Udbudsmedia

Portal for samarbejde & viden, inspiration & netværk

Bæredygtighed Samfund Teknologi 

Leverandørkontrakter og databehandleraftaler: SIKKERHEDSKONTROL

Gert 502 Læsninger

Her finder du en intro til artikelserien:
NY ARTIKELSERIE: Hvis dine leverandører ikke er sikre, er du det heller ikke – Udbudsmedia 

ARTKELSERIE AF Henrik Engel, DPO | Certificeret DPO & ISO | CIPP/E | er forfatter af og står bag ny UdbudsMedia.dk artikelserie: Kan du stole på dine leverandører? Henrik har sin daglige gang i – Forsvarsministeriets Materiel- og Indkøbsstyrelse, men artiklerne tegner alene Henriks syn på temaet.

Her finder du de første 2 artikler i serien
Udvælgelse og risikovurdering af leverandører: En sikkerheds- og databeskyttelsesmæssig nødvendighed? – Udbudsmedia

Artikel 3 af 16: Leverandørkontrakter og databehandleraftaler: Fundamentet for sikkerhed og compliance 

Generel introduktion af Jesper Seidler
Når en organisation engagerer en leverandør til at håndtere persondata eller kritiske systemer, er en veludarbejdet kontrakt nøglen til at sikre compliance, ansvarsfordeling og informationssikkerhed. 

Datatilsynet stiller skrappe krav til indholdet af en databehandleraftale, men en stærk kontrakt bør også dække andre aspekter af informationssikkerhed, såsom hændelseshåndtering, revisioner og exit-strategier. 

I denne artikel gennemgår vi de vigtigste elementer i leverandørkontrakter med fokus på at beskytte både organisationen og de registreredes data. 

Leverandørkontrakter og databehandleraftaler: Fundamentet for sikkerhed og compliance

Introduktion: Når en organisation engagerer en leverandør til at håndtere persondata eller kritiske systemer, er en veludarbejdet kontrakt nøglen til at sikre compliance, ansvarsfordeling og informationssikkerhed. Datatilsynet stiller skrappe krav til indholdet af en databehandleraftale, men en stærk kontrakt bør også dække andre aspekter af informationssikkerhed, såsom hændelseshåndtering, revisioner og exit-strategier.

I denne artikel kigges der på de vigtigste elementer i leverandørkontrakter med fokus på at beskytte både organisationen og de registreredes data.

Hvorfor er kontrakter og databehandleraftaler afgørende?

En svag eller mangelfuld kontrakt kan føre til alvorlige problemer:

  • Uklare ansvarsforhold ved databrud
  • Manglende krav til sikkerhedsniveauet
  • Ingen kontrol med underleverandører
  • Manglende mulighed for audits og inspektioner

For at undgå disse faldgruber kræver GDPR (artikel 28) en skriftlig databehandleraftale, når en dataansvarlig engagerer en databehandler. Samtidig bør kontrakten inkludere bredere sikkerhedskrav for at beskytte organisationens IT-miljø. 

Vigtige elementer i leverandørkontrakten

En solid leverandørkontrakt bør omfatte følgende nøgleområder:

  1. Klare roller og ansvarsfordeling
  • Er leverandøren dataansvarlig eller databehandler?
  • Hvis leverandøren træffer selvstændige beslutninger om databehandling, er de dataansvarlige.
  • Hvis de behandler data på instruks fra organisationen, er de databehandlere.
  • Hvem er ansvarlig for sikkerhed, vedligeholdelse og compliance?
  • Hvordan håndteres ansvaret i tilfælde af databrud?

Eksempel: Hvis en cloud-udbyder tilbyder både infrastruktur og softwareløsninger, kan de være både databehandler (for kundedata) og dataansvarlig (for driftsdata og logs).

  1. Krav til informationssikkerhed

For at sikre leverandørens compliance bør kontrakten indeholde specifikke krav til sikkerhed:

  • Kryptering af data under transmission og lagring
  • Adgangsstyring og principper om mindst privilegium
  • Patch management og beskyttelse mod sårbarheder
  • SIEM og logning for at sikre sporbarhed
  • Penetrationstest og sårbarhedsscanninger

ISO 27001 og NIST rammeværket kan bruges som referencepunkter for at sikre robuste sikkerhedskrav.

