Coherta made in Denmark
Få en demo

Support Universe

Hvad er en Transfer Impact Assessment (TIA)?

En Transfer Impact Assessment (TIA) er en dokumenteret risikovurdering, du laver, når personoplysninger overføres til et tredjeland (typisk uden for EU/EØS). Formålet er at vurdere, om modtagerlandet og leverandørens setup reelt giver et beskyttelsesniveau, der svarer til GDPR – og hvilke supplerende foranstaltninger du skal indføre.

Hvad består en Transfer Impact Assessment (TIA) af?

En TIA er ikke “endnu et compliance-dokument”. Det er din praktiske begrundelse for, at en international dataoverførsel kan gennemføres lovligt og forsvarligt. I praksis består en stærk TIA af en kombination af juridisk analyse, teknisk vurdering og konkrete beslutninger.

  • Overblikket over overførslen: Hvilke personoplysninger overføres, hvem er dataansvarlig/databehandler, og hvad er formålet?
  • Overførselsgrundlaget: Typisk EU-Kommissionens Standard Contractual Clauses (SCC) samt databehandleraftale og relevante bilag.
  • Vurdering af modtagerlandets regler og praksis: Om myndighedsadgang, tilsyn, retsmidler og praksis kan undergrave beskyttelsen.
  • Vurdering af leverandørens konkrete setup: Hosting, underdatabehandlere, supportadgang, logning, kryptering, nøglehåndtering m.m.
  • Risikokonklusion: Hvad er de realistiske risici for registrerede, og kan de reduceres til et acceptabelt niveau?
  • Supplerende foranstaltninger: Tekniske, organisatoriske og kontraktuelle tiltag (fx stærk kryptering, begrænset adgang, transparenskrav, audit-ret).
  • Beslutning og dokumentation: Go/no-go, godkendelser, ansvarlige, og hvornår vurderingen skal genbesøges.

Hvordan fungerer en Transfer Impact Assessment (TIA)?

TIA-processen fungerer som din “reality check” af, om SCC’er og kontrakter i sig selv er nok. Efter Schrems II blev det tydeligt, at nogle tredjelande kan have lovgivning eller praksis, der gør, at leverandøren kan blive pålagt at udlevere data – også selvom kontrakten siger noget andet. Derfor skal du vurdere, om der i praksis findes et beskyttelsesniveau, der er “essentielt ækvivalent” med EU.

Det betyder, at du typisk arbejder i tre spor samtidig:

  • Jura: Hvilke love kan give myndigheder adgang? Findes der effektive klagemuligheder for EU-registrerede? Er der retsgarantier?
  • Teknik: Er data krypteret i transit og i hvile? Hvem har adgang til nøglerne? Er der mulighed for “remote access” fra tredjeland?
  • Drift/organisation: Hvem hos leverandøren kan tilgå data, hvornår, og under hvilke kontroller? Findes der processer for myndighedsanmodninger?

En vigtig pointe: TIA handler ikke kun om, hvor leverandøren har hovedkontor. Den handler om, hvor data behandles, hvor support og administration kan tilgå data fra, og om leverandøren er underlagt lovgivning, der kan påvirke behandlingen.

Hvorfor er Transfer Impact Assessment (TIA) vigtigt for B2B-virksomheder?

Som B2B-virksomhed arbejder du næsten altid med systemer, der håndterer personoplysninger: CRM, marketing automation, kundeserviceplatforme, analyseværktøjer og cloud hosting. Mange af disse løsninger har globale leverandørkæder, og selv “EU-hosting” kan involvere adgang fra tredjelande via support, drift eller underdatabehandlere.

TIA er vigtig, fordi den:

  • Reducerer regulatorisk risiko: Du kan dokumentere, at du har vurderet overførslen, og at du har truffet proportionelle sikkerhedsforanstaltninger.
  • Skaber beslutningskraft i indkøb og IT: Du får et konkret grundlag for at vælge leverandører og stille de rigtige krav til databehandling.
  • Styrker tillid i salgsprocesser: Mange kunder (især enterprise og offentlige) forventer, at du kan redegøre for dataoverførsler og sikkerhed.
  • Forebygger “compliance-gæld”: Hvis du først opdager problemer, når en kunde spørger eller et tilsyn starter, bliver løsningen dyrere og mere forstyrrende.

Der er også en forretningsvinkel: Når du arbejder struktureret med compliance og datapraksis, bliver det nemmere at skalere marketing og leadgenerering uden at få flaskehalse i legal/IT. Hvis du fx bygger en mere systematisk proces for, hvem du markedsfører til, og hvordan data flyder mellem platforme, kan du samtidig få mere styr på din målretning. Her kan det give mening at arbejde ud fra en tydelig ideel kundeprofil, så du kun indsamler og aktiverer de data, du reelt har brug for.

Hvordan bruges Transfer Impact Assessment (TIA) i praksis?

I praksis opstår behovet for en TIA typisk i disse situationer:

  • Når du tager en ny SaaS-løsning i brug, hvor data kan behandles uden for EU/EØS.
  • Når din eksisterende leverandør ændrer underdatabehandlere, hosting-setup eller supportmodel.
  • Når du vil koble systemer sammen (fx CRM + marketing automation + databerigelse) og data dermed bevæger sig på tværs af leverandører.
  • Når en kunde kræver dokumentation som del af vendor due diligence.

