Kontraktunderskrift og “go-live” versus bagefter!

Artikel 2 i Dan Bjørnboe serie … det handler om: ”Når kontrakten er underskrevet, begynder compliance. Eller gør det?”

 Artikelintroduktion: Jesper Seidler:

– Når kontrakten er underskrevet, burde compliance for alvor begynde. Denne artikel stiller det enkle, men ubehagelige spørgsmål: gør den egentlig det?

Med udgangspunkt i GDPR viser Dan Bjørneboe, hvordan mange organisationer har fået styr på krav, dokumentation og strukturer – men mister grebet i overgangen fra projekt til drift. Det er her, ejerskab forsvinder, og hvor compliance i praksis risikerer at blive reduceret til dokumentation frem for reel styring. Artiklen rammer et velkendt mønster i både offentlige og private organisationer og peger på et styringsunderskud, som rækker langt ud over GDPR og også genfindes i arbejdet med NIS2 og øvrig it-governance.

Tilbage står blot at ønske rigtig god læselyst, Jesper

Artikel 2: Når kontrakten er underskrevet, begynder compliance. Eller gør det?

 Artikel af Dan Bjørnboe

 FÆLLES SPROG. GDPR har givet de fleste organisationer et fælles sprog for compliance. Databehandleraftaler, behandlingsoversigter og risikovurderinger er blevet en fast del af arbejdet. Mange steder er der opbygget solide strukturer omkring dem, og for en del organisationer er GDPR ikke længere et nyt krav, men en etableret del af hverdagen.

”Fejl opstår sjældent midt i en proces.
De opstår, når noget skifter hænder”

Alligevel opstår de fleste compliance-problemer ikke i udbuddet. De opstår i overgangen fra indkøb til drift. Fejl opstår sjældent midt i en proces. De opstår, når noget skifter hænder. Og det er præcis det, der sker, når et system går fra anskaffelse til drift.

Når ansvaret skifter hænder. I projektfasen er kravene tydelige. Der er fokus på dem, og nogen ejer dem. Der er en projektleder, en tidsplan og typisk en styregruppe, der følger op. Compliance er en del af leverancen, og leverancen bliver målt.

 Når løsningen går i drift, ændrer det sig. Ikke fordi kravene forsvinder. Men fordi ejerskabet gør.

Projektlederen, der kendte kravene, er videre. Driftsorganisationen har overtaget systemet … men ikke nødvendigvis ansvaret for forpligtelserne. Det er i det mellemrum, problemet opstår.

Et velkendt forløb. Mønsteret er genkendeligt. Databehandleraftalen er underskrevet og arkiveret. Behandlingsoversigten er opdateret ved projektstart. Leverandørrevisionen er planlagt til næste år.

Hver for sig er det rigtige skridt. Samlet kan det give en oplevelse af kontrol uden reel styring.

Det er ikke udtryk for sløseri. Det er udtryk for, at compliance i mange organisationer er organiseret som en projektopgave og ikke som en driftsopgave.

Når Datatilsynet spørger. En mellemstor kommune indgår kontrakt om et nyt fagsystem til sagsbehandling. Udbuddet gennemføres på en SKI-aftale. Sikkerhedsbilaget er obligatorisk, og databehandleraftalen er forhandlet og underskrevet.

Projektlederen har styr på det hele. Implementeringen forløber planmæssigt. Ved go-live er behandlingsoversigten opdateret, og leverandøren har afgivet en revisionserklæring. Projektgruppen opløses, og systemet overgår til drift i it-afdelingen.

Halvandet år senere stiller Datatilsynet spørgsmål i forbindelse med en anmeldelse. Kommunen skal dokumentere, at leverandøren fortsat lever op til databehandleraftalens krav.

It-afdelingen finder aftalen frem. Men kan ikke lige svare på, hvornår der sidst er fulgt op, hvem der har ansvaret, eller om leverandørens praksis har ændret sig siden revisionserklæringen? Projektlederen arbejder ikke længere i kommunen. Det viser sig, at ingen har taget stilling til, hvem der efter projektafslutning skulle føre tilsyn med leverandøren og rapportere til ledelsen. Ikke fordi nogen traf en beslutning om at lade være. Men fordi spørgsmålet aldrig blev stillet.

Det, der ikke bliver gjort. Det er ikke en tilfældig forglemmelse. Det er et mønster. SKI forudsætter, at organisationen selv afklarer, hvem der fører tilsyn med leverandøren og rapporterer til ledelsen. Det er en rimelig forudsætning. Men det er netop den afklaring, der ofte mangler, når et projekt overgår til drift. Og som ingen automatisk tager bagefter.

Kravene afspejler trusselsbilledet på udbudstidspunktet. En revisionserklæring dokumenterer leverandørens efterlevelse på det tidspunkt, den er udstedt. Begge dele er reelle bidrag. Men ingen af dem erstatter den løbende opfølgning i driften. Og ingen af dem placerer ansvaret for den.

Rammeaftaler og kontrakter kan stille krav. De kan ikke sikre, at nogen ejer dem i hverdagen.

Styringsunderskuddet. Der opstår et mellemrum mellem det, der er aftalt, og det, der faktisk sker. Kravene er dokumenteret. Men de bliver ikke brugt aktivt. Compliance bliver administrerbar i betydningen dokumenterbar og rapporteringsbar.

Ikke nødvendigvis i betydningen, at den virker i praksis. Det er ikke et problem, der er unikt for GDPR. Det kendes fra NIS2-implementeringer og fra it-governance bredt. Men GDPR gør det synligt. Kravene er konkrete. Tilsynet er aktivt. Konsekvenserne er kendte.

”Problemet opstår ikke, fordi organisationer
gør noget forkert. Det opstår, fordi overgangen
til drift ikke er tænkt som en styringsopgave”

.

Hvor det begynder. Problemet opstår ikke, fordi organisationer gør noget forkert. Det opstår, fordi overgangen til drift ikke er tænkt som en styringsopgave. Ansvar bliver ikke placeret tydeligt. Opfølgning bliver ikke en del af hverdagen. Og så glider compliance.

Det afgørende tidspunkt er ikke kontraktunderskrift. Det er heller ikke go-live. Det er den periode, hvor projektet afvikles, og driften overtager.

Fra dokumentation til styring I udbuddet handler compliance om at stille krav.I driften handler det om noget andet. At bruge dem.Det kræver ikke nye modeller.

Det kræver, at nogen ejer opgaven, når projektet er afsluttet, og at det ejerskab er afklaret, før projektlederen er videre. Det er her, forskellen opstår mellem det, der kan dokumenteres, og det, der faktisk fungerer.