Schrems-II-dommen: Hvordan ruste seg best mulig?
KOMMENTAR: Nylig skapte Schrems-II-dommen hodebry for alle som driver med leverandøroppfølging. Heldigvis vil en ny tjeneste på ServiceNow-plattformen bidra til at liknende hendelser i fremtiden ikke blir like krevende, skriver Steinar Østmoe og Sebastien Fix.
Privacy Shield er et rammeverk som ble godkjent av EU-kommisjonen i 2016 for å overføre personopplysninger fra EU til USA, lovlig og effektivt. Amerikanske selskap forpliktet seg til å ivareta EU-borgeres rettigheter gjennom å benytte rammeverket. Ordningen påla selskapene blant annet å opprette et uavhengig klageorgan, og inneholdt en ombudsmannsløsning.
Etter fire år kom nå EU-domstolen til at rammeverket allikevel ikke ga tilstrekkelig beskyttelse av personopplysninger, på bakgrunn av etterretningslovgivningen i USA. Dommen som kalles Schrems-II-dommen, skapte en krevende situasjon for europeiske virksomheter som selv, eller som bruker leverandører eller underleverandører som utleverer personopplysninger til USA.
Underleverandører
Å ivareta nye regulatoriske krav i egen organisasjon kan være krevende. I hvert fall når de kommer raskt og uventet som Schrems-II-dommen. Et ting er å sikre at egen virksomhet handler i tråd med lovendringer, men å sikre at underleverandører gjør det samme, er krevende. Da er det spesielt tre hovedmomenter man må ha kontroll på:
- Oppdatert oversikt over kravene i relevant regelverk
- En sentral oversikt over leverandører
- Dokumentert oppfølging av krav overfor leverandører som følge av endringer i regelverket
I etterkant av Schrems-II-dommen var det mange virksomheter som ikke hadde kontroll. Flere virksomheter møtte utfordringer som ufullstendig oversikt over relevant regelverk, ingen sentral oversikt over leverandører, manuelle kommunikasjonskanaler, og mangelfull dokumentasjon av kommunikasjon og krav mot leverandører.
ServiceNow – en løsning
En løsning for å få bedre oversikt, er å opprette en felles portal for virksomheten og leverandørene, basert på ServiceNow. Portalen gir oversikt over relevant regelverk som gjelder virksomhetens ulike prosesser, og sørger for at alle de individuelle regulatoriske kravene følges opp på detaljnivå. Kravene kan kobles mot hver enkelt leverandør, og oppfølging av etterlevelse kan i stor grad automatiseres. Dette innebærer at ServiceNow også kan gi oversikt over relevant informasjon dersom tilsynsmyndighete kontrollerer etterlevelse, uten behov for manuelle saksbehandlingsskritt.
Thompson Reuters Regulatory Intelligence
Snart blir det også enda enklere å bruke levrandørportalen. ServiceNow skal nemlig integrere Thompson Reuters Regulatory Intelligence i sine løsninger. Dette er en tjeneste som overvåker og varsler om endringene i lovverk fra over 1000 regulatoriske myndigheter og domstoler. Når en lovendring som Schrems-II-dommen inntreffer, blir bedriften da varslet og kan vurdere oppfølging av leverandørene som berøres av endringene via leverandørportalen i ServiceNow. Leverandørportalen kan sende ut forhåndsdefinert informasjon og spørreskjema til leverandører, som en del av virksomhetens kommunikasjonsplan.
Leverandører benytter så portalen for å enkelt dokumentere etterlevelse eller igangsette tiltak. Portalen vil til enhver tid en komplett oversikt for alle parter om manglende informasjon eller avvik.
Når store endringer i regelverket kommer raskt og uventet hjelper det å samle virksomheten og leverandørene på en integrert plattform. Med en leverandørportal får man kontinuerlig oversikt over leverandørene og dokumentert kommunikasjon på en strukturert måte. Da blir hverdagen enklere, og virksomheten står bedre rustet neste gang en dom som Schrems-II inntreffer.
Steinar Østmoe, fagekspert personvern og informasjonssikkerhet, Sopra Steria
Sebastien Fix, Seniorrådgiver for virksomhetsstyring, Sopra Steria
