Det handler om LEVERANDØROPFØLGNING og LEVERANDØR EXIT

Her finder du en intro til artikelserien:
NY ARTIKELSERIE: Hvis dine leverandører ikke er sikre, er du det heller ikke – Udbudsmedia 

ARTKELSERIE AF Henrik Engel, DPO | Certificeret DPO & ISO | CIPP/E | er forfatter af og står bag ny UdbudsMedia.dk artikelserie: Kan du stole på dine leverandører? Henrik har sin daglige gang i – Forsvarsministeriets Materiel- og Indkøbsstyrelse, men artiklerne tegner alene Henriks syn på temaet.

Her finder du de første 2 artikler i serien
Udvælgelse og risikovurdering af leverandører: En sikkerheds- og databeskyttelsesmæssig nødvendighed? – Udbudsmedia

Her finder du artikel 3, 4 og 5
Leverandørkontrakter og databehandleraftaler: SIKKERHEDSKONTROL – Udbudsmedia

Løbende leverandøropfølgning, Artikel 6 af 15 Løbende leverandøropfølgning: Fra kontrakt til praksis

Introduktion

At have en kontrakt med stærke sikkerhedskrav er en vigtig start, men det er løbende opfølgning, der sikrer, at kravene faktisk efterleves. Uden regelmæssig kontrol risikerer vi, at leverandører gradvist slækker på sikkerheden, undlader at implementere nye krav eller overser kritiske sårbarheder.

Men hvordan sikrer vi, at leverandører opretholder et højt sikkerhedsniveau gennem hele samarbejdet? Hvordan identificerer vi afvigelser og risici, før de bliver til problemer?

I denne artikel ses der på best practices for løbende leverandøropfølgning, herunder sikkerhedsrevisioner, compliance-monitorering og håndtering af sikkerhedshændelser.

Hvorfor er løbende opfølgning vigtig?

Leverandører arbejder ofte med flere kunder, og deres interne sikkerhedsprioriteter kan ændre sig over tid. Hvis vi ikke følger op, risikerer vi:

❌ Manglende opdatering af sikkerhedsforanstaltninger

❌ Skjulte sikkerhedsbrud eller compliance-overtrædelser

❌ Manglende reaktion på nye trusler og sårbarheder

Regelmæssig opfølgning sikrer, at leverandører ikke kun lever op til kontrakten på papiret, men også i praksis.

Trin 1: Etablér en struktureret opfølgningsproces

En effektiv opfølgningsproces bør indeholde følgende elementer:

✅ Periodiske statusmøder

• Gennemgang af leverandørens sikkerhedsstatus

• Opdatering på eventuelle sikkerhedshændelser

• Evaluering af compliance med kontraktkrav

✅ Regelmæssige sikkerhedsrevisioner (audits)

• Intern eller ekstern kontrol af leverandørens sikkerhedstiltag

• Dokumenteret gennemgang af systemer, processer og hændelser

✅ Overvågning af sikkerhedsrapporter og certificeringer

• Gennemgang af leverandørens ISO 27001-compliance

• Sikring af opdaterede SOC 2-rapporter eller penetrationstest

✅ Test af hændelseshåndtering

• Simulering af sikkerhedshændelser for at vurdere reaktionsevne

• Evaluering af, om hændelser håndteres korrekt

Eksempel:

En organisation outsourcer sin IT-drift til en leverandør. Som en del af den løbende opfølgning:

• Afholdes kvartalsvise sikkerhedsmøder

• Leverandøren leverer en årlig penetrationstest-rapport

• Der gennemføres en simuleret ransomware-angrebstest

 

Trin 2: Compliance-kontrol og audit

For at sikre, at leverandøren lever op til aftalte sikkerhedskrav, bør organisationen gennemføre regelmæssige audits.

Hvordan gennemføres en leverandør-audit?

1️⃣ Forberedelse:

• Identificér hvilke sikkerhedskrav, der skal kontrolleres

• Bestem audit-frekvens (f.eks. årligt eller halvårligt)

• Kommunikér kravene klart til leverandøren

2️⃣ Gennemførsel:

• Dokumentgennemgang (f.eks. risikovurderinger og hændelsesrapporter)

• Interviews med leverandørens sikkerhedsansvarlige

• Teknisk kontrol af systemer og logfiler

3️⃣ Opfølgning:

• Identificér afvigelser og sikkerhedsbrister

• Udarbejd en handlingsplan med frister for afhjælpning

• Eskalér alvorlige problemer til ledelsen

Eksempel:

En cloud-leverandør er forpligtet til at gennemføre årlige penetrationstest. Under en audit viser det sig, at:

• Seneste test blev foretaget for to år siden

• Kritiske sårbarheder fra den seneste test stadig ikke er lukket

Organisationen kræver, at leverandøren lukker sårbarhederne inden for 30 dage og gennemfører en ny penetrationstest.

