Kravet om DPIA Leverandørvurdering
GDPR Artikel 35 kræver Data Protection Impact Assessments for behandling, der sandsynligvis vil resultere i høj risiko for individers rettigheder og friheder. Storskala behandling af personoplysninger (Artikel 35(3)(b)) falder ind under dette krav. Når en organisation implementerer et anonymiseringsværktøj til storskala PII-behandling, skal DPIA'en evaluere værktøjet som en databehandler under GDPR Artikel 28.
Artikel 28 kræver, at databehandlere giver "tilstrækkelige garantier for at implementere passende tekniske og organisatoriske foranstaltninger" og at behandlingen skal "være underlagt en kontrakt eller anden retsakt i henhold til EU- eller medlemsstatslovgivning." En DPO, der udfylder en DPIA for et anonymiseringsværktøj, skal dokumentere: værktøjets sikkerhedsforanstaltninger, dets underbehandlerrelationer, dets databophold, dets procedurer for underretning om databrud og databehandlingsaftalen, der regulerer forholdet.
ISO 27001 certificering reducerer betydeligt dokumentationsbyrden for DPIA: BSI forskning (2024) fandt, at ISO 27001 certificerede organisationer reducerer tiden til sikkerhedsspørgeskemaer med 73%. Gartner fandt, at Fortune 500 sikkerhedsindkøb kræver ISO 27001 i 78% af RFP'er. Når anonymiseringsværktøjet er ISO 27001 certificeret, kan DPIA'en referere til certificeringen i stedet for at forsøge at verificere værktøjets sikkerhedskontroller uafhængigt.
Checkliste til leverandørvurdering af Artikel 28
DPO'er, der vurderer et anonymiseringsværktøj i forhold til kravene i GDPR Artikel 28, bør verificere:
1. Databehandlingsaftale: Er der en GDPR-kompatibel DPA tilgængelig? Dækker den alle nødvendige bestemmelser i Artikel 28: behandling kun på dokumenterede instrukser, fortrolighedsforpligtelser, sikkerhedsforanstaltninger, kontroller af underbehandlere, assistance til registreredes rettigheder, sletning eller returnering ved kontraktens ophør og revisionssamarbejde?
2. Dokumentation af sikkerhedsforanstaltninger: Er de tekniske og organisatoriske sikkerhedsforanstaltninger dokumenteret på en måde, der opfylder Artikel 32? For ISO 27001 certificerede værktøjer giver certificeringen og erklæringen om anvendelighed denne dokumentation.
3. Gennemsigtighed omkring underbehandlere: Bruger værktøjet underbehandlere? Er de opført og tilgængelige? Ændringer af underbehandlere kræver forudgående underretning til kontrolpersonen. Værktøjer, der bruger flere cloud-infrastrukturudbydere (for redundans, CDN osv.), skal dokumentere hver underbehandler.
4. Databophold: Hvor behandles og opbevares personoplysninger? For EU-baserede DPO'er kræves EU-databophold eller zero-knowledge arkitektur (ingen personoplysninger overføres til servere). US-baserede værktøjer kræver dokumenterede SCC'er eller BCR'er.
5. Underretning om databrud: Hvad er værktøjets procedurer for underretning om brud? GDPR Artikel 33 kræver underretning til tilsynsmyndigheden inden for 72 timer. Artikel 28 kræver, at databehandlere underretter kontrolpersonen "uden unødig forsinkelse" efter at være blevet opmærksom på et brud — hvilket skal ske før 72-timers uret.
6. Tilgængelighed af DPIA: Har værktøjsudbyderen gennemført deres egen DPIA? Er den tilgængelig for virksomhedskunder til inkludering i kontrolpersonens DPIA? En værktøjsudbyder, der ikke har gennemført en DPIA for deres egen behandling, skaber et dokumentationshul i kontrolpersonens DPIA.
7. Understøttelse af sletning og portabilitet: Kan værktøjet opfylde Artikel 17 (sletning) og Artikel 20 (portabilitet) forpligtelser? For zero-knowledge værktøjer, hvor ingen personoplysninger opbevares, kan spørgsmålet om sletning ikke opstå — men DPIA'en skal dokumentere dette.
Det østrigske forsikringsselskab DPO, der gennemfører en DPIA for deres klageanonymiseringsproces, kan anmode om og modtage: ISO 27001 certifikat, EU hostingdokumentation, DPIA og DPA fra en compliant værktøjsudbyder. Disse fire dokumenter giver fuld dækning af Artikel 28 DPIA. Tilsynsmyndighedens revision finder DPIA'en fuldstændig.
Kilder: