Odense Universitetshospital har mødt betydelige driftsmæssige udfordringer som følge af et hackerangreb på en af deres vigtige leverandører i juni. Hændelsen ramte det centrale styringssystem og gjorde blandt andet, at temperaturer på køleenheder, rumtemperaturer og opbevaring af medicin blev påvirket.
"Det er tankevækkende, at der ikke har været bedre leverandørstyring, end at det her kan ske," udtaler tech-korrespondent fra Danmarks Radio i en artikel om sagen.
Eksemplet understreger, hvor vigtigt leverandørsamarbejde er for cybersikkerheden.
Så hvordan administrerer I jeres leverandører? Hvordan sikrer I et stærkt samarbejde? Svaret er databehandleraftaler.
Læs også: How-to: Effektiv leverandørstyring i 3 trin.
Sidste gæst til festen
Leverandørsamarbejdet starter med, at din organisation (f.eks. nogen fra IT) beslutter at outsource noget arbejde eller købe et nyt system, hvor håndtering af persondata er involveret. Når leverandøren er valgt, forhandles en hovedkontrakt og en databehandleraftale.
En databehandleraftale er et juridisk dokument, der beskriver vilkårene for, hvordan data skal behandles af en databehandler på vegne af en dataansvarlig. I GDPR artikel 28, paragraf 3 og 4 står der, at der skal laves en databehandleraftale, men der står ikke præcis, hvad den skal indeholde. Det giver plads til at få dine egne krav ind. Og det samme gælder for leverandøren. Det er altså et dokument, man ikke nødvendigvis er enige om fra starten. Det kan blive en forhandling.
Compliance medarbejderen er højst sandsynligt involveret i udarbejdelsen og forhandlingen af databehandleraftalen.
Hun er ansvarlig for senere at føre tilsyn med leverandøren og for generelt at sikre, at persondata holdes sikker. Hun ved derfor meget om, hvordan en fornuftig kontrakt skal se ud og vil kunne forhandle de relevante detaljer såsom tidsfrister, omkostninger og ansvar i tilfælde af et databrud.
Alligevel er det vores erfaring, at hovedkontrakten ofte underskrives, uden at compliance medarbejderen er involveret, og så er leverandøren ikke længere åben for at forhandle vilkårene i databehandleraftalen, fordi handlen allerede er lavet.
“Databehandleraftalen danner grundlaget for ansvarsområder og fremtidige tilsyn. Hvis jeres betingelser ikke er inkluderet i aftalen, begrænser det, hvad der kan anmodes om senere. Derfor er det så vigtigt for det fremtidige samarbejde at få det på plads helt fra starten, inden hovedkontrakten underskrives. Compliance medarbejderen skal være en del af hele processen for at sikre dette,” forklarer Helle Dollerup Mortensen, GDPR og Compliance Specialist i Wired Relations.
Læs også: Leverandørtilsyn er et mareridt. Sådan gør du dem lidt mindre tidskrævende
Hvem er ansvarlig? Forhandlingerne
Der er mange ting – mange vigtige ting – der kan være genstand for forhandlinger.
En ting er metoden for tilsyn – skal det være et fysisk møde, et spørgeskema eller en revisorerklæring?
Hvornår skal et databrud anmeldes til den dataansvarlige? Og hvem er ansvarlig i tilfælde af et databrud? Det er muligt at outsource ansvaret og gøre leverandøren ansvarlig i tilfælde af tab, økonomisk eller omdømme, på grund af et databrud.
Hvornår skal leverandøren informere om brugen af en ny underdatabehandler, og hvor lang tid har den dataansvarlige til at gøre indsigelse mod en potentiel ny underdatabehandler?
Tilsyneladende små detaljer kan have en betydelig indflydelse på en virksomhed. Derfor er det afgørende at skabe en kultur, hvor compliance medarbejderen er involveret fra starten. Denne praksis varetager ikke kun de registreredes interesser, men styrker også virksomhedens finansielle stabilitet og overordnede organisatoriske sundhed.
Skabeloner som vejledning
I Danmark har Datatilsynet udarbejdet en skabelon til en databehandleraftale. Brug af en anerkendt skabelon kan forenkle forhandlingerne ved at give et fælles udgangspunkt.
Leverandørsamarbejde på tværs af landegrænser kan være mere komplekst på grund af forskellige juridiske rammer. Her kan det være en fordel at bruge standardkontraktklausulen fra EU-Kommissionen.
Ligeledes kan omfanget af forhandlingerne afhænge af størrelsen på den virksomhed, I forhandler med. Store virksomheder har ofte en standard databehandleraftale, som de bruger, hvor der vil være lidt eller ingen plads til forhandling. Her vil det være et spørgsmål om at beslutte, hvor vigtig den specifikke leverandør er for din virksomhed.
Det afgørende punkt at huske er, at databehandleraftaler etablerer grundlaget for et potentielt langsigtet leverandørsamarbejde, der er afgørende for din organisation.
Så det er bare med at komme i gang.
3 værdifulde tips til at forhandle en databehandleraftale
Brug standardiserede skabeloner som udgangspunkt (enten national eller europæisk), så er de vigtigste punkter allerede dækket.
Vær så konkret som mulig i dine beskrivelser, så overførslen af data sker på en betryggende måde.
Stil ikke flere krav end nødvendigt.
Se, hvordan Wired Relations kan hjælpe med at administrere jeres leverandører – Book en demo
Leverandørstyring kræver en god governance-struktur: I dette webinar taler vi med Mona Persson fra TDC NET om, hvordan de har skabt en god privacy kultur via governance. Du får en masse gode input til, hvordan du kan arbejde med governance i forbindelse med nye leverandører og systemer.
