Vi ved fra forskning, at styring af leverandører, især softwareleverandører, er udfordrende. Virksomheder har, afhængigt af hvilken forskning du ser et sted mellem 250 og 320 apps eller stykker software - i gennemsnit.
30 til 40 procent af dette er skygge-IT, det vil sige software, der ikke officielt er kendt i organisationen.
Det tyder altså på, at over 50 % af softwareleverandørerne i en gennemsnitlig organisation slet ikke bliver “styret”.
Det medfører en række alvorlige problemer.
Problem 1: Det koster penge
Når organisationer erhverver Wired Relations, får de ofte for første gang et fuldt overblik over systemer og leverandører. De opdager, at de har systemer, de ikke bruger, og de finder to eller tre systemer, der grundlæggende gør det samme.
Derfor opsiger de mange systemer og genforhandler andre, hvilket fører til besparelser i hele organisationen.
Og det er ikke bare en engangsting. Når du har et overblik over systemer og leverandører, kan du med jævne mellemrum spørge, om systemerne stadig er i brug, og du kan henvise medarbejdere, der er interesserede i en bestemt funktion, til eksisterende systemer og leverandører, der allerede findes i din organisation.
Problem 2: Det er risikabelt
Hver enkelt leverandør udgør en risiko for virksomheden og dine registrerede - databrud, hackerangreb fra tredjeparter osv.
Hvis du ikke styrer dine leverandører, styrer du ikke de risici, de udgør for din organisation. Derfor forbliver risici skjulte i virksomheden.
Heldigvis er det muligt at få styr på leverandørstyring i tre trin.
Trin 1: Ny leverandør på vej ind
Først og fremmest skal du sørge for at have et robust workflow for onboarding af nye leverandører og nye systemer.
Du skal:
1. Screene leverandørerne for at sikre, at du ved, hvad de gør, de risici, der er forbundet med dem, og få en formel godkendelse af systemet. At få den proces til at fungere er noget af det vigtigste, du kan gøre. Læs artiklen: Få styr på DPIA-processen: 7 trin til succesfuld implementering af nye systemer, for mere information om dette vigtige workflow.
2. Screeningen giver dig en masse input, når du skal forhandle databehandleraftalen. Dyk ned i det ved at læse: Kampen om databehandleraftalen.
Det handler alt sammen om kultur
Det er selvfølgelig lettere sagt end gjort. Vi har trods alt lige lært, at op til 40 % af softwaren ikke er kendt af organisationen, endnu mindre af Databeskyttelse og Informationssikkerhed.
Løsningen er at skabe en databeskyttelses- og sikkerhedskultur i organisationen.
TDC NET, en virksomhed, der leverer digital infrastruktur i Danmark, har været i stand til at skabe en sådan kultur. Ingen leverandør og intet system kommer ind uden en grundig screening.
I et nyligt webinar (på engelsk) fortalte Mona Persson, leder af privacy compliance hos TDC NET, hvordan de arbejder med den kultur i virksomheden. Lyt med her (der er meget inspiration at hente).
Hvis du vil dykke dybere ned i, hvordan det gøres, har vi lavet en masterclass om PIA/DPIA-processen, der vil være nyttig for dig (igen på engelsk).
I masterclassen taler vi om, hvordan man sikrer engagement og samarbejde fra hele organisationen - med andre ord: Hvordan man skaber en databeskyttelses- og sikkerhedskultur.
Trin 2: Leverandørstyring i stor skala
Onboarding af nye leverandører er én ting. Styring af de eksisterende (mange) leverandører er en helt anden sag.
Grundlæggende skal du regelmæssigt gøre disse fire ting:
- Føre tilsyn med leverandørerne for at sikre, at de gør, hvad du har aftalt. Læs mere om at få leverandørtilsyn til at fungere her.
- Revurdere din risikovurdering af leverandøren for at sikre, at du stadig håndterer risiciene ved den pågældende leverandør. Læs mere om effektiv risikostyring her.
- Fornyelse af databehandleraftalen: Indimellem skal du genbesøge dine databehandleraftaler for at sikre, at de stadig er egnede til dit formål. Dine tilsyn og risikovurderinger er gode input til det.
- Som en bivirkning af at være i regelmæssig kommunikation med dine leverandører, vil du være i stand til at holde din compliance-dokumentation opdateret. Leverandører går konkurs, fusionerer eller bliver opkøbt af andre virksomheder - eller de flytter eller afskediger din kontaktperson.
Jeg mener, at det vigtigste skridt for at få leverandørstyring i stor skala til at fungere er... et robust opgavestyringssystem.
Hver gang en ny leverandør kommer ind, skal du oprette tilbagevendende opgaver omkring tilsyn, revurdering af risici, genforhandling af databehandleraftalen osv.
Trin 3: Afslutning
Når vi opdager software, der ikke længere er i brug, er det fordi nogle organisationer er dårlige til at opsige apps, der ikke længere bruges.
Hos Wired Relations bliver vi mindst en gang om året spurgt: "Bruger du stadig dette stykke software?" Vi kan gøre det, fordi vi har et register over vores systemer og leverandører.
Vi er faktisk ret gode til at opsige software, vi ikke bruger, men vi finder stadig ting. Det er også altid en god påmindelse om, at vi bør spørge os selv: "Har vi virkelig brug for det her?".
Kontakt os
Det var de vigtigste processer, der skal fungere for at få leverandørstyringen til at være effektiv. Vi er ret sikre på, at du allerede er god til noget af det, får noget af det til at fungere, og har brug for at forbedre nogle områder.
Hvis du vil tale med os om det - og se, hvordan Wired Relations understøtter det - så kontakt os.
Book en demo
Leverandørstyring kræver en god governance-struktur: I dette webinar taler vi med Mona Persson fra TDC NET om, hvordan de har skabt en god privacy kultur via governance. Du får en masse gode input til, hvordan du kan arbejde med governance i forbindelse med nye leverandører og systemer.