ Ingen rutiner for sletting — avtalen mangler instruksjoner for hva som skal skje med data ved avtalens slutt
• ✗ Underleverandører uten støtte — leverandøren bruker underleverandører uten at det reguleres i avtalen

Hvordan Tagd hjelper med GDPR-compliance

Tagd kan identifisere hvilke av avtalene deres som sannsynligvis berorer personopplysninger og flagge om DPA mangler. AI-en gjennomgar klausuler relatert til personvern, lagringssted og sikkerhetstiltak.

"Vi trodde vi hadde DPA-er med alle leverandører. Tagd viste at vi manglet dem for 12 av 45 — inkludert var storste IT-leverandør."