En praktisk tilgang er at starte med et datakort: Hvilke data flyder hvorhen, og hvem kan tilgå dem? For mange B2B-teams ligger personoplysninger i salgs- og marketingstakken, fx når leads synkroniseres til automatiserede flows. Hvis du fx arbejder med marketing automation, bør du også have styr på, hvordan leaddata sendes og opbevares i dine systemer. Se fx, hvordan du kan arbejde med leads til ActiveCampaign på en måde, hvor dataflowet er tydeligt og dokumenterbart.

Dernæst vurderer du, om overførslen kan begrænses. Et af de mest effektive risikoreducerende greb er dataminimering: Overfør kun det, der er nødvendigt, og undgå følsomme data i værktøjer, der ikke kræver dem. Overvej også pseudonymisering, segmentering af adgang og korte retention-perioder.

Til sidst beslutter du, hvilke supplerende foranstaltninger der er realistiske. I nogle setups kan stærk kryptering med nøglekontrol hos dig være et godt svar. I andre tilfælde handler det mere om organisatoriske kontroller, begrænset supportadgang, audit logs og klare processer for myndighedsanmodninger.

Fordele og ulemper

  • Fordele: Bedre kontrol over dataoverførsler, stærkere dokumentation over for kunder og tilsyn, mere robuste leverandørvalg, færre ubehagelige overraskelser ved ændringer i leverandørkæden.
  • Ulemper: Kræver tid og tværfagligt input (legal, IT, procurement), kan afdække behov for ændringer i systemarkitektur, og skal opdateres ved væsentlige ændringer.

Typiske misforståelser

  • “SCC’er er nok”: SCC’er er ofte nødvendige, men ikke altid tilstrækkelige. TIA’en skal vurdere den faktiske risiko i kontekst.
  • “EU-hosting betyder ingen tredjelandsrisiko”: Support, fjernadgang og underdatabehandlere kan stadig medføre tredjelandsadgang.
  • “TIA er kun for store virksomheder”: Mindre B2B-virksomheder bruger typisk flere standard-SaaS-værktøjer og kan derfor have mange overførsler – uden at vide det.
  • “TIA er det samme som en DPIA”: En DPIA handler om høj risiko i behandlingen generelt; en TIA handler specifikt om tredjelandsoverførsler og beskyttelsesniveau.
  • “Det er en engangsøvelse”: Leverandørers setup ændrer sig. En TIA skal genbesøges ved ændringer i dataflow, leverandørkæde eller lovgivningsbillede.

FAQ

Hvornår er en TIA nødvendig?

Du har typisk brug for en TIA, når personoplysninger overføres til et land uden for EU/EØS, og overførslen ikke er dækket af en gyldig tilstrækkelighedsafgørelse. Det gælder både direkte overførsler (fx hosting) og indirekte overførsler (fx supportadgang fra tredjeland).

Hvad skal jeg kunne dokumentere i en TIA?

Du bør kunne dokumentere dataflowet, overførselsgrundlaget (ofte SCC), vurderingen af modtagerlandets risici, leverandørens tekniske/organisatoriske kontroller, samt hvilke supplerende foranstaltninger du har indført og hvorfor de anses som tilstrækkelige.

Hvem i organisationen bør eje arbejdet?

Det fungerer bedst, når ansvar er delt: legal/compliance ejer den juridiske vurdering, IT/sikkerhed vurderer tekniske kontroller, og procurement/vendor management sikrer, at krav bliver kontraktligt forankret. Forretningen skal bidrage med formål, datatyper og nødvendighed.

Hvordan hænger TIA sammen med mine marketing- og salgsdata?

Mange overførsler sker netop i marketing- og salgsstakken, hvor leads flyttes mellem systemer. Hvis du fx eksporterer/importerer data mellem platforme, bør du kende destination, adgangsroller og opbevaringsprincipper. Du kan se relevante arbejdsgange i Cohertas vejledninger til import og export.

Kan jeg bruge en standard-TIA-skabelon?

Du kan godt bruge en skabelon som udgangspunkt, men en TIA skal være konkret: det er leverandørens faktiske setup, dit konkrete dataflow og de reelle risici, der afgør konklusionen. En “copy/paste”-TIA uden system- og kontekstnær vurdering er sjældent stærk, hvis du bliver mødt med spørgsmål fra kunder eller tilsyn.

Få styr på dataflow og compliance, uden at bremse din leadgenerering

Hvis du vil skalere B2B-leadgenerering, er gennemsigtige dataflows og klar dokumentation en konkurrencefordel – ikke kun en juridisk nødvendighed. Coherta hjælper dig med at skabe en mere struktureret, målrettet og dokumenterbar motor til leadgenerering, hvor du samtidig får bedre kontrol over, hvilke data du indsamler og aktiverer.

Se hvordan Coherta virker, eller dyk ned i vores leadmotor og vurder, om den passer til dine krav til både vækst og governance.