Kravet om Leverandørvurdering av DPIA
GDPR Artikkel 35 krever vurderinger av databeskyttelsespåvirkning for behandling som sannsynligvis vil medføre høy risiko for enkeltpersoners rettigheter og friheter. Storskala behandling av personopplysninger (Artikkel 35(3)(b)) faller innenfor dette kravet. Når en organisasjon implementerer et anonymiseringsverktøy for storskala PII-behandling, må DPIA-en evaluere verktøyet som en databehandler under GDPR Artikkel 28.
Artikkel 28 krever at databehandlere gir "tilstrekkelige garantier for å implementere passende tekniske og organisatoriske tiltak" og at behandlingen "reguleres av en kontrakt eller annen rettslig handling under Unionens eller medlemsstatens lovgivning." En DPO som fullfører en DPIA for et anonymiseringsverktøy må dokumentere: verktøyets sikkerhetstiltak, dets underbehandlerforhold, dets datalagring, dets prosedyrer for varsling av databrudd, og databehandlingsavtalen som regulerer forholdet.
ISO 27001-sertifisering reduserer betydelig dokumentasjonsbyrden for DPIA: BSI-forskning (2024) fant at ISO 27001-sertifiserte organisasjoner reduserer tiden for sikkerhetsspørreskjema med 73%. Gartner fant at Fortune 500 sikkerhetsinnkjøp krever ISO 27001 i 78% av RFP-ene. Når anonymiseringsverktøyet er ISO 27001-sertifisert, kan DPIA-en referere til sertifiseringen i stedet for å forsøke å uavhengig verifisere verktøyets sikkerhetskontroller.
Sjekkliste for Leverandørvurdering av Artikkel 28
DPO-er som vurderer et anonymiseringsverktøy mot kravene i GDPR Artikkel 28 bør verifisere:
1. Databehandlingsavtale: Er en GDPR-kompatibel DPA tilgjengelig? Dekker den alle nødvendige bestemmelser i Artikkel 28: behandling kun på dokumenterte instruksjoner, konfidensialitetsforpliktelser, sikkerhetstiltak, kontroller for underbehandlere, assistanse til registrertes rettigheter, sletting eller retur ved kontraktens slutt, og revisjonssamarbeid?
2. Dokumentasjon av sikkerhetstiltak: Er de tekniske og organisatoriske sikkerhetstiltakene dokumentert på en måte som tilfredsstiller Artikkel 32? For ISO 27001-sertifiserte verktøy gir sertifiseringen og erklæringen om anvendelighet denne dokumentasjonen.
3. Transparens for underbehandlere: Bruker verktøyet underbehandlere? Er de listet opp og tilgjengelige? Endringer i underbehandlere krever forhåndsvarsling til kontrolløren. Verktøy som bruker flere skytjenesteleverandører (for redundans, CDN, osv.) må dokumentere hver underbehandler.
4. Datalagring: Hvor behandles og lagres personopplysninger? For EU-baserte DPO-er kreves EU-datasikkerhet eller null-kunnskapsarkitektur (ingen personopplysninger overføres til servere). Verktøy basert i USA krever dokumenterte SCC-er eller BCR-er.
5. Varsling om databrudd: Hva er verktøyets prosedyrer for varsling om brudd? GDPR Artikkel 33 krever varsling til tilsynsmyndigheten innen 72 timer. Artikkel 28 krever at behandlere varsler kontrollørene "uten unødig forsinkelse" etter å ha blitt klar over et brudd — som må være før 72-timersklokken.
6. Tilgjengelighet av DPIA: Har verktøyleverandøren fullført sin egen DPIA? Er den tilgjengelig for bedriftskunder for inkludering i kontrollørens DPIA? En verktøyleverandør som ikke har fullført en DPIA for sin egen behandling skaper et dokumentasjonsgap i kontrollørens DPIA.
7. Støtte for sletting og portabilitet: Kan verktøyet oppfylle forpliktelsene i Artikkel 17 (sletting) og Artikkel 20 (portabilitet)? For null-kunnskapsverktøy der ingen personopplysninger lagres, kan spørsmålet om sletting ikke oppstå — men DPIA-en må dokumentere dette.
Det østerrikske forsikringsselskapet DPO som fullfører en DPIA for sin klageanonymiseringsprosess kan be om og motta: ISO 27001-sertifikat, EU-vertedokumentasjon, DPIA, og DPA fra en kompatibel verktøyleverandør. Disse fire dokumentene gir fullstendig dekning av Artikkel 28 DPIA. Tilsynsmyndighetens revisjon finner DPIA-en fullført.
Kilder: