Arbejdet med leverandører er en evig jagt på opdaterede oplysninger, opfølgning når leverandøren ikke vender tilbage på e-mails - eller kun svarer på halvdelen af de spørgsmål, du stillede.
Du har brug for struktur, overblik og kontrol.
Her er 5 ting, du kan gøre for at gøre leverandørtilsyn lidt mindre tidskrævende.
1. Hav en liste over dine leverandører - og databehandlere selvfølgelig
Det lyder simpelt.
En liste over alle dine leverandører og en label, der fortæller dig, om de er databehandlere eller ej.
Det er nok den vigtigste funktion i god leverandørstyring.
Hvis du ikke ved, hvem dine leverandører er, er der ingen måde at prioritere dem på, så du kan sikre, at du bruger dine ressourcer der, hvor du får mest ud af det.
Det er vores erfaring, at mange mangler et overblik over leverandørerne i virksomheden, eller at oplysningerne om leverandøren er forældede.
Hvis du ikke har sådan et overblik, er din tid sandsynligvis bedst brugt på at skabe det.
2. Vid, hvem der er kritisk for dig
For det andet, skal du have et overblik over, hvilke leverandører (og systemer) der er mest kritiske for dig.
Inden for databeskyttelse er det de systemer, der udgør den største risiko for dine registrerede.
Informationssikkerhed vil sandsynligvis skulle adressere dem, der udgør de største risici for virksomheden eller samfundet generelt.
Sørg for, at din compliance løsning er fleksibelt nok til at have forskellige etiketter på forskellige systemer og leverandører.
3. Beslut metoden og tidspunktet på forhånd - task management når det er bedst
Der findes mange forskellige metoder til leverandørtilsyn.
Nogle systemer er kritiske, og du vil skulle følge regelmæssigt op med leverandøren, gennemgå deres ISAE 3000 eller ISO-revisioner.
Andre er mindre kritiske, så du skal måske bare sende en e-mail hver andet år for at sikre, at leverandøren stadig gør tingene i overensstemmelse med den kontrakt, I har indgået.
Og alt muligt ind imellem.
Du har sandsynligvis en lille håndfuld tilsynskoncepter, som f.eks.:
- Ingen tilsyn
- Revisorerklæring
- Spørgeskema
- Fysisk tilsyn
Du kan også udføre revisionerne med forskellige intervaller. Nogle skal være hvert år, nogle hvert andet år.
Beslut dig for tilsynsmetode og tidspunktet hver gang en ny leverandør kommer ind, og læg det i dit system som en tilbagevendende opgave. Det står måske allerede i databehandleraftalen. Det er dog vigtigt at passe på. Det er alt for nemt at sætte høje standarder for sig selv på forhånd, så tænk fremad og træf en beslutning baseret på de ressourcer, du faktisk har.
Derfor er det best practice at have objektive kriterier, der styrer tidspunktet og metoden. De fleste bruger kriterier som:
- Antal registrerede i systemet
- Om oplysningerne er følsomme eller fortrolige og
- Risici forbundet med systemet.
4. Hav en systematisk proces, automatiske påmindelser
Selv med et godt overblik over systemer og leverandører, tilsynsmetoider og tidspunkt, er der stadig meget arbejde at gøre.
Når du starter dine revisioner ved at sende e-mails og spørgeskemaer, bliver alt endnu mere besværligt.
Hvem har svaret? Hvem har udfyldt hele spørgeskemaet? Hvem skal jeg sende en reminder til... og hvornår?
Sørg for at tænke dit system igennem, så alt er så automatiseret som muligt. Du vil have et godt overblik til enhver tid.
5. Evaluer informationen
Sidst men ikke mindst. Glem ikke at evaluere de oplysninger, du får tilbage. Igen, det lyder åbenlyst, men du kan ikke forestille dig, hvor mange spørgeskemaer der ikke bliver gennemgået, og hvor mange eksterne revisionsrapporter der bare ligger ulæste i systemer rundt omkring.
Hvis du vil se, hvordan Wired Relations understøtter leverandørtilsyn - book en demo
Leverandørstyring kræver en god governance-struktur: I dette webinar taler vi med Mona Persson fra TDC NET om, hvordan de har skabt en god privacy kultur via governance. Du får en masse gode input til, hvordan du kan arbejde med governance i forbindelse med nye leverandører og systemer.