 

Trin 3: Håndtering af sikkerhedshændelser

Selvom vi har de bedste kontrakter og audits, vil der opstå sikkerhedshændelser. Når det sker, er det afgørende, at leverandøren reagerer hurtigt og korrekt.

Hvad bør en hændelseshåndteringsplan indeholde?

✔ Krav om øjeblikkelig rapportering af sikkerhedshændelser

✔ Tidsrammer for afhjælpning (f.eks. kritiske sårbarheder lukkes inden for 24 timer)

✔ Root cause-analyse (hvad var årsagen til hændelsen?)

✔ Rapportering til myndigheder og kunder, hvis påkrævet

Eksempel:

En SaaS-leverandør opdager et databrud med persondata. I henhold til kontrakten skal de:

• Melde hændelsen til organisationen inden for 12 timer

• Give en detaljeret rapport inden for 48 timer

• Implementere foranstaltninger for at forhindre fremtidige brud

Trin 4: Sanktioner ved manglende sikkerhedsoverholdelse

Hvis leverandøren gentagne gange ikke lever op til sikkerhedskravene, bør der være klare konsekvenser.

⚠ Mulige sanktioner

Økonomiske sanktioner (f.eks. bod ved manglende rapportering af hændelser)

Ekstra audits på leverandørens regning

Opsigelse af kontrakt ved alvorlige eller gentagne brud

Eksempel:

En leverandør undlader at rapportere en kritisk sikkerhedshændelse. Organisationen vælger at:

1️⃣ Pålægge en økonomisk sanktion

2️⃣ Kræve en ekstern sikkerhedsaudit

3️⃣ Overveje at skifte leverandør

Trin 5: Kontinuerlig forbedring af sikkerhedssamarbejdet

Leverandørforhold bør ikke være statiske. Vi skal løbende:

Opdatere kontraktens sikkerhedskrav efter nye trusler

Forbedre sikkerhedskontrolmekanismer

Gennemføre træning og awareness-programmer for leverandører

Eksempel:

Efter en audit identificeres en svaghed i leverandørens adgangskontrol. Organisationen opdaterer kontrakten, så leverandøren skal implementere MFA på alle administrative konti inden for 6 måneder.

Afslutning

Løbende leverandøropfølgning er nøglen til at sikre, at informationssikkerhed og databeskyttelse ikke kun er noget, der står i kontrakten – men noget, der efterleves i praksis.

Hvordan sikrer I, at jeres leverandører lever op til sikkerhedskravene over tid?

Artikel 7 af 15, Exit-strategi : Håndtering af sikkerhed ved leverandørskifte

Introduktion

Leverandørsamarbejder slutter før eller siden – men hvad sker der med data, systemadgang og sikkerhed, når en kontrakt ophører?

En mangelfuld exit-strategi kan føre til alvorlige sikkerhedsrisici, herunder:

❌ Eksponering af følsomme data

 ❌ Utilstrækkelig sletning eller tilbagelevering af data

❌ Aktive systemadgange, som en tidligere leverandør stadig har

For at beskytte både virksomheden og de registrerede er det afgørende, at exit-processen er kontrolleret, sikker og dokumenteret.

Hvorfor er en exit-strategi kritisk?

Når et leverandørforhold ophører, er der flere sikkerhedsmæssige risici, der skal håndteres:

Datahåndtering – Hvordan sikrer vi, at alle persondata slettes eller returneres korrekt?

Systemadgang – Hvordan fjerner vi leverandørens adgang til systemer og informationer?

Forretningskontinuitet – Hvordan sikrer vi, at overgangen til en ny leverandør ikke skaber driftsforstyrrelser?

Compliance – Hvordan dokumenterer vi, at alle GDPR-krav er opfyldt?

Eksempel:

En organisation afslutter samarbejdet med en cloud-leverandør. Uden en klar exit-proces opdages det flere måneder senere, at data stadig ligger på leverandørens servere. Dette skaber en potentiel GDPR-overtrædelse.

Trin 1: Inkludér exit-krav i kontrakten

En god exit-strategi starter allerede i kontraktfasen.

