Dine 10 største udfordringer med leverandørstyring - og hvordan du løser dem

By 
Jacob Høedt Larsen
July 30, 2024

Leverandørstyring kan være en udfordring. Der findes ikke rigtigt nogle gode data, men undersøgelser antyder, at en gennemsnitlig virksomhed har mellem 250 og 320 systemer (og dermed et stort antal leverandører).

Jeg har dog været i kontakt med mange organisationer, hvor det ikke er tilfældet. De kender nogle af deres leverandører, men langt fra dem alle sammen.

Her er de ti største udfordringer, vi hører om i forhold til leverandørstyringen - og nogle bud på at løse dem.

Udfordring nr. 1: Jeg kender ikke leverandørerne

"Hvor mange leverandører har vi?" Det burde være et nemt spørgsmål at besvare, og svaret burde være ret specifikt.

Vi bør vide:

  • Hvor mange digitale leverandører vi har,
  • Hvem du er, og
  • Om de er databehandlere.

Sådan er det bare langt fra i alle organisationer.

Løsningen er de tre S'er: System ejer, Struktur, System.

Hvert system i din organisation skal have en ejer, og han eller hun bør være ansvarlig for også at kende leverandøren. For at kunne gøre det, har du brug for struktur, et framework, der gør det nemt for systemejeren at vide, hvilke oplysninger du har brug for om leverandøren. Se et eksempel på et sådant framework her.

Den nemmeste måde at opsætte det på er at have en dedikeret GRC-løsning, der gør samarbejde nemt gennem et godt task management system..

Men hvordan finder jeg systemejerne?

Lad os gå videre til udfordring nr. 2.

Udfordring nr. 2: Hvem køber IT? Eller "Jeg prøver bare noget af."

Da jeg spurgte: "Hvad er din største udfordring med hensyn til leverandørstyring" på LinkedIn, sagde nogen:

"Når alle 'bare prøver værktøjet af', og din virksomhed ender med 678 værktøjer."

Det er nok den compliance-udfordring, jeg hører om oftest. Databeskyttelse er ikke involveret, når forretningen køber nye IT-systemer.

Det har et navn: Skygge-IT, og det anslås, at 30-40 % af IT-udgifterne er skygge-IT. Mange leverandører markedsfører i realiteten deres produkter  til slutbrugere inde i virksomhederne. Dine kolleger vil bruge produktivitetsværktøjer som Trello, gemme ting i Dropbox og kommunikere med deres team gennem WhatsApp - og de betaler med deres kreditkort.

Så hvad er løsningen?

Jeg mener, det er tredelt:

  • Samarbejde med IT: Du er ikke alene om det her problem. IT og informationssikkerhed vil også gerne vide det, når der bliver købt ny IT. Måske har de endda en teknisk løsning for noget af det.
  • Vær nysgerrig: Gå rundt i organisationen og vær nysgerrig omkring, hvordan folk udfører deres arbejde, og hvilke værktøjer de bruger.
  • Skab en databeskyttelseskultur: Dette er den sværeste del. For gode råd om, hvordan man gør det, kan du se dette webinar med TDC NET (på engelsk).

Udfordring nr. 3: Jeg er ikke involveret, når en ny leverandør skal screenes

En bivirkning ved ikke at vide, at ny software kommer ind i organisationen, er, at mange databeskyttelsesansvarlige ikke er involveret i screeningen af leverandøren.

Det er et åbenlyst problem.

Løsningen er at komme ud i organisationen og gøre de ting, der er beskrevet i udfordring nr. 2. Du skal være synlig og sælge databeskyttelse. Det er en kulturel udfordring.

Udfordring nr. 4: Så du vil have mig til at forhandle en databehandlingsaftale, når vi allerede har købt systemet?

Din marketingchef har lige underskrevet en treårig aftale om et nyt Software as a Service-værktøj - og betalt på forhånd.

Nu er det din opgave at forhandle databehandleraftalen.

Du har bare et par ekstra krav til deres sikkerhed, du vil gerne have besked ved databrud og nogle ændringer i forbindelse med internationale overførsler af data…

... men af en eller anden grund svarer leverandøren ikke på dine e-mails.

Det ville sandsynligvis være lettere at forhandle det, FØR hovedaftalen blev underskrevet. Nogle ville endda sige, at du ikke har en jordisk chance for at få dine ændringer i aftalen.

Men. Du skal prøve, så vi skrev en artikel om netop det

Udfordring nr. 5: Jeg tror ikke, at mine leverandøroplysninger er opdaterede

En ting er at få et overblik over alle dine leverandører. En anden er at holde dem opdateret.

Faktum er: Hvis du har 2-300 leverandører, er der en chance for, at nogle af dem går konkurs, bliver opkøbt af en anden virksomhed, ændrer deres kontaktoplysninger osv.

Kan du stole på dine leverandøroplysninger? Mange virksomheder kan ikke.

Løsningen er ret enkel.

  • Vær i dialog med dine leverandører regelmæssigt
  • Bed dem om at opdatere deres oplysninger, og
  • Hav et centralt system, hvor informationen holdes opdateret.

I øvrigt: Dette kunne være systemejerens opgave.

Udfordring nr. 6: Bruger vi denne leverandørs tjenester?

Mere end 60 % bruger aldrig deres fitnessmedlemskab - men betaler stadig hver måned.

