Henrik Engel artikler: Leverandører; Kontrakter – overvågning, revision
Her finder du en intro til hele artikelserien:
NY ARTIKELSERIE: Hvis dine leverandører ikke er sikre, er du det heller ikke – Udbudsmedia
ARTKELSERIE AF Henrik Engel, DPO | Certificeret DPO & ISO | CIPP/E | er forfatter af og står bag ny UdbudsMedia.dk artikelserie: Kan du stole på dine leverandører? Henrik har sin daglige gang i – Forsvarsministeriets Materiel- og Indkøbsstyrelse, men artiklerne tegner alene Henriks syn på temaet.
Her finder du de første 2 artikler i serien
Udvælgelse og risikovurdering af leverandører: En sikkerheds- og databeskyttelsesmæssig nødvendighed? – Udbudsmedia
Her finder du artikel 3, 4 og 5
Leverandørkontrakter og databehandleraftaler: SIKKERHEDSKONTROL – Udbudsmedia
Her finder du artikel 6 + 7 – Leverandøropfølgning
Det handler om LEVERANDØROPFØLGNING og LEVERANDØR EXIT – Udbudsmedia
Her finder du artikel 8 + 9 – Leverandørrisici
Henrik Engel artikler: Leverandørrisici – Udbudsmedia
Her finder du artikel 10 – 12 af 15 – Leverandørstyring
https://udbudsmedia.dk/samfund/henrik-engel-artikler-leverandoerstyring/
Introduktion af Jesper Seidler
Her følger artikel 13 og 14 af 15. Det handler overordnet om kontrakter og Leverandørovervågning
Artikel 13. Kontraktuelle forpligtelser om datasikkerhed og persondata
Når vi indgår kontrakter med leverandører, er det ikke nok bare at have en god forretningsaftale. Vi skal også sikre, at kontrakterne indeholder præcise bestemmelser om datasikkerhed og beskyttelse af persondata. Dette er særligt vigtigt, når leverandører håndterer persondata på vegne af vores organisation, da det kan have store konsekvenser for både sikkerheden og overholdelsen af GDPR.
Nøglespørgsmål:
✔ Hvordan sikrer vi, at vores kontrakter indeholder de nødvendige datasikkerhedsklausuler?
✔ Hvilke bestemmelser skal vi fokusere på for at beskytte både vores data og persondata?
✔ Hvordan kan kontraktuelle forpligtelser sikre overholdelse af GDPR og reducere risici?
I denne artikel dykker vi ned i de vigtigste kontraktuelle bestemmelser, der skal være på plads for at beskytte persondata og sikre, at leverandører opfylder de nødvendige sikkerhedsstandarder.
Artikel 14 . Overvågning og revision af leverandører i relation til datasikkerhed og persondata
Når vi har indgået kontrakter med leverandører, og de er blevet enige om de nødvendige sikkerhedsforanstaltninger og overholdelse af GDPR, stopper arbejdet ikke der. Det er ikke nok blot at stole på, at leverandørerne følger reglerne – vi skal også sikre, at der er en løbende overvågning og revision af deres praksis for at sikre, at de fortsat overholder de aftalte datasikkerhedsforanstaltninger og lovgivning.
Overvågning og revision af leverandører i relation til datasikkerhed og persondata
Af Henrik Engel
Artikel 13 af 15
Introduktion. Når vi har indgået kontrakter med leverandører, og de er blevet enige om de nødvendige sikkerhedsforanstaltninger og overholdelse af GDPR, stopper arbejdet ikke der. Det er ikke nok blot at stole på, at leverandørerne følger reglerne – vi skal også sikre, at der er en løbende overvågning og revision af deres praksis for at sikre, at de fortsat overholder de aftalte datasikkerhedsforanstaltninger og lovgivning.
Nøglespørgsmål:
✔ Hvordan kan vi implementere en effektiv overvågnings- og revisionsproces for at sikre datasikkerheden?
✔ Hvilke værktøjer og metoder kan vi anvende for at vurdere, om leverandøren overholder datasikkerhedsforpligtelserne?
✔ Hvordan håndterer vi situationer, hvor leverandøren ikke lever op til kravene?
I denne artikel udforsker vi, hvordan man kan etablere en effektiv overvågning og revision af leverandører for at sikre, at de opretholder de nødvendige datasikkerheds- og persondataforpligtelser.