  1. Databehandleraftale (DPA) – GDPR-krav

En databehandleraftale (DPA) skal som minimum indeholde:

✅ Instrukser for databehandling (hvilke data, formål, varighed)

✅ Fortrolighedsforpligtelse for ansatte hos leverandøren

✅ Underleverandørkrav (godkendelse, sikkerhedsniveau, due diligence)

✅ Tekniske og organisatoriske sikkerhedsforanstaltninger

✅ Sletning eller tilbagelevering af data ved kontraktophør

✅ Rapportering af sikkerhedshændelser inden for en aftalt tidsramme

Mange organisationer bruger standardkontrakter fra SikkerDigital eller Datatilsynet, men disse bør tilpasses specifikke risici og behov.

  1. Håndtering af sikkerhedshændelser

Kontrakten bør præcisere, hvordan sikkerhedshændelser håndteres:

  • Tidsramme for rapportering (f.eks. 24 timer efter opdagelse)
  • Procedure for kommunikation (kontaktpunkter, eskalering)
  • Forpligtelser ift. afhjælpning (hvordan genoprettes systemer og data?)
  • Dokumentation og root cause analysis

Eksempel: Hvis en leverandør bliver ramt af ransomware, skal de straks informere organisationen og iværksætte afhjælpende handlinger – ikke blot forsøge at skjule hændelsen.

  1. Audit- og inspektionsrettigheder

For at sikre, at leverandøren overholder sikkerhedskravene, bør kontrakten inkludere:

  • Retten til at gennemføre sikkerhedsrevisioner (interne eller eksterne)
  • Krav om årlige compliance-rapporter (ISO 27001-certificering, SOC 2-rapport, ISAE 3000-erklæring)
  • Mulighed for uanmeldte sikkerhedstests

Eksempel: En organisation kan kræve kvartalsvise rapporter fra leverandøren om adgangslogs og sikkerhedshændelser.

  1. Exit-strategi: Hvad sker der ved kontraktophør?

Når kontrakten afsluttes, skal det sikres, at:

  • Alle data slettes sikkert (overholdelse af ISO 27040 for datadestruktion)
  • Leverandøren ikke længere har adgang til systemer
  • En migreringsplan er på plads for at overføre data til en ny leverandør eller internt

Manglende exit-strategi kan føre til tab af kontrol over data og kritiske funktioner.

Afslutning: En veludarbejdet kontrakt er ikke blot en juridisk formalitet – det er en central del af en stærk informationssikkerhedsstrategi.

Hvordan sikrer din organisation, at leverandører lever op til sikkerhedskravene? Er jeres kontrakter detaljerede nok til at håndtere compliance- og sikkerhedsrisici?

Artikel 4 af 16. 

Leverandørens sikkerhedskontrol: Hvordan sikrer vi robuste samarbejdspartnere? 

Generel introduktion af Jesper Seidler 

Når vi indgår aftaler med eksterne leverandører, overdrager vi ofte adgang til systemer, data og infrastruktur. Det gør leverandørerne til en integreret del af vores sikkerhedslandskab – og potentielt en af vores største sårbarheder. 

Men hvordan sikrer vi, at vores leverandører lever op til de nødvendige sikkerhedskrav? En stærk sikkerhedskontrolproces er afgørende for at minimere risikoen for databrud, uautoriseret adgang og andre sikkerhedstrusler. 

I denne artikel gennemgår vi de vigtigste skridt til at evaluere og kontrollere leverandørers sikkerhedsniveau – både før kontraktindgåelse og undervejs i samarbejdet. 

Leverandørens sikkerhedskontrol: Hvordan sikrer vi robuste samarbejdspartnere?

Introduktion: Når vi indgår aftaler med eksterne leverandører, overdrager vi ofte adgang til systemer, data og infrastruktur. Det gør leverandørerne til en integreret del af vores sikkerhedslandskab – og potentielt en af vores største sårbarheder.

Men hvordan sikrer vi, at vores leverandører lever op til de nødvendige sikkerhedskrav? En stærk sikkerhedskontrolproces er afgørende for at minimere risikoen for databrud, uautoriseret adgang og andre sikkerhedstrusler.

