Når virksomheder får foretaget hele eller dele af deres databehandling af en anden virksomhed – herunder, hvis virksomheden benytter sig af en ekstern cloud-løsning – er det nødvendigt at sikre, at leverandøren lever op til de samme krav til sikker og ansvarlig databehandling, som virksomheden selv gør. Det er nemlig virksomhedens ansvar at sikre, at leverandøren har et tilstrækkeligt niveau af it-sikkerhed og ansvarlighed i sin databehandling, og at leverandøren beskytter den registreredes rettigheder i overensstemmelse med GDPR. Enhver person ejer den juridiske ret til sine egne data, og når andre (fx virksomheder eller deres leverandører) bruger dem, er de kun til låns. Derfor er det vigtigt, at virksomheden foretager en grundig risikovurdering af leverandørens opbevaring, processer, sikkerhedsforanstaltninger, beredskab, test af sikkerhedsløsninger, behandling af persondata og løbende afrapportering heraf forud for indgåelse af kontrakt.
Formålet er, at virksomheden skal have overblik over de leverandører, der håndterer personoplysninger og forretningskritiske data eller på anden måde kan påvirke virksomhedens it-sikkerhed. Virksomheden har formuleret passende it-sikkerhedskrav og krav til ansvarlig dataanvendelse hos leverandørerne og har implementeret kravene kontraktuelt. Større virksomheder foretager risikovurderinger af sine leverandører.
4.1 Leverandørlivscyklus og risikovurdering
Virksomheden skal kortlægge leverandører som behandler personoplysninger og forretningskritiske data og sikre at disse leverandører kan leve op til virksomhedens krav, før der indgås en aftale.
4.1.1 Leverandørlivscyklus og risikovurdering
4.2 Krav til it-sikkerhed hos leverandører
Virksomheden skal stille krav til it-sikkerheden hos sine leverandører, som behandler eller kan påvirke sikkerheden af personoplysninger og/eller forretningskritiske data. Målet er at sikre et aftalt it-sikkerhedsniveau i leverandørens leverancer og serviceydelser, samt at sikre aktiver i egen virksomhed i forhold til leverandører.
4.2.1 Krav til it-sikkerhed hos leverandører
4.3 Krav til ansvarlig databehandling hos leverandører
Virksomheden skal stille krav til ansvarlig databehandling, herunder dataetik og databeskyttelse (jf. GDPR). Udover at dataanvendelsen skal leve op til gældende love og rammeværker, er det nødvendigt at leverandøren lever op til de samme kriterier, som virksomheden selv gør ift. D-mærket.
4.3.1 Krav til persondatabehandling hos leverandører
4.3.2 Krav til dataetisk behandling hos leverandører