Trin 1: Etablering af overvågningsmekanismer
For at sikre, at leverandører efterlever aftalte datasikkerhedskrav, er det nødvendigt at etablere mekanismer til løbende overvågning. Dette indebærer at have kontrolsystemer på plads, der regelmæssigt vurderer, om leverandøren fortsat overholder de sikkerhedsforanstaltninger, der er beskrevet i kontrakterne og i henhold til lovgivningen.
Vigtige elementer i overvågning: ✔ Rapportering – Kræv, at leverandøren regelmæssigt rapporterer om sikkerhedsforhold og status på risikovurderinger. Rapporterne skal give indsigt i implementerede foranstaltninger, sårbarheder og opdateringer. ✔ Sikkerhedshændelser – Leverandøren skal have en forpligtelse til at rapportere om sikkerhedshændelser og brud på persondatasikkerheden inden for en kort tidsramme (fx 24-48 timer). ✔ Kontrolbesøg og audits – Der skal etableres en proces for at gennemføre kontrolbesøg og audits hos leverandøren for at vurdere deres sikkerhedspraksis og sikre overholdelse af aftalerne.
Eksempel:
En offentlig myndighed har indgået en kontrakt med en cloud-leverandør og kræver, at leverandøren afleverer en kvartalsvis sikkerhedsrapport, der dækker alle opdateringer i forhold til datahåndtering, risikovurdering og overholdelse af kontraktens datasikkerhedsklausuler. Rapporten bruges til at vurdere, om leverandøren fortsat overholder sine forpligtelser.
Trin 2: Gennemførelse af sikkerhedsrevisioner
En sikkerhedsrevision er en systematisk gennemgang af leverandørens datasikkerhedspraksis for at vurdere, om de overholder de aftalte krav og forpligtelser i forhold til GDPR. Revisionen kan være både intern (foretaget af din organisation) eller ekstern (gennemført af en uafhængig tredjepart).
Vigtige elementer i sikkerhedsrevisionen: ✔ Risikovurdering – Evaluér, om leverandøren har opdateret sin risikovurdering og implementeret de nødvendige sikkerhedsforanstaltninger for at imødegå nye trusler. ✔ Compliance-check – Kontroller, at leverandøren overholder de lovgivningskrav, som er relevante for databehandlingen, herunder GDPR. ✔ Fysiske og tekniske sikkerhedsforanstaltninger – Sørg for at revidere både fysiske (adgangskontrol til serverrum, brandsikring) og tekniske (kryptering, firewall, netværkssikkerhed) sikkerhedsforanstaltninger.
Eksempel:
En finansiel institution udfører årlige sikkerhedsrevisioner af deres databehandler, som opbevarer personfølsomme data. Revisionerne inkluderer både tekniske evalueringer af kryptering og adgangskontrol og organisatoriske aspekter som opdaterede procedurer for håndtering af datasikkerhedshændelser.
Trin 3: Evaluering af leverandørens risikostyring
Sikkerheden omkring persondata afhænger ikke kun af de tekniske foranstaltninger, men også af hvordan leverandøren styrer risici. Det er vigtigt at sikre, at leverandøren har etableret en passende risikostyringsproces, som gør det muligt for dem at identificere, vurdere og mitigere sikkerhedsrisici effektivt.
Vigtige elementer i risikostyring:
✔ Identifikation af risici – Leverandøren skal regelmæssigt gennemføre trusselsanalyser og risikovurderinger for at identificere og forstå de risici, der kan påvirke datasikkerheden.
✔ Handlingsplan for risikohåndtering – Leverandøren bør have en plan for, hvordan risici håndteres, herunder hvordan de responderer på identificerede sårbarheder.
✔ Opdateringer og forbedringer – Der skal være en forpligtelse til at revidere risikostyringsplanen og opdatere den med nye foranstaltninger, når der opstår ændringer i trusselsbilledet.
Eksempel: En leverandør, der håndterer sundhedsdata, har et risikohåndteringssystem, der opdateres månedligt for at inkludere nye trusler som ransomware. Alle ændringer i systemet gennemgår en evalueringsproces, hvor både tekniske og organisatoriske sikkerhedsforanstaltninger implementeres.
Trin 4: Håndtering af ikke-overholdelse
Selvom vi har etableret overvågningsmekanismer og udført revisioner, kan der opstå situationer, hvor leverandøren ikke lever op til sikkerhedskravene. Derfor er det vigtigt at have en plan for håndtering af ikke-overholdelse.