I denne artikel beskrives de vigtigste skridt til at evaluere og kontrollere leverandørers sikkerhedsniveau – både før kontraktindgåelse og undervejs i samarbejdet.

Hvorfor er leverandørkontrol afgørende?

Cyberangreb mod leverandører er en af de største trusler mod organisationers sikkerhed. Leverandører kan være mål for angreb, fordi de ofte har adgang til:

  • Persondata (f.eks. HR-systemer, kundedatabaser)
  • Forretningskritiske systemer (ERP, cloud-tjenester)
  • Intern infrastruktur (VPN, fjernadgang)

Hvis en leverandør kompromitteres, kan det føre til:

❌ Databrud – eksponering af persondata eller forretningshemmeligheder

❌ Driftsforstyrrelser – systemnedbrud, ransomware-angreb

❌ Compliance-overtrædelser – brud på GDPR og ISO 27001

Derfor er det ikke nok at stole på leverandørens egne forsikringer – vi skal have en struktureret tilgang til sikkerhedskontrol.

 

Trin 1: Forudgående sikkerhedsvurdering (due diligence)

Inden vi indgår en aftale med en leverandør, skal vi vurdere deres sikkerhedsniveau. Dette kan gøres gennem en due diligence-proces, hvor vi undersøger følgende områder:

✅ Certificeringer og standarder

  • Har leverandøren en ISO 27001-certificering eller SOC 2-rapport?
  • Overholder de NIST Cybersecurity Framework eller CIS Controls?

✅ Sikkerhedspolitikker og -procedurer

  • Har leverandøren en informationssikkerhedspolitik?
  • Hvordan håndterer de adgangsstyring, patch management og backup?

✅ Hændelseshåndtering og beredskabsplaner

  • Hvordan håndterer leverandøren cyberangreb og databrud?
  • Har de en incident response plan og øver de deres beredskab?

✅ Underleverandører og tredjeparter

  • Bruger leverandøren egne underleverandører?
  • Hvordan sikrer de, at deres underleverandører overholder de samme sikkerhedskrav?

Eksempel:

En organisation overvejer at outsource sin IT-drift til en ekstern cloud-leverandør. Før kontrakten underskrives, beder de leverandøren fremlægge:

1️⃣ En kopi af deres seneste ISO 27001-audit

2️⃣ En detaljeret plan for adgangsstyring og overvågning

3️⃣ En skriftlig bekræftelse af, at alle underleverandører overholder de samme sikkerhedskrav

 

Trin 2: Kontinuerlig overvågning af leverandører

Sikkerhedsvurderingen slutter ikke ved kontraktunderskrivelse. Vi skal løbende monitorere leverandørens sikkerhedsniveau for at sikre, at de fortsat lever op til kravene.

Metoder til overvågning:

1️⃣ Årlige sikkerhedsevalueringer (re-certificeringer, compliance-rapporter)

2️⃣ Sårbarhedsscanninger og penetrationstest (kan vi identificere svagheder?)

3️⃣ Logning og overvågning af aktiviteter (har leverandøren utilsigtet adgang?)

4️⃣ Tredjepartsrevisioner (eksterne audits af leverandørens sikkerhedsniveau)

Eksempel:

En SaaS-leverandør håndterer en organisations CRM-system. For at sikre, at leverandøren overholder sikkerhedskravene, kræver organisationen:

  • En kvartalsvis sikkerhedsrapport
  • En årlig penetrationstest med resultaterne delt med organisationen
  • Løbende log-adgang for at monitorere mistænkelig aktivitet

 

Trin 3: Reaktion på sikkerhedshændelser hos leverandøren

Hvis en leverandør udsættes for et sikkerhedsbrud, skal vi handle hurtigt for at begrænse skaderne.

Hvad bør vores plan indeholde?

✔ Tidsramme for rapportering (f.eks. inden for 24 timer)

✔ Kommunikationskanaler (hvem kontaktes i tilfælde af brud?)

✔ Forventede afhjælpende handlinger (hvordan sikres driften hurtigt igen?)

✔ Dataadgang og -sletning (skal vi begrænse leverandørens adgang midlertidigt?)

