I en stadig mer digitalisert og spesialisert verden, hvor virksomheter i stor grad benytter seg av eksterne leverandører for drift, vedlikehold eller utvikling av IT-systemer, oppstår det et kritisk skjæringspunkt mellom forretningsdrift og personvern.
Dette gjelder særlig når leverandørene, som såkalte databehandlere, gis tilgang til systemer som inneholder personopplysninger.
Kjerneproblemet er knyttet til styring av tilganger; hvordan sikrer oppdragsgiveren, som behandlingsansvarlig, at leverandørens ansatte kun har tilgang til opplysningene de strengt tatt trenger, og at denne tilgangen oppheves umiddelbart når behovet bortfaller.
Mangel på kontroll over dette kan raskt føre til alvorlige brudd på personvernforordningen (GDPR), inkludert uautorisert tilgang, datalekkasjer og misbruk av personinformasjon.
Den grunnleggende utfordringen ligger i at leverandøren har det daglige personalansvaret og kunnskapen om egne ansattes roller og oppgaver, mens oppdragsgiveren har det ultimate ansvaret for personopplysningene.
Uten klare, gjensidige forpliktelser kan det oppstå et "tilgangsgap" hvor tidligere ansatte hos leverandøren, eller ansatte som har byttet interne roller, fortsatt sitter med aktive tilganger til oppdragsgivers sensitive data. Dette er et av de mest utbredte sikkerhetsbruddene i leverandørkjeden. For å møte dette kreves en løsning som er forankret både juridisk, organisatorisk og teknisk.
Den beste strategien for å forhindre slike avvik er en kombinasjon av en krystallklar, avtalefestet plikt og aktiv overvåking fra oppdragsgivers side. Kjernen i den juridiske forankringen ligger i databehandleravtalen, som er lovpålagt i henhold til GDPR artikkel 28. Denne avtalen må gå lenger enn bare en generell henvisning til informasjonssikkerhet. Den må eksplisitt pålegge leverandøren en plikt til å håndheve prinsippet om "minste nødvendige tilgang" (need-to-know) på et detaljert nivå. Dette innebærer en avtalefestet forpliktelse om å etablere robuste interne rutiner for tilgangsstyring, inkludert systematisk dokumentasjon av hvem som har hvilken tilgang og hvorfor.
Enda viktigere er den avtalefestede plikten til aktivt å melde fra til oppdragsgiver straks en ansatts tjenstlige behov for tilgang opphører, enten ved oppsigelse, permittering eller endring av arbeidsoppgaver.
Dette juridiske fundamentet må understøttes av tekniske og organisatoriske tiltak.
Ideelt sett bør oppdragsgiveren, som dataansvarlig, selv opprettholde den tekniske kontrollen over tilgangene. Dette kan gjøres ved at oppdragsgiveren oppretter og deaktiverer brukerkontoene for leverandørens ansatte i sitt eget system, basert på instruks og bekreftelse fra leverandøren om tjenstlig behov.
Videre er logging og overvåking av all aktivitet i systemet et uunnværlig teknisk tiltak. Oppdragsgiveren må logge når leverandørens ansatte logger inn, hvilke data de aksesserer, og hvilke endringer de foretar. Denne loggføringen danner grunnlaget for aktiv overvåking og kan, sammen med regelmessige tilgangsrevisjoner (access reviews), raskt identifisere mistenkelig adferd eller passive, unødvendige tilganger.
Den gode løsningen er altså en integrert tilnærming. Den kontraktsmessige plikten sikrer at leverandøren har ansvaret for å holde orden og informere, mens oppdragsgiverens overvåking fungerer som et kontrollag som verifiserer at plikten etterleves.
Ved å kombinere en eksplisitt avtalefestet meldeplikt med sentralisert, teknisk kontroll og kontinuerlig logging, etableres en forsvarlig sikkerhetsstruktur som er i tråd med de strenge kravene i GDPRs ansvarlighetsprinsipp. Dette reduserer risikoen for urettmessig tilgang til personinformasjon til et akseptabelt nivå.
Et godt styringssystem, med tydelige instrukser for inngåelse av tjenesteavtaler og oppfølging av tjenesteleveranser, er således rettmessig metode for å sikre etterlevelse!
Senest revidert den 16.10.2025
Svein Roar Holt
Tlf: +47 410 40 853
E.post: srh@internkontrollportalen.no