Hvilke krav bør inkluderes i kontrakten?

✅ Krav om datahåndtering:

• Leverandøren skal slette eller returnere alle data inden for en given periode, vær opmærksom på backupper slettes.

• Leverandøren skal dokumentere sletningen med en revisorattest eller en destruktionsrapport

✅ Krav om systemadgang:

• Leverandøren skal fjerne alle adgange til systemer og data umiddelbart efter kontraktophør

• Organisationen skal gennemgå og verificere at alle konti er deaktiverede

✅ Krav om exit-plan og assistance:

• Leverandøren skal assistere i overgangen til en ny leverandør

• Leverandøren skal forpligte sig til en sikker migrationsproces

Eksempel:

En SaaS-leverandør håndterer HR-data for en virksomhed. Kontrakten fastlægger, at:

• Alle data skal slettes senest 30 dage efter ophør

• Leverandøren skal fremlægge en revisorattest på sletningen

• Leverandøren skal supportere migrering til en ny platform

Trin 2: Datahåndtering ved kontraktophør

Når en kontrakt ophører, skal vi sikre os, at ingen persondata bliver efterladt hos den tidligere leverandør.

Hvordan sikrer vi korrekt datahåndtering?

1️⃣ Identificér hvilke data leverandøren har behandlet

2️⃣ Beslut om data skal slettes eller overføres til en ny leverandør

3️⃣ Få dokumentation for sletning eller tilbagelevering

4️⃣ Auditér processen for at sikre, at data virkelig er fjernet

Eksempel:

En IT-serviceudbyder opsiger samarbejdet med en finansiel virksomhed. Under en exit-revision opdages det, at:

• Backup-data stadig eksisterer på en ekstern server

• En tredjepart (underleverandør) har kopier af persondata

Dette kunne have været en alvorlig GDPR-overtrædelse, hvis ikke det var blevet opdaget.

Trin 3: Adgangsstyring – Lukning af adgange

Når et leverandørsamarbejde ophører, skal ALLE adgange fjernes omgående.

Hvilke adgange skal fjernes?

✔ Brugeradgang til systemer (VPN, cloud-tjenester, interne systemer) (husk eventuelt udleveret materiel)

✔ API-adgange og servicekonti

✔ Fysiske adgange (ID-kort, adgangskoder til kontorer og datacentre)

✔ Tredjeparts integrationer (hvis leverandøren har adgang via en underleverandør)

Best Practice:

Udarbejd en access revocation plan, hvor alle adgangspunkter kortlægges og lukkes i en koordineret proces.

Eksempel:

En leverandør, der tidligere har håndteret IT-support, har stadig aktive administrator-konti flere uger efter kontraktophør. En gennemgang afslører, at leverandøren stadig kunne logge ind i systemerne, hvilket skabte en stor sikkerhedsrisiko.

Trin 4: Risikovurdering af exit-processen

For at sikre, at alle exit-aktiviteter gennemføres korrekt, bør der laves en risikovurdering.

Hvad bør vurderes?

✔ Er der en risiko for, at data stadig eksisterer et sted?

✔ Kan leverandøren have beholdt kopier af følsomme oplysninger?

✔ Er alle tekniske integrationer fjernet korrekt?

✔ Er der en risiko for forretningsforstyrrelser i overgangsperioden?

Eksempel:

En virksomhed skifter cloud-leverandør og identificerer under risikovurderingen, at den tidligere leverandør stadig har adgang til krypteringsnøgler. Der laves en plan for at rotere alle nøgler, så adgangen fuldstændigt fjernes.

Trin 5: Compliance-dokumentation og audit

Når exit-processen er gennemført, skal vi sikre, at den er korrekt dokumenteret.

Hvad bør dokumenteres?

✔ Dokumentation for sletning af data (f.eks. revisorattest)

✔ Dokumentation for fjernelse af adgange

✔ Exit-rapport, der beskriver, hvordan processen blev gennemført

✔ Eventuelle forbedringsforslag til fremtidige exit-forløb

Eksempel:

En virksomhed opsiger en leverandør af betalingsløsninger. Ved en intern audit 6 måneder senere opdages det, at der ingen dokumentation er for data-sletning. Dette kunne potentielt føre til en GDPR-sag ved Datatilsynet.

Afslutning

En stærk exit-strategi er afgørende for at beskytte data, systemer og compliance, når en leverandøraftale ophører.

Har I en klar exit-plan for jeres kritiske leverandører?