Eksempel:

En cloud-udbyder opdager, at uautoriserede brugere har fået adgang til kundedata. Organisationen kræver, at leverandøren:

  • Informerer dem inden for 12 timer
  • Giver en root cause analysis inden for 5 arbejdsdage
  • Implementerer afhjælpende foranstaltninger for at forhindre gentagelse

 

Trin 4: Eskalering og kontraktophør ved alvorlige brud

Hvis en leverandør gentagne gange overtræder sikkerhedskravene eller udsætter organisationen for uacceptabel risiko, kan det være nødvendigt at eskalere sagen – eller i sidste ende opsige kontrakten.

Hvornår bør vi overveje kontraktophør?

⚠ Gentagne brud på sikkerhedskrav eller compliance-regler

⚠ Leverandørens manglende evne til at forbedre sikkerheden

⚠ Kritiske hændelser uden tilfredsstillende afhjælpning

Exit-strategi:

For at sikre en kontrolleret overgang bør kontrakten indeholde en exit-plan, hvor leverandøren:

✅ Overdrager alle data sikkert

✅ Dokumenterer systemintegrationer for nem migration

✅ Sikrer fuldstændig sletning af data

Afslutning: Leverandørstyring stopper ikke ved kontraktindgåelse – det kræver en kontinuerlig indsats at sikre, at leverandører overholder sikkerhedskravene.

Er din organisation rustet til at overvåge og styre leverandørsikkerheden? Hvordan sikrer I, at jeres samarbejdspartnere ikke bliver en sikkerhedsrisiko?

Artikel 5 af 16 – Kontraktuelle sikkerhedskrav: Sikring af leverandørforhold gennem kontrakter 

Generel introduktion af Jesper Seidler 

Når vi overlader opgaver til eksterne leverandører, overdrager vi samtidig en del af vores sikkerhedsansvar. Derfor er det afgørende, at kontrakterne ikke kun fastsætter leverancer og ydelser, men også præciserer klare krav til informationssikkerhed og databeskyttelse. 

Men hvilke sikkerhedskrav bør inkluderes i kontrakten? Hvordan sikrer vi, at leverandøren faktisk efterlever dem? Og hvad gør vi, hvis de ikke gør? 

Denne artikel gennemgår, hvordan vi kan styrke kontraktgrundlaget for at minimere risikoen for databrud, manglende compliance og driftsforstyrrelser. 

.

Kontraktuelle sikkerhedskrav: Sikring af leverandørforhold gennem kontrakter

Introduktion: Når vi overlader opgaver til eksterne leverandører, overdrager vi samtidig en del af vores sikkerhedsansvar. Derfor er det afgørende, at kontrakterne ikke kun fastsætter leverancer og ydelser, men også præciserer klare krav til informationssikkerhed og databeskyttelse.

Men hvilke sikkerhedskrav bør inkluderes i kontrakten? Hvordan sikrer vi, at leverandøren faktisk efterlever dem? Og hvad gør vi, hvis de ikke gør?

Denne artikel gennemgår, hvordan vi kan styrke kontraktgrundlaget for at minimere risikoen for databrud, manglende compliance og driftsforstyrrelser.

 

Hvorfor er kontraktuelle sikkerhedskrav vigtige?

En god kontrakt fungerer som en sikkerhedsmæssig rygdækning for organisationen. Den skaber forudsigelighed, ansvarsfordeling og mulighed for sanktioner, hvis leverandøren ikke lever op til de aftalte krav.

Hvis sikkerhedskrav ikke er klart defineret i kontrakten, risikerer vi:

❌ Manglende overholdelse af GDPR og ISO 27001

❌ Usikkerhed om ansvar ved databrud

❌ Manglende kontrol over data og systemer

Derfor bør vi sikre, at kontrakten dækker både juridiske krav, tekniske sikkerhedsforanstaltninger og operationelle processer.

