Kravet på DPIA Leverantörsbedömning
GDPR Artikel 35 kräver Data Protection Impact Assessments för behandling som sannolikt kommer att medföra hög risk för individers rättigheter och friheter. Storskalig behandling av personuppgifter (Artikel 35(3)(b)) faller inom detta krav. När en organisation implementerar ett anonymiseringsverktyg för storskalig PII-behandling, måste DPIA:n utvärdera verktyget som en databehandlare enligt GDPR Artikel 28.
Artikel 28 kräver att databehandlare tillhandahåller "tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder" och att behandlingen "regleras av ett avtal eller annan rättslig åtgärd enligt unions- eller medlemsstatslag." En DPO som slutför en DPIA för ett anonymiseringsverktyg måste dokumentera: verktygets säkerhetsåtgärder, dess underleverantörsrelationer, dess databostad, dess rutiner för dataintrångsmeddelande och databehandlingsavtalet som reglerar relationen.
ISO 27001-certifiering minskar avsevärt dokumentationsbördan för DPIA:er: BSI-forskning (2024) visade att ISO 27001-certifierade organisationer minskar tiden för säkerhetsfrågeformulär med 73%. Gartner fann att Fortune 500:s säkerhetsupphandling kräver ISO 27001 i 78% av RFP:erna. När anonymiseringsverktyget är ISO 27001-certifierat kan DPIA:n hänvisa till certifieringen istället för att försöka verifiera verktygets säkerhetskontroller oberoende.
Checklista för leverantörsbedömning enligt Artikel 28
DPO:er som bedömer ett anonymiseringsverktyg mot kraven i GDPR Artikel 28 bör verifiera:
1. Databehandlingsavtal: Finns det ett GDPR-kompatibelt DPA tillgängligt? Täcker det alla nödvändiga bestämmelser i Artikel 28: behandling endast på dokumenterade instruktioner, sekretessåtaganden, säkerhetsåtgärder, kontroller av underleverantörer, hjälp med rättigheter för registrerade, radering eller återlämnande vid avtalets slut, och revisionssamarbete?
2. Dokumentation av säkerhetsåtgärder: Är de tekniska och organisatoriska säkerhetsåtgärderna dokumenterade på ett sätt som uppfyller Artikel 32? För ISO 27001-certifierade verktyg tillhandahåller certifieringen och tillämplighetsdeklarationen denna dokumentation.
3. Transparens kring underleverantörer: Använder verktyget underleverantörer? Är de listade och tillgängliga? Ändringar av underleverantörer kräver föregående meddelande till den personuppgiftsansvarige. Verktyg som använder flera molninfrastrukturleverantörer (för redundans, CDN, etc.) måste dokumentera varje underleverantör.
4. Databostad: Var behandlas och lagras personuppgifter? För EU-baserade DPO:er krävs EU-databostad eller zero-knowledge-arkitektur (inga personuppgifter överförs till servrar). USA-baserade verktyg kräver dokumenterade SCC:er eller BCR:er.
5. Meddelande om dataintrång: Vilka är verktygets rutiner för meddelande om intrång? GDPR Artikel 33 kräver meddelande till den tillsynsmyndighet inom 72 timmar. Artikel 28 kräver att databehandlare meddelar den personuppgiftsansvarige "utan onödigt dröjsmål" efter att ha blivit medveten om ett intrång — vilket måste ske innan 72-timmarsklockan börjar.
6. Tillgång till DPIA: Har verktygsleverantören slutfört sin egen DPIA? Är den tillgänglig för företagskunder för inkludering i den personuppgiftsansvariges DPIA? En verktygsleverantör som inte har slutfört en DPIA för sin egen behandling skapar en dokumentationslucka i den personuppgiftsansvariges DPIA.
7. Stöd för radering och portabilitet: Kan verktyget uppfylla Artikel 17 (radering) och Artikel 20 (portabilitet) åtaganden? För zero-knowledge-verktyg där inga personuppgifter lagras kan frågan om radering kanske inte uppstå — men DPIA:n måste dokumentera detta.
Det österrikiska försäkringsbolaget DPO som slutför en DPIA för sin klagan anonymiseringsprocess kan begära och få: ISO 27001-certifikat, EU-värd dokumentation, DPIA och DPA från en kompatibel verktygsleverantör. Dessa fyra dokument ger fullständig täckning av Artikel 28 DPIA. Den tillsynsmyndighetens revision finner att DPIA:n är komplett.
Källor: