Detta är den tredje av fyra artiklar om leverantörskontroll i praktiken.
Låt oss säga att du gjorde vad jag föreslog i förra artikeln. Du valde en leverantör och kontrollerade vad de faktiskt har tillgång till.
Och du hittade något.
Kanske inte något dramatiskt. Kanske bara att leverantören har tillgång till lite mer än du trodde. Kanske att en integration sattes upp som du inte var medveten om. Kanske att de använder en underleverantör som inte nämns någonstans.
Så du gör det naturliga nästa: du hittar databearbetningsavtalet och öppnar det.
Och det är där det ofta blir obehagligt.
Avtalen beskriver en annan verklighet
Databehandlingsavtalet undertecknades för två år sedan. Det beskriver ett samarbete som då såg ganska annorlunda ut än det som finns idag.
Den gången använde ni en modul av leverantörens system. Nu använder ni tre. Den gången hanterade leverantören kontaktinformation. Nu tar de även emot HR-data eftersom någon kopplade på en ny integration. Den gången hade leverantören en underleverantör. Nu har de fyra — men avtalet nämner fortfarande bara den ena.
Ingen har gjort något fel. Verksamheten utvecklades. Avtalet stod stilla.
En ögonblicksbild i en värld i rörelse
Ett personuppgiftsbiträdesavtal är inte en regelbok. Det är en beskrivning av en relation — vid en given tidpunkt. Vad som behandlas, varför, av vem, med vilka säkerhetsåtgärder.
Men relationer förändras. System uppgraderas. Nya funktioner tas i bruk. Anställda hos leverantören byter roller. Underleverantörer kommer och går.
Om avtalet inte följer med – och det gör det nästan aldrig av sig själv – sitter du med ett dokument som ger dig en känsla av kontroll utan att ge dig verklig kontroll.
Det är värre än att inte ha en överenskommelse. För då vet du åtminstone att du saknar något.
En kaffeprat, inte ett revisionsprojekt
Du behöver inte en jurist för att överbrygga denna klyfta. Du behöver ett ärligt samtal.
Ring leverantören. Ställ tre frågor:
Vad behandlar vi för er idag? Inte vad avtalet säger — vad som faktiskt händer. Vilka data, vilka system, vilka syften. Be dem beskriva det med egna ord. Jämför med avtalet efteråt.
Använder ni underleverantörer som vi inte är informerade om? De flesta leverantörer är skyldiga att informera dig om ändringar i underleverantörer. Men många gör det inte proaktivt. Fråga direkt – svaret är ofta överraskande.
Har noe endret seg siden vi signerte avtalen? Nya funktioner, nya integrationer, nya lagringsplatser, ny personal med åtkomst. Om svaret är ja — och det är det nästan alltid — då bör avtalet uppdateras.
En halvtimme. Tre frågor. Enormt värde.
Vad gör du med svaren
Efter samtalen har du ett av tre utfall:
Allt stämmer. Avtalen speglar verkligheten. Bra – dokumentera att du har kontrollerat och sätt ett datum för nästa genomgång.
Små avvikelser. Verkligheten har förändrats lite – nya moduler, en extra underleverantör. Uppdatera avtalen. Det är oftast enkelt och tar en dag eller två.
Stora avvikelser. Leverantören behandlar data du inte kände till, på sätt som inte överenskommits. Då har du en verklig risk – inte för att leverantören är opålitlig, utan för att du inte har kontroll. Här behöver du ta ett steg tillbaka och bedöma om relationen är korrekt strukturerad.
Oavsett utfall: du har nu ett avtal som återspeglar verkligheten. Det är en bra plats att vara på.
Sett det i kalenderen
Den viktigaste förändringen du kan göra är den enklaste: sätt en årlig granskningsdag för dina viktigaste personuppgiftsbiträdesavtal. Behandla det som en kontraktsförnyelse — för det är det.
Bokföring sker löpande. Leverantörsavtal bör ses över löpande. Inte för att lagen kräver det – utan för att det är så du håller kontrollen.
I den senaste artikeln vänder vi på perspektivet: vad händer den dag då din kund ställer dig samma frågor?