Nogle undersøgelser antyder, at det er mere eller mindre det samme med software. Sandsynligvis af stort set de samme grunde. Nogen tænkte, at de ville have det, og glemte at afbestille det, da de ikke brugte det.

Når vores kunder begynder at bruge Wired Relations og får et overblik over deres systemer og leverandører, er det ikke ualmindeligt, at de indser, at de betaler for 10, 20 eller endda 30 systemer, som de ikke bruger.

Disse systemer udgør selvfølgelig både en omkostning og en risiko for virksomheden.

Løsningen er igen enkel, men ikke nem.

  • Hav systemejere, og
  • Spørg dem regelmæssigt, om systemet stadig er i brug (et godt tidspunkt er, når du skal føre tilsyn eller genforhandle).

Udfordring nr. 7: Hvem er mine kritiske leverandører?

Nogle af dine 250 leverandører er mere kritiske end andre.

For informationssikkerhed er det dem, der udgør den største risiko for virksomheden.

For databeskyttelsesfolket er det dem, der udgør de største risici for de registrerede.

Under alle omstændigheder er risikovurderinger vejen frem. At vurdere de risici, som dine leverandører udgør for dine registrerede, vil give dig et overblik over, hvilke leverandører der er mest kritiske for dig at holde øje med.

Se mere om risikostyring her.

Udfordring nr. 8: Kommunikation med leverandøren

Som du kan se, er kommunikation nøglen til leverandørstyring.

Mange databeskyttelsesspecialister har dog svært ved at få den dialog i gang. Når de stiller simple spørgsmål, hører de aldrig tilbage fra leverandørerne. Og måske glemmer de endda, at de nogensinde har spurgt.

Dette er ikke let, men en god struktur omkring kommunikationen og leverandørtilsyn  er nøglen til i det mindste at gøre det lettere.

Lad os gå videre til udfordring nr. 9.

Udfordring nr. 9: Tilsyn med mine 250 leverandører

Hvis svaret i Jeopardy er: "Noget databeskyttelsesfolk hader."

Så kunne spørgsmålet meget vel lyde: "Hvad er leverandørtilsyn?"

Årsagen: Masser af manuelt arbejde, mangel på overblik over hvem der faktisk har svaret på spørgeskemaet, at tjekke din e-mail fire gange i timen for at se, om de sidste har svaret og sende remindere.

Det er bare en kamp op ad bakke.

Svaret er struktur.

Se, hvordan leverandørtilsyn kan struktureres lige her.

Udfordring nr. 10: Hvad er min opgave her - og hvad bør jeg holde mig fra?

Jeg talte engang med en IT-chef. Han var så træt af, at folk spurgte ham, hvordan man fletter i Word eller laver en makro i Excel.

Begrundelsen var altid den samme: "Det er på computeren. Du er IT. Du må vide det."

Hvis vi i databeskyttelse får et godt workflow omkring leverandørstyringen op at stå, risikerer vi at blive FOR involverede.

I et helikopterperspektiv er leverandørstyring:

  • Udvælgelse og evaluering
  • Forhandling af kontrakter
  • Overvågning af performance
  • Risikostyring
  • Kommunikation med leverandøring
  • Omkostningsstyring

Det meste af den proces bør være forankret i virksomheden, IT og informationssikkerhed. Men hvis du er god til det, du gør, kan du potentielt blive bedt om at:

  • Finde potentielle leverandører
  • Evaluere deres performance
  • Forhandle kontrakten
  • Sørge for, at kontrakten opsiges, når systemet ikke bruges
  • Forhandle vilkår årligt for at reducere omkostninger.

Og. Det er sandsynligvis noget, du bør holde dig fra.

At have systemejere (som ikke er databeskyttelse) er nøglen til at sikre, at du fokuserer på databeskyttelsesspørgsmål, ikke alt det andet.

Opsummering

Leverandørstyring er en stor opgave inden for databeskyttelse. Dog kan et par ting gøre det meget nemmere:

  • At have systemejere, der udfører meget af arbejdet,
  • At have en god, centraliseret struktur, så alle ved, hvilke oplysninger du har brug for,
  • At være i konstant kommunikation med dine systemejere og (ofte gennem dem) dine leverandører.

Hvis du vil se, hvordan Wired Relations gør leverandørstyringen lettere - book en demo.

Leverandørstyring kræver en god governance-struktur: I dette webinar taler vi med Mona Persson fra TDC NET om, hvordan de har skabt en god privacy kultur via governance. Du får en masse gode input til, hvordan du kan arbejde med governance i forbindelse med nye leverandører og systemer.

Flere blogs indenfor området

Se alle blogs

Behind the firewall: Claire Archibald

Hvad er GRC? En simpel forklaring af Governance, Risk og Compliance

Hvorfor GRC er afgørende for databeskyttelse og informationssikkerhed

Produkt
GRC workflowsDatabeskyttelse & GDPRInformationssikkerhed & ISMSSikkerhed & DataIntegrationerOnboardingPriserOpret gratis kontoBook demo
Funktioner
BehandlingsaktiviteterRisikostyringSikkerhedshændelserTask managementOpfølgning på politikkerKommuner
Virksomhed
Om osKarriere (engelsk)Kontakt
Hold dig opdateret
BlogWebinarerPodcastNewsletterProduct newsletterHelp center (engelsk)
Privacy
PrivatlivspolitikCookie deklarationTerms of Service