Sluttrapport: Utprøving av tjeneste for personvern i leverandørkjeden

Målsetning med prosjektet

Formålet med prosjektet har vært å se hvilken effekt bedre innsikt i personvern i leverandørkjeden kan ha med hensyn på å treffe risikoreduserende tiltak, samt gi økt bestiller kompetanse for senere eventuelle anskaffelser innenfor cybersikkerhetsområdet.

Konklusjon

Utprøvingen oppfyller målsettingene med gode resultater og prosjektet anbefaler at det gjennomføres en anskaffelse.

Viktige funn

Den avsluttende spørreundersøkelsen og de avsluttende møtene indikerer at det er et bredt behov for tjenester for personvern i leverandørkjeden, og at dette vil være et nyttig verktøy for personvernfunksjoner. 

Det bemerkes:

• Det er et tilsvarende behov for oppfølging av KI-reguleringer i leverandørkjeden 
• En slik tjeneste vil være en integrert del av virksomheten som må integreres med arbeidsflyter og andre IT-verktøy
• En slik tjeneste er relativt enkel å ta i bruk, men det krever regelmessig oppfølging for å få verdi av investeringen
• Det er nødvendig med god veiledning, for eksempel for å håndtere varsler, for spesialbehov (for eksempel on-prem) og avvikshåndtering

Veien videre

Det anbefales å videreføre prosjektet med å etablere rammeavtaler (skyavtaler) med flere leverandører for personvern i leverandørkjeden basert på utprøvingen. Det er identifisert flere leverandører i markedet som kan tilby denne tjenesten, både som spesialiserte tjenester og som funksjoner i mer omfattende plattformer.

Rammeavtalen bør legge til rette for fleksibilitet til å tilpasse avrop etter virksomhetens behov, og hovedfokus bør ligge på tjenester som kan dekke behovet i bredden av offentlig sektor, inkludert for mindre virksomheter. 

Det bør også gjøres en vurdering av behovet for øvrige tjenester innen personvern, for eksempel behandlingsaktiviteter.