Vigtige tiltag ved ikke-overholdelse: ✔ Advarsel og korrigerende handlinger – Hvis leverandøren ikke overholder kravene, bør der indledes en proces for at advare leverandøren og kræve korrigerende handlinger. ✔ Sanktioner – Hvis ikke-overholdelse fortsætter, kan det være nødvendigt at pålægge sanktioner eller endda afslutte samarbejdet med leverandøren. ✔ Opfølgning – Der skal være en plan for at følge op på, at de korrigerende handlinger bliver gennemført og at leverandøren overholder kravene fremadrettet.
Eksempel: En leverandør har ikke gennemført en sikkerhedsopdatering, som er blevet krævet i kontrakten. Den ansvarlige for leverandørstyring giver leverandøren en advarsel, og de skal implementere opdateringen inden for 30 dage. Hvis ikke, kan samarbejdet blive ophævet.
Afslutning
Overvågning og revision af leverandører er ikke en engangsopgave, men en kontinuerlig proces, der sikrer, at leverandørerne fortsat opretholder høje standarder for datasikkerhed og overholdelse af lovgivningen.
✅ Løbende rapportering – Kræv regelmæssige rapporter fra leverandører om datasikkerhed og risikovurdering.
✅ Sikkerhedsrevisioner – Gennemfør både interne og eksterne revisioner af leverandørens sikkerhedsforanstaltninger.
✅ Risikostyring – Evaluer og opdater løbende risikostyringssystemerne hos leverandøren.
✅ Håndtering af ikke-overholdelse – Etabler en klar plan for at håndtere situationer, hvor leverandøren ikke overholder datasikkerhedskravene.
Hvordan har din organisation håndteret overvågning af leverandører i forhold til datasikkerhed? Har du nogle erfaringer med revisioner eller risikostyring, som du vil dele?
Artikel 14 af 15: Overvågning og revision af leverandører i relation til datasikkerhed og persondata
Af Henrik Engel
Introduktion. Når vi har indgået kontrakter med leverandører, og de er blevet enige om de nødvendige sikkerhedsforanstaltninger og overholdelse af GDPR, stopper arbejdet ikke der. Det er ikke nok blot at stole på, at leverandørerne følger reglerne – vi skal også sikre, at der er en løbende overvågning og revision af deres praksis for at sikre, at de fortsat overholder de aftalte datasikkerhedsforanstaltninger og lovgivning.
Nøglespørgsmål:
✔ Hvordan kan vi implementere en effektiv overvågnings- og revisionsproces for at sikre datasikkerheden?
✔ Hvilke værktøjer og metoder kan vi anvende for at vurdere, om leverandøren overholder datasikkerhedsforpligtelserne?
✔ Hvordan håndterer vi situationer, hvor leverandøren ikke lever op til kravene?
I denne artikel udforsker vi, hvordan man kan etablere en effektiv overvågning og revision af leverandører for at sikre, at de opretholder de nødvendige datasikkerheds- og persondataforpligtelser.
Trin 1: Etablering af overvågningsmekanismer
For at sikre, at leverandører efterlever aftalte datasikkerhedskrav, er det nødvendigt at etablere mekanismer til løbende overvågning. Dette indebærer at have kontrolsystemer på plads, der regelmæssigt vurderer, om leverandøren fortsat overholder de sikkerhedsforanstaltninger, der er beskrevet i kontrakterne og i henhold til lovgivningen.
Vigtige elementer i overvågning:
✔ Rapportering – Kræv, at leverandøren regelmæssigt rapporterer om sikkerhedsforhold og status på risikovurderinger. Rapporterne skal give indsigt i implementerede foranstaltninger, sårbarheder og opdateringer.
✔ Sikkerhedshændelser – Leverandøren skal have en forpligtelse til at rapportere om sikkerhedshændelser og brud på persondatasikkerheden inden for en kort tidsramme (fx 24-48 timer).
✔ Kontrolbesøg og audits – Der skal etableres en proces for at gennemføre kontrolbesøg og audits hos leverandøren for at vurdere deres sikkerhedspraksis og sikre overholdelse af aftalerne.
Eksempel: En offentlig myndighed har indgået en kontrakt med en cloud-leverandør og kræver, at leverandøren afleverer en kvartalsvis sikkerhedsrapport, der dækker alle opdateringer i forhold til datahåndtering, risikovurdering og overholdelse af kontraktens datasikkerhedsklausuler. Rapporten bruges til at vurdere, om leverandøren fortsat overholder sine forpligtelser.
Trin 2: Gennemførelse af sikkerhedsrevisioner
En sikkerhedsrevision er en systematisk gennemgang af leverandørens datasikkerhedspraksis for at vurdere, om de overholder de aftalte krav og forpligtelser i forhold til GDPR. Revisionen kan være både intern (foretaget af din organisation) eller ekstern (gennemført af en uafhængig tredjepart).
Vigtige elementer i sikkerhedsrevisionen: ✔ Risikovurdering – Evaluér, om leverandøren har opdateret sin risikovurdering og implementeret de nødvendige sikkerhedsforanstaltninger for at imødegå nye trusler. ✔ Compliance-check – Kontroller, at leverandøren overholder de lovgivningskrav, som er relevante for databehandlingen, herunder GDPR. ✔ Fysiske og tekniske sikkerhedsforanstaltninger – Sørg for at revidere både fysiske (adgangskontrol til serverrum, brandsikring) og tekniske (kryptering, firewall, netværkssikkerhed) sikkerhedsforanstaltninger.
Eksempel: En finansiel institution udfører årlige sikkerhedsrevisioner af deres databehandler, som opbevarer personfølsomme data. Revisionerne inkluderer både tekniske evalueringer af kryptering og adgangskontrol og organisatoriske aspekter som opdaterede procedurer for håndtering af datasikkerhedshændelser.
Trin 3: Evaluering af leverandørens risikostyring
Sikkerheden omkring persondata afhænger ikke kun af de tekniske foranstaltninger, men også af hvordan leverandøren styrer risici. Det er vigtigt at sikre, at leverandøren har etableret en passende risikostyringsproces, som gør det muligt for dem at identificere, vurdere og mitigere sikkerhedsrisici effektivt.
Vigtige elementer i risikostyring:
✔ Identifikation af risici – Leverandøren skal regelmæssigt gennemføre trusselsanalyser og risikovurderinger for at identificere og forstå de risici, der kan påvirke datasikkerheden.
✔ Handlingsplan for risikohåndtering – Leverandøren bør have en plan for, hvordan risici håndteres, herunder hvordan de responderer på identificerede sårbarheder.
✔ Opdateringer og forbedringer – Der skal være en forpligtelse til at revidere risikostyringsplanen og opdatere den med nye foranstaltninger, når der opstår ændringer i trusselsbilledet.
Eksempel: En leverandør, der håndterer sundhedsdata, har et risikohåndteringssystem, der opdateres månedligt for at inkludere nye trusler som ransomware. Alle ændringer i systemet gennemgår en evalueringsproces, hvor både tekniske og organisatoriske sikkerhedsforanstaltninger implementeres.
Trin 4: Håndtering af ikke-overholdelse
Selvom vi har etableret overvågningsmekanismer og udført revisioner, kan der opstå situationer, hvor leverandøren ikke lever op til sikkerhedskravene. Derfor er det vigtigt at have en plan for håndtering af ikke-overholdelse.
Vigtige tiltag ved ikke-overholdelse:
✔ Advarsel og korrigerende handlinger – Hvis leverandøren ikke overholder kravene, bør der indledes en proces for at advare leverandøren og kræve korrigerende handlinger.
✔ Sanktioner – Hvis ikke-overholdelse fortsætter, kan det være nødvendigt at pålægge sanktioner eller endda afslutte samarbejdet med leverandøren.
✔ Opfølgning – Der skal være en plan for at følge op på, at de korrigerende handlinger bliver gennemført og at leverandøren overholder kravene fremadrettet.
Eksempel:En leverandør har ikke gennemført en sikkerhedsopdatering, som er blevet krævet i kontrakten. Den ansvarlige for leverandørstyring giver leverandøren en advarsel, og de skal implementere opdateringen inden for 30 dage. Hvis ikke, kan samarbejdet blive ophævet.
Afslutning:
Overvågning og revision af leverandører er ikke en engangsopgave, men en kontinuerlig proces, der sikrer, at leverandørerne fortsat opretholder høje standarder for datasikkerhed og overholdelse af lovgivningen.
✅ Løbende rapportering – Kræv regelmæssige rapporter fra leverandører om datasikkerhed og risikovurdering.
✅ Sikkerhedsrevisioner – Gennemfør både interne og eksterne revisioner af leverandørens sikkerhedsforanstaltninger.
✅ Risikostyring – Evaluer og opdater løbende risikostyringssystemerne hos leverandøren.
✅ Håndtering af ikke-overholdelse – Etabler en klar plan for at håndtere situationer, hvor leverandøren ikke overholder datasikkerhedskravene.
Hvordan har din organisation håndteret overvågning af leverandører i forhold til datasikkerhed? Har du nogle erfaringer med revisioner eller risikostyring, som du vil dele?
