Henrik Engel artikler: Leverandørrisici

Her finder du en intro til artikelserien:
NY ARTIKELSERIE: Hvis dine leverandører ikke er sikre, er du det heller ikke – Udbudsmedia 

ARTKELSERIE AF Henrik Engel, DPO | Certificeret DPO & ISO | CIPP/E | er forfatter af og står bag ny UdbudsMedia.dk artikelserie: Kan du stole på dine leverandører? Henrik har sin daglige gang i – Forsvarsministeriets Materiel- og Indkøbsstyrelse, men artiklerne tegner alene Henriks syn på temaet.

Her finder du de første 2 artikler i serien
Udvælgelse og risikovurdering af leverandører: En sikkerheds- og databeskyttelsesmæssig nødvendighed? – Udbudsmedia

Her finder du artikel 3, 4 og 5
Leverandørkontrakter og databehandleraftaler: SIKKERHEDSKONTROL – Udbudsmedia

Leverandør styring – med fokus på Informationssikkerhed og Persondatabeskyttelse artikel 8 af 15

Underleverandører

Artikel 8 af 15 Underleverandører: Den skjulte risiko i leverandørstyring

Introduktion: Hvorfor er underleverandører en risiko?

Når en leverandør outsourcer en del af sin opgave, mister vi direkte kontrol over, hvem der håndterer vores data, og hvordan sikkerheden opretholdes.

Manglende transparens – Kender du alle underleverandørerne i din leverandørkæde?

Ukendt sikkerhedsniveau – Overholder underleverandøren samme sikkerhedskrav som din primære leverandør?

Datatilsynets krav – Har du dokumentation for, hvordan dine data håndteres på tværs af leverandører?

Kædeansvar – Hvis en underleverandør kompromitteres, hvem har ansvaret?

Eksempel:

En virksomhed outsourcer HR-systemet til en leverandør. Leverandøren bruger en ekstern cloud-leverandør til hosting – men uden at informere kunden. Cloud-leverandøren udsættes for et hackerangreb, hvilket afslører persondata. Virksomheden har ingen kontrol, men hæfter stadig for bruddet over for Datatilsynet.

En anden risiko er at en underleverandør bruger Cloudservices på trods af ens egen politik om ikke at bruge cloud.

 

Trin 1: Kræv gennemsigtighed i kontrakten

For at sikre kontrol over underleverandører skal vi allerede fra start stille krav i kontrakten.

Vigtige kontraktuelle krav:

✅ Fuld liste over underleverandører – Leverandøren skal oplyse hvem der har adgang til data

✅ Krav om sikkerhedsniveau – Underleverandører skal overholde samme sikkerhedskrav som hovedleverandøren

✅ Underretning ved ændringer – Leverandøren skal informere, hvis de skifter eller tilføjer en ny underleverandør

✅ Audit-ret – Du skal have ret til at kontrollere underleverandørernes sikkerhed

Eksempel:

En virksomhed outsourcer IT-support. Kontrakten fastlægger, at leverandøren skal dokumentere alle underleverandører og sikre, at de overholder ISO 27001 og ISO 27701.

Trin 2: Kortlæg underleverandørernes sikkerhedsniveau

Når vi har fået en liste over underleverandører, skal vi vurdere deres sikkerhedsniveau.

Hvordan kortlægger vi risikoen?

✔ Identificér hvilke data underleverandøren håndterer

✔ Vurder, om de har et tilstrækkeligt sikkerhedsniveau (ISO 27001, SOC 2, etc.)

✔ Undersøg deres historik: Har de haft databrud?

✔ Tjek, om de overholder GDPR (Databehandleraftale, Privacy Shield, SCC)

Eksempel:

En virksomhed skifter en leverandør af cloud-løsninger. Under en gennemgang opdager de, at leverandøren bruger en underleverandør i et tredjeland uden et passende databeskyttelsesniveau. Dette kræver en ny risikovurdering og eventuelt supplerende sikkerhedsforanstaltninger.

 

Trin 3: Kontinuerlig overvågning af underleverandører

En underskrift på en kontrakt sikrer ikke, at sikkerheden opretholdes. Vi skal løbende overvåge underleverandørerne.

Hvordan overvåger vi underleverandører?

