GDPR og avtalene deres: Hvilke krav stilles og hvordan oppfyller dere dem?

GDPR stiller tydelige krav til hvordan personopplysninger handteres — ogsa i avtaler. Har dere oversikt over hvilke av avtalene deres som berorer persondata, og om de oppfyller kravene?

Hvilke avtaler berores?

Alle avtaler der personopplysninger behandles berores av GDPR. Det inkluderer ikke bare apenbare tilfeller som HR-systemer og kunderegister, men ogsa leverandoravtaler der underleverandorer handterer data pa deres vegne.

• ✓ IT-leverandorer og skytjenester
• ✓ Lonnsadministrasjon og HR-systemer
• ✓ Markedsforingsverktoy og CRM
• ✓ Konsulenter med tilgang til interne systemer
• ✓ Renhold, vakthold og andre tjenesteleverandorer med tilgang til lokaler

Databehandleravtale (DPA)

Nar en tredjepart behandler personopplysninger pa deres vegne, kreves en databehandleravtale (DPA). Avtalen skal spesifisere hvilke opplysninger som behandles, formalet, lagringsperiode og sikkerhetstiltak.

Uten DPA bryter dere med GDPR — uansett om leverandoren faktisk handterer data korrekt eller ikke.

Vanlige mangler

• ✗ Manglende DPA-er — avtale finnes, men databehandleravtalen mangler eller er utdatert
• ✗ Utydelig datalagring — avtalen angir ikke hvor data lagres (EU/tredjeland)
• ✗ Ingen rutiner for sletting — avtalen mangler instruksjoner for hva som skal skje med data ved avtalens slutt
• ✗ Underleverandorer uten stotte — leverandoren bruker underleverandorer uten at det reguleres i avtalen

Hvordan Tagd hjelper med GDPR-compliance

Tagd kan identifisere hvilke av avtalene deres som sannsynligvis berorer personopplysninger og flagge om DPA mangler. AI-en gjennomgar klausuler relatert til personvern, lagringssted og sikkerhetstiltak.

"Vi trodde vi hadde DPA-er med alle leverandorer. Tagd viste at vi manglet dem for 12 av 45 — inkludert var storste IT-leverandor."