Kort svar
Ved leverandørbytte flyttes ofte store mengder personopplysninger på kort tid. Da bør virksomheten planlegge både ansvar, sikkerhet og sletting like nøye som selve systembyttet.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvilke data som skal flyttes og hvorfor, hvordan ansvar, sikkerhet og tilgang skal håndteres i overgangsperioden og hva som skal slettes, beholdes eller bekreftes etterpå.
Når dette blir aktuelt
- når CRM, HR-system eller annen datatung tjeneste skal byttes
- når gammel og ny leverandør må håndtere data parallelt en periode
- når virksomheten vil unngå at personvern blir et etterslep i migreringsprosjektet
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke data som skal flyttes og hvorfor | avgjør hvor kompleks migreringen faktisk er |
| Hvordan ansvar, sikkerhet og tilgang skal håndteres i overgangsperioden | er viktig for å redusere risiko |
| Hva som skal slettes, beholdes eller bekreftes etterpå | reduserer risikoen for at data blir liggende i begge miljøer |
Slik bør dere gå fram
- Kartlegg hvilke datakategorier, systemer og integrasjoner som blir berørt av byttet.
- Avklar roller og ansvar mellom gammel leverandør, ny leverandør og virksomheten.
- Planlegg teknisk og organisatorisk kontroll på eksport, import, test og tilgang i overgangsfasen.
- Følg opp sletting, retur og dokumentasjon når migreringen er ferdig.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- migreringsplan og datakart for berørte systemer
- avtaler med gammel og ny leverandør om eksport, bistand og sletting
- sikkerhets- og tilgangsplan for overgangsperioden
- bekreftelser på retur eller sletting etter avslutning
Typiske feil
- prosjektet fokuserer på funksjonalitet og ikke på dataflyt og sletting
- ansvaret mellom gammel og ny leverandør er for uklart
- testdata og eksportfiler blir liggende i overgangsmiljøer uten oppfølging
Når bør dere få konkret hjelp?
Når byttet gjelder sentrale systemer eller store datamengder, bør personverndelen kvalitetssikres tidlig i prosjektet.
Slik bruker dere guiden i praksis
For en bedrift er ikke målet å lese seg opp på leverandørbytte og migrering av personopplysninger i seg selv. Målet er å avklare hva som må besluttes, hvem som eier oppfølgingen, og hvilke dokumenter som bør tåle en senere kontroll, tvist eller intern gjennomgang.
Bruk derfor guiden som en arbeidsliste: start med formål, datatyper, tilgang, leverandører og sletterutiner, og fordel deretter oppgavene mellom systemeier, ledelse og den som eier kundereisen eller HR-prosessen. Da blir vurderingen mer konkret enn en generell regelavklaring, og dere reduserer risikoen for for brede datainnsamlinger, uklare leverandørroller og svak håndtering av innsyn eller brudd.
Spørsmål som gir bedre avklaring
- Hvilke personopplysninger behandles, og hvilket konkret formål støtter de?
- Hvem bestemmer bruken av opplysningene, og hvem behandler dem på vegne av bedriften?
- Hvilke systemer, leverandører og tilganger må inngå i vurderingen?
- Hva sier rutinen om informasjon, innsyn, sletting og avvik?
- Hvilke valg bør dokumenteres slik at de kan forklares ved kontroll eller spørsmål?
Et godt beslutningsgrunnlag bør vise
| Del | Hva bør stå klart |
|---|---|
| Formål | hvorfor opplysningene brukes, og om bruken er nødvendig |
| Roller | hvem som bestemmer behandlingen, og hvem som leverer systemer eller tjenester |
| Kontroll | hvordan tilgang, sletting, innsyn og avvik følges opp i praksis |
Denne typen oversikt gjør det enklere å prioritere riktig nivå på arbeidet. Den hjelper også bedriften å skille mellom det som kan løses med bedre intern rutine, det som bør avklares med motpart eller leverandør, og det som bør vurderes før dere tar neste formelle steg.
Relaterte guider
- Deling av personopplysninger i konsern eller med rådgivere: hva må vurderes?
- Overføring av personopplysninger til land utenfor EØS
- Sensitive personopplysninger: når er de i spill og hva kreves?