 

Trin 1: Definér de grundlæggende sikkerhedskrav

Kontrakten bør indeholde specifikke krav til informationssikkerhed. Disse krav kan opdeles i følgende hovedområder:

✅ Adgangskontrol

  • Leverandøren skal anvende stærk autentifikation (f.eks. MFA – Multi-factor authentication)
  • Begrænsning af adgange efter need-to-know-princippet
  • Logning og overvågning af systemadgang

✅ Databeskyttelse og kryptering

  • Kryptering af data i transit og i hvile (AES-256, TLS 1.2/1.3)
  • Beskyttelse mod uautoriseret adgang og manipulation

✅ Compliance og standarder

  • Overholdelse af GDPR (hvis persondata behandles)
  • Dokumenteret ISO 27001- eller SOC 2-certificering
  • Periodiske sikkerhedsevalueringer og rapportering

✅ Hændelseshåndtering og rapportering

  • Leverandøren skal informere om sikkerhedshændelser inden for en aftalt tidsramme
  • Incident response-plan skal testes årligt
  • Leverandøren skal dokumentere afhjælpende foranstaltninger

✅ Underleverandører og outsourcing

  • Krav om, at eventuelle underleverandører overholder de samme sikkerhedskrav
  • Skriftlig godkendelse fra organisationen ved brug af nye underleverandører (vigtigt)

Eksempel:

En organisation outsourcer sin HR-platform og kræver, at leverandøren:

  • Logger alle administrative adgange
  • Krypterer persondata både i transit og i hvile
  • Overholder ISO 27001 og gennemgår årlig revision

 

Trin 2: Sikring af compliance gennem audit og kontrol

Selvom kontrakten indeholder sikkerhedskrav, skal vi også sikre, at leverandøren efterlever dem i praksis.

Hvordan sikrer vi løbende kontrol?

1️⃣ Regelmæssige sikkerhedsrapporter (leverandøren rapporterer om sikkerhedsniveau)

2️⃣ Ret til audit (organisationen kan gennemføre inspektioner eller tredjepartsrevisioner)

3️⃣ Krav om eksterne certificeringer (f.eks. at leverandøren forbliver ISO 27001-certificeret)

4️⃣ Sårbarhedsscanninger og penetrationstest

Eksempel:

En leverandør håndterer en kundedatabase med følsomme data. Organisationen kræver, at leverandøren:

  • Sender en kvartalsvis sikkerhedsrapport
  • Tillader uvarslede sikkerhedsaudits
  • Gennemfører en årlig penetrationstest

 

Trin 3: Sanktioner ved manglende sikkerhedsoverholdelse

Hvis leverandøren ikke overholder de aftalte sikkerhedskrav, skal vi have mulighed for at handle hurtigt.

Mulige sanktioner

⚠ Bøder eller økonomiske sanktioner (f.eks. dagbøder ved forsinket rapportering)

⚠ Krav om straks-afhjælpning (f.eks. patching af kritiske sårbarheder inden for 48 timer)

⚠ Midlertidig suspendering af adgang til systemer

⚠ Kontraktophør ved gentagne eller alvorlige brud

Eksempel:

En leverandør af en cloud-løsning overholder ikke kravene om logning og adgangsstyring. Organisationen kan:

1️⃣ Pålægge en økonomisk bod

2️⃣ Kræve implementering af adgangslogning inden for 30 dage

3️⃣ Opsige kontrakten, hvis overtrædelsen gentager sig

 

Trin 4: Exit-strategi og datahåndtering ved kontraktophør

Når samarbejdet afsluttes, skal vi sikre, at vores data håndteres sikkert og ikke efterlades hos leverandøren.

Hvad bør exit-strategien indeholde?

✔ Sikker sletning af data (leverandøren skal dokumentere sletning)

✔ Overdragelse af relevante systemdata (sletning af backupper)

✔ Frakobling af systemadgange (ingen resterende konti eller adgang)

Eksempel:

En virksomhed afslutter samarbejdet med en SaaS-leverandør. Kontrakten kræver, at:

  • Alle kundeoplysninger sikres og slettes inden for 30 dage
  • En revisor bekræfter sletningen
  • Alle API- og systemadgange lukkes øjeblikkeligt

Afslutning: Kontrakten er ikke bare et juridisk dokument – den er en aktiv del af organisationens sikkerhedsstrategi. Med klare krav til sikkerhed, løbende kontrol og effektive sanktioner sikrer vi, at vores leverandører ikke bliver en sikkerhedsrisiko.

Hvordan sikrer I, at jeres leverandører overholder sikkerhedskravene i kontrakten? Har I oplevet udfordringer med compliance?

Del dette med dit netværk:

Måske har dette også din interesse..

Arbejdsstation Kalvebod Brygge

Gert

Eldorado af svindelmuligheder

Gert

Strammere krav til rengøringsservice og vinduespolering

Gert