Leverandørbytte og migrering av personopplysninger: hva må planlegges?

Ved leverandørbytte flyttes ofte store mengder personopplysninger på kort tid. Da bør virksomheten planlegge både ansvar, sikkerhet og sletting like nøye som selve systembyttet.

Denne guiden er skrevet som praktisk oversikt for bedrifter. Den erstatter ikke konkret juridisk vurdering av din faktiske situasjon, dokumentasjon eller frister.

Kort svar

Ved leverandørbytte flyttes ofte store mengder personopplysninger på kort tid. Da bør virksomheten planlegge både ansvar, sikkerhet og sletting like nøye som selve systembyttet.

Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvilke data som skal flyttes og hvorfor, hvordan ansvar, sikkerhet og tilgang skal håndteres i overgangsperioden og hva som skal slettes, beholdes eller bekreftes etterpå.

Når dette blir aktuelt

når CRM, HR-system eller annen datatung tjeneste skal byttes
når gammel og ny leverandør må håndtere data parallelt en periode
når virksomheten vil unngå at personvern blir et etterslep i migreringsprosjektet

Det bedriften bør avklare først

Spørsmål	Hvorfor det betyr noe
Hvilke data som skal flyttes og hvorfor	avgjør hvor kompleks migreringen faktisk er
Hvordan ansvar, sikkerhet og tilgang skal håndteres i overgangsperioden	er viktig for å redusere risiko
Hva som skal slettes, beholdes eller bekreftes etterpå	reduserer risikoen for at data blir liggende i begge miljøer

Slik bør dere gå fram

Kartlegg hvilke datakategorier, systemer og integrasjoner som blir berørt av byttet.
Avklar roller og ansvar mellom gammel leverandør, ny leverandør og virksomheten.
Planlegg teknisk og organisatorisk kontroll på eksport, import, test og tilgang i overgangsfasen.
Følg opp sletting, retur og dokumentasjon når migreringen er ferdig.

Dokumenter og spor som bør være på plass

I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.

migreringsplan og datakart for berørte systemer
avtaler med gammel og ny leverandør om eksport, bistand og sletting
sikkerhets- og tilgangsplan for overgangsperioden
bekreftelser på retur eller sletting etter avslutning

Typiske feil

prosjektet fokuserer på funksjonalitet og ikke på dataflyt og sletting
ansvaret mellom gammel og ny leverandør er for uklart
testdata og eksportfiler blir liggende i overgangsmiljøer uten oppfølging

Når bør dere få konkret hjelp?

Når byttet gjelder sentrale systemer eller store datamengder, bør personverndelen kvalitetssikres tidlig i prosjektet.

Leverandørbytte og migrering av personopplysninger: hva må planlegges?

Kort svar

Når dette blir aktuelt

Det bedriften bør avklare først

Slik bør dere gå fram

Dokumenter og spor som bør være på plass

Typiske feil

Når bør dere få konkret hjelp?

Relaterte guider

Offentlige kilder og videre lesning

Flere guider i Personvern

Behandlingsgrunnlag: hvordan velge riktig grunnlag

Personvernerklæring: hvem trenger det og hva bør stå der?

Databehandleravtale: hva må være med?

Protokoll over behandlingsaktiviteter: slik kommer du i gang

Selskapsrett

Skatterett

Arbeidsrett