Leverandørtilsyn er et mareridt. Sådan gør du dem lidt mindre tidskrævende.

Det er et mareridt at gennemføre leverandørtilsyn. Du kan selvfølgelig nemt håndtere et eller to, men det er langt mere udfordrende at håndtere mange på en effektiv måde.

Publiseringsdato: 
30/7/2024
Jacob Høedt Larsen
PR & PA

Læs mere om forfatteren

Arbejdet med leverandører er en evig jagt på opdaterede oplysninger, opfølgning når leverandøren ikke vender tilbage på e-mails - eller kun svarer på halvdelen af de spørgsmål, du stillede.

Du har brug for struktur, overblik og kontrol.

Her er 5 ting, du kan gøre for at gøre leverandørtilsyn lidt mindre tidskrævende.

1. Hav en liste over dine leverandører - og databehandlere selvfølgelig

Det lyder simpelt.

En liste over alle dine leverandører og en label, der fortæller dig, om de er databehandlere eller ej.

Det er nok den vigtigste funktion i god leverandørstyring.

Hvis du ikke ved, hvem dine leverandører er, er der ingen måde at prioritere dem på, så du kan sikre, at du bruger dine ressourcer der, hvor du får mest ud af det.

Det er vores erfaring, at mange mangler et overblik over leverandørerne i virksomheden, eller at oplysningerne om leverandøren er forældede.

Hvis du ikke har sådan et overblik, er din tid sandsynligvis bedst brugt på at skabe det.

2. Vid, hvem der er kritisk for dig

For det andet, skal du have et overblik over, hvilke leverandører (og