NY ARTIKELSERIE: Hvis dine leverandører ikke er sikre, er du det heller ikke

23. september 202523. september 2025 Gert 738 Læsninger

Henrik Engel, DPO – Forsvarsministeriets Materiel- og Indkøbsstyrelse | Certificeret DPO & ISO | CIPP/E | er forfatter af og står bag ny UdbudsMedia.dk artikelserie: Kan du stole på dine leverandører?

Dine leverandører er en del af din sikkerhed – men også en af dine største risici. I denne serie på 16 artikler går vi hele vejen rundt om leverandørstyring i relation til informationssikkerhed, GDPR og persondata:

Fra valg og kontrakter til løbende kontrol og exit-strategier
Fra skjulte underleverandører til kædereaktioner i forsyningskæden
Fra compliance-krav til reel risikostyring

Hver artikel giver indsigtsfuld viden – baseret på praktiske erfaringer – men samlet giver de en komplet guide til, hvordan du beskytter organisationen mod leverandørrelaterede sikkerhedsbrud og juridiske faldgruber.

Hovedbudskabet er: Hvis dine leverandører ikke er sikre, er du det heller ikke.

Følg serien og få indsigt, værktøjer og best practice til at styrke sikkerheden hele vejen gennem leverandørkæden.

Artikel 1: Hvorfor er leverandørstyring kritisk for informationssikkerhed og GDPR?

Introduktion

Leverandørstyring er en central del af enhver organisations risikostyring, særligt når det gælder informationssikkerhed og persondata. I takt med, at organisationer i stigende grad outsourcer tjenester og IT-drift, vokser afhængigheden af eksterne leverandører. Men med denne afhængighed følger også øgede risici. Hvis en leverandør ikke har tilstrækkelige sikkerhedsforanstaltninger, kan det føre til alvorlige databrud, juridiske konsekvenser og tab af omdømme.

I denne artikel ser vi på, hvorfor leverandørstyring er afgørende, hvilke krav der stilles i GDPR og ISO-standarder, og hvordan organisationer kan styrke kontrollen med deres leverandører.

Hvorfor er leverandørstyring kritisk for informationssikkerhed og GDPR?

Artikel 01 af 16 af Henrik Engel, DPO – Forsvarsministeriets Materiel- og Indkøbsstyrelse

Introduktion

I denne artikel ses der på, hvorfor leverandørstyring er afgørende, hvilke krav der stilles i GDPR og ISO-standarder, og hvordan organisationer kan styrke kontrollen med deres leverandører.

Leverandørens rolle i behandling af persondata

I GDPR skelnes der mellem dataansvarlig og databehandler, og denne skelnen har stor betydning for, hvordan organisationer håndterer deres leverandørforhold:

Den dataansvarlige er den organisation, der bestemmer formålet og midlerne til behandling af personoplysninger. Hvis din organisation outsourcer en tjeneste, hvor persondata behandles, forbliver ansvaret hos dig.

Databehandleren er en leverandør, der behandler personoplysninger på vegne af den dataansvarlige. Det betyder, at databehandleren ikke må anvende data til egne formål og skal følge instrukserne fra den dataansvarlige.

Denne sondring betyder, at den dataansvarlige altid har ansvaret for, at leverandøren lever op til kravene i GDPR. Organisationen kan ikke blot fraskrive sig ansvaret ved at outsource en opgave – den skal sikre, at leverandøren har de nødvendige sikkerhedsforanstaltninger på plads.

Risici ved utilstrækkelig leverandørstyring

Dårlig leverandørstyring kan have alvorlige konsekvenser. Nogle af de mest almindelige risici omfatter:

Manglende overholdelse af GDPR: Hvis leverandøren ikke efterlever reglerne for behandling af persondata, kan både leverandøren og den dataansvarlige få bøder og sanktioner.

Databrud: Hvis en leverandør ikke har robuste sikkerhedsforanstaltninger, kan følsomme persondata blive kompromitteret.

Manglende kontrol over underleverandører: Mange leverandører benytter sig af underleverandører, hvilket kan komplicere kontrol og compliance.

Uklare kontraktuelle forpligtelser: Hvis kontrakterne ikke er klare omkring ansvarsfordeling, kan det føre til juridiske tvister i tilfælde af brud.

Vigtige elementer i effektiv leverandørstyring

For at minimere disse risici er det vigtigt at have en systematisk tilgang til leverandørstyring. Dette indebærer blandt andet:

Screening af leverandører

Inden en kontrakt indgås, bør organisationen gennemføre en grundig due diligence-proces, hvor leverandørens sikkerhedsniveau og databeskyttelsesforanstaltninger vurderes. Vigtige aspekter at undersøge inkluderer:

Leverandørens certificeringer (f.eks. ISO 27001, SOC 2).

Tidligere sikkerhedshændelser og håndteringen af disse.

Politikker for databeskyttelse og efterlevelse af GDPR.

Databehandleraftaler og kontraktuelle forpligtelser

Ifølge GDPR artikel 28 skal der indgås en databehandleraftale mellem den dataansvarlige og databehandleren. Aftalen skal blandt andet indeholde:

Klare instrukser for databehandling.

Krav til sikkerhedsforanstaltninger.

Regler for brug af underleverandører.

Procedurer for underretning i tilfælde af sikkerhedshændelser.

Løbende kontrol og audit

Leverandørstyring er ikke en engangsopgave. Organisationer bør løbende føre tilsyn med leverandører for at sikre, at de fortsat overholder kravene. Dette kan inkludere:

Regelmæssige audits og sikkerhedsvurderinger.

Afklaring af eventuelle ændringer i leverandørens sikkerhedspraksis.

Overvågning af tredjepartsleverandører.

Håndtering af sikkerhedshændelser

Det er afgørende at have en plan for, hvordan sikkerhedshændelser håndteres i samarbejde med leverandører. Dette indebærer:

Klare procedurer for indberetning af hændelser.

Roller og ansvar i krisehåndtering.

Planer for afbødning af konsekvenser.

Afslutning

Leverandørstyring er en uundgåelig del af arbejdet med informationssikkerhed og GDPR. Det er ikke nok at stole på, at leverandører håndterer sikkerhed korrekt – det kræver aktiv styring, klare kontrakter og løbende kontrol.

Hvordan arbejder din organisation med leverandørstyring? Har I en systematisk tilgang, eller er der områder, hvor processerne kan forbedres?

Del dette med dit netværk:

Måske har dette også din interesse..