Herudover var der alle risikovurderinger og konsekvensanalyser ved behandling af personoplysninger, der skulle gennemgås.
Det grundlæggende problem ved anvendelse af leverandører – databehandlere i et usikkert tredjeland er, at tredjelandets lovgivning ikke nødvendigvis har det samme beskyttelsesniveau af de registreredes personoplysninger som dét, vi har i EU.
F.eks. er det et krav, at virksomheden sikrer et tilstrækkeligt beskyttelsesniveau over for de registrerede ved brug af en leverandør i et usikkert tredjeland. Derudover skal virksomheden indledningsvist sikre et lovligt overførselsgrundlag, før der kan overføres personoplysninger til en leverandør i et usikkert tredjeland. Virksomheden kan vælge at bruge EU-Kommissionens standardkontraktsbestemmelser som overførselsgrundlag.
DPO’en blev i flere virksomheder bedt om at sikre, at der ikke blev brugt leverandører i tredjelande, for det var for besværligt at indgå en anden kontrakt end den, leverandøren havde fået udarbejdet af en advokat, og som de ikke ville fravige.
Standardkontraktsbestemmelser kan desværre ikke stå alene i arbejdet med at sikre en lovlig tredjelandsoverførsel. Det er et krav, at der skal foretages en risikovurdering ved tredjelandsoverførslen. I denne risikovurdering skal der foretages en vurdering af alle forhold, der gør sig gældende for den pågældende tredjelandsoverførsel, herunder især en vurdering af hvorvidt myndigheder i modtagerlandet har mulighed for at tilgå de omfattede personoplysninger. Denne risikovurdering kaldes for en Transfer Impact Assessment (bedre kendt som ”TIA”), og det kan være en tidskrævende og omfattende opgave at lave en TIA.
DPO’ens udfordringer i dag
Nu 5 år efter GDPR fandt anvendelse vil vi vove at påstå, at DPO-rollen er blevet mere udfordret og kompliceret i takt med, at vi får flere direktiver og forordninger indenfor sikkerhed som NIS2 og DORA. Net- og informationssikkerhedsdirektivet (NIS) var den første EU-dækkende lovgivning om cybersikkerhed, og dets specifikke mål var at opnå et højt fælles niveau af cybersikkerhed på tværs af medlemsstaterne. Selv om det øgede medlemsstaternes cybersikkerhedskapaciteter, viste det sig at være vanskeligt at implementere. For at reagere på de voksende trusler fra digitalisering og stigningen i cyberangreb, valgte EU at erstatte NIS-direktivet og dermed styrke sikkerhedskravene, adressere sikkerheden i forsyningskæder, strømline rapporteringsforpligtelser og indføre strengere tilsynsforanstaltninger og strengere håndhævelseskrav. Dette nye direktiv blev til NIS2.
NIS2 skal sikre, at den kritiske infrastruktur i Europa bliver løftet op på et sikkerhedsniveau, der er forsvarligt ift. nutidens risikobillede. Dette gøres ved at stille en række krav til virksomheder om etablering af procedurer, politikker, tekniske kontroller, sikkerhedsforanstaltninger i forbindelse med håndtering af hændelser og forsyningskæden, leverandørstyring, rapporteringskrav til myndigheder og uddannelse indenfor cybersikkerhed.
NIS2 gælder fra 18. oktober 2024.
DORA som står for Digital Operational Resilience Act skal modernisere og harmonisere it-tilsynet i den finansielle sektor på tværs af virksomhedstyper i hele EU. Det overordnede hensyn bag DORA er et ønske om at imødegå de risici, der udvikler sig i lyset af den stigende digitalisering af finanssektoren i hele Europa, som finder sted samtidig med den hurtige udvikling af cybertrusler mod finanssektoren.
DORA gælder fra 17. januar 2025.
Fremmede vilkår
DPO’en bliver derfor stillet overfor nye kontrakts vilkår via NIS2 og DORA, der pakkes ind i kontrakter, men er fremmede vilkår. Det kræves en væsentlig styrket intern organisering og fleksible parter for at nå til enighed om vilkårene. Især når kontrakterne pålægger jeres egen ledelse et personligt ansvar for, at den databehandling, som kontrakten understøtter, er lovlig, sikker og lever op til lovgivning på området. I værste valg kan det føre til, at ledelsen får forbud mod udøvelsen af ledelsesfunktioner og dette gælder for enhver fysisk person, der har ledelsesansvar på direktionsniveau.
Tidligere skulle DPO’en sikre og føre tilsyn med, at kontrakten påså de registreredes rettigheder, som er dem, vi behandler oplysninger om samt påse, at Datatilsynet har adgang til at føre kontrol med leverandøren og sætte krav til de passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risici, hos leverandører.
De nye fremmede vilkår vil i fremtiden fremgå af kontrakten og vil være:
• At leverandøren er sikret mod cyberangreb
• At leverandørens ledelse skal identificere cyberrisici for de systemer, som leverandører anvender til deres tjenester og lave risiko- og krisestyring samt godkende foranstaltninger og føre tilsyn hermed, modtage underretning af hændelser og rapportere til kunder og myndigheder og udarbejde strategi herfor
• At netværkes overvåges for at opdage potentielle hændelser herudover
• At der skal ske test af cybersikkerhed, herunder trusselbaseret penetrationstest eller red team test
Mon ikke med de flere direktiver og forordninger, der er på vej, at vi skal gentænke vores hidtidige kontrakter med leverandører?
Hvis du måtte have spørgsmål til artiklen eller skal have hjælp til implementering af GDPR, NIS2 og DORA, er du velkommen til at kontakte vores GDPR, NIS2 og DORA specialister via følgende link: Kontakt os omkring GDPR, NIS2 og DORA.