✔ Regelmæssige audits – Leverandøren skal kunne dokumentere, at sikkerheden stadig er i orden

✔ Incident-rapportering – Leverandøren skal straks informere, hvis en underleverandør udsættes for et databrud

✔ Årlige sikkerhedsvurderinger – Evaluér underleverandørernes compliance mindst én gang årligt

✔ Automatiseret risikovurdering – Brug tredjepartsløsninger til at overvåge leverandørers cybersikkerhed

Eksempel:

En virksomhed anvender en leverandør til betalingsløsninger. Leverandøren skifter underleverandør uden at informere kunden. En sikkerhedsrevision opdager, at den nye underleverandør ikke har implementeret stærk kryptering, hvilket skaber en potentiel GDPR-overtrædelse.

 

Trin 4: Håndtering af sikkerhedsbrud hos underleverandører

Hvad sker der, hvis en underleverandør udsættes for et sikkerhedsbrud?

Hvordan håndteres et sikkerhedsbrud?

1️⃣ Leverandøren skal straks rapportere hændelsen

2️⃣ Kortlæg hvilke data der er berørt

3️⃣ Vurder konsekvenserne for de registrerede

4️⃣ Underret Datatilsynet inden for 72 timer (hvis påkrævet)

5️⃣ Implementér forbedringer for at forhindre fremtidige hændelser

Eksempel:

En virksomhed outsourcer sin e-mail-platform. Underleverandøren udsættes for et phishing-angreb, hvor adgangsoplysninger kompromitteres. Da ingen klar incident-håndtering var aftalt, går der 2 uger, før virksomheden bliver informeret – hvilket kunne have været en GDPR-overtrædelse.

 

Trin 5: Exit-strategi for underleverandører

Når en underleverandør udskiftes eller ophører, skal vi sikre en kontrolleret overgang.

Hvordan sikrer vi en sikker exit?

✔ Underleverandøren skal returnere eller slette alle data

✔ Dokumentation for sletning skal fremlægges

✔ Adgang til systemer og netværk skal fjernes

✔ En ny risikovurdering skal foretages, hvis en ny underleverandør tilføjes

Eksempel:

En cloud-leverandør skifter hostingpartner. Under en intern gennemgang opdages det, at den gamle underleverandør stadig har adgang til systemet, hvilket skaber en alvorlig sikkerhedsrisiko.

Afslutning

Underleverandører udgør en af de største skjulte sikkerhedsrisici i leverandørstyring. Derfor er det afgørende, at vi:

✅ Sikrer gennemsigtighed omkring underleverandører

✅ Kortlægger deres sikkerhedsniveau

✅ Overvåger dem løbende

✅ Har en plan for sikkerhedsbrud

✅ Implementerer en sikker exit-strategi

Har I styr på jeres underleverandører?

Leverandør styring – med fokus på Informationssikkerhed og Persondatabeskyttelse artikel 9 af 15 

Leverandørrisici

Artikel 9 af 15 – Leverandørrisici: Når compliance ikke er nok

Introduktion Når vi vælger en leverandør, er compliance ofte i fokus:

✔ Har leverandøren en ISO 27001-certificering?

✔ Har de en databehandleraftale?

✔ Overholder de GDPR?

Men er det nok?

En certificering betyder ikke automatisk god sikkerhed

Compliance kan give falsk tryghed, hvis sikkerhedsrisici ikke vurderes reelt

Leverandørrisici går langt ud over, hvad der står i kontrakten

I denne artikel ses der på, hvordan man identificerer og håndterer leverandørrisici, selv når compliance-kravene er opfyldt.

 

Hvorfor er compliance ikke nok?

Mange virksomheder vælger leverandører baseret på certificeringer og compliance-dokumentation. Det er en god start, men ikke en garanti for sikkerhed.

ISO 27001-certificering betyder ikke nødvendigvis stærk implementering af sikkerhedsforanstaltninger

En GDPR-compliant leverandør kan stadig have svage interne kontroller

Risikovurdering af leverandører fokuserer ofte kun på papirarbejde – ikke reel sikkerhed

Eksempel:

En leverandør af cloud-tjenester præsenterer en ISO 27001-certificering, men en dybere gennemgang afslører, at de ikke har multifaktorgodkendelse på administratoradgange. Det skaber en alvorlig risiko, selvom compliance-kravene er opfyldt.

 

Trin 1: Risikovurdering af leverandører – ud over compliance

For at vurdere en leverandørs reelle sikkerhedsniveau er det nødvendigt at gå ud over standard compliance-tjeklister.

Hvordan vurderer vi en leverandørs sikkerhedsrisici?

✔ Analyser sikkerhedsforanstaltninger i praksis (f.eks. adgangskontrol, kryptering, sikkerhedsmonitorering)

✔ Gennemgå tidligere sikkerhedshændelser – Har leverandøren haft databrud?

✔ Evaluér interne processer – Har de et stærkt beredskab for sikkerhedsbrud?

✔ Vurder, hvor kritisk leverandøren er for din forretning – Hvad sker der, hvis de bliver kompromitteret?

Eksempel:

En virksomhed outsourcer sin CRM-platform til en leverandør, som er SOC 2 Type II-certificeret. En teknisk gennemgang afslører dog, at backup-data ikke er krypteret, hvilket udgør en kritisk risiko i tilfælde af et brud.

 

Trin 2: Identificér leverandørens trusselsbillede

Ikke alle leverandører udgør den samme risiko. Der er forskel på en cloud-leverandør, en HR-tjeneste og en printerservice.

Trusselsbilledet afhænger af:

✔ Hvilke data leverandøren behandler (persondata, følsomme oplysninger, finansielle data)

✔ Hvordan de behandler data (on-premise, cloud, underleverandører)

✔ Geografisk placering (EØS vs. tredjelande)

✔ Historik med sikkerhedshændelser

Eksempel:

En leverandør af fjernskrivebordsløsninger anvender tredjeparts underleverandører i flere lande. Dette øger risikoen for juridiske udfordringer og dataeksponering, selvom leverandøren selv er certificeret.

 

Trin 3: Løbende sikkerhedskontrol af leverandører

Når en leverandør er valgt, skal de løbende overvåges – ikke kun ved kontraktindgåelse.

Hvordan sikrer vi løbende sikkerhedskontrol?

✔ Regelmæssige sikkerhedsaudits – Tjek, om de stadig overholder kravene

✔ Opfølgning på sikkerhedshændelser – Hvordan håndterer de brud?

✔ Kontinuerlige risikovurderinger – Vurder, om trusselsbilledet har ændret sig

✔ Opdatering af databehandleraftaler – Sikrer, at aftaler er tidssvarende

Eksempel:

En virksomhed laver en årlig gennemgang af deres leverandører og opdager, at en vigtig IT-leverandør har ændret sin hostingpartner uden at informere kunden. Den nye partner har lavere sikkerhedskrav, hvilket skaber en uventet risiko.

 

Trin 4: Håndtering af kritiske leverandørrisici

Hvis en leverandør udgør en kritisk risiko, skal der træffes beslutning om:

❌ Skal samarbejdet fortsætte?

⚠ Skal der stilles skærpede krav?

✔ Skal der findes alternative løsninger?

Kritiske risikofaktorer inkluderer:

Manglende opdateringer af systemer og infrastruktur

Svage adgangskontrolmekanismer

Uklare ansvarsforhold ved sikkerhedsbrud

Afhængighed af tredjelandsleverandører uden tilstrækkelig databeskyttelse

Eksempel:

En virksomhed opdager, at en af deres IT-leverandører ikke har et defineret incident response-team. Dette betyder, at eventuelle databrud ikke håndteres struktureret, hvilket kan føre til forsinkede reaktioner og større skader.

 

Trin 5: Exit-strategi for højrisikoleverandører

Hvis en leverandør ikke kan leve op til sikkerhedskravene, skal der være en klar exit-strategi.

Hvordan håndterer vi en sikker exit?

✔ Sletning eller tilbagelevering af data

✔ Lukning af adgang til systemer

✔ Overdragelse til en ny, sikrere leverandør

✔ Dokumentation for afsluttet samarbejde

Eksempel:

En virksomhed skifter cloud-udbyder, men opdager, at den tidligere leverandør stadig har backup-data liggende. Der skal foretages en grundig kontrol af datafjernelse for at undgå GDPR-overtrædelser.

 

Afslutning

Compliance er vigtigt, men ikke nok til at sikre en leverandørs sikkerhedsniveau. Derfor er det afgørende, at vi:

✅ Går ud over standard compliance-tjek og ser på reel sikkerhed

✅ Løbende overvåger leverandørers sikkerhedsniveau

✅ Har en strategi for at håndtere og minimere kritiske risici

✅ Sikrer en sikker exit, hvis en leverandør ikke lever op til kravene

Hvordan håndterer I leverandørrisici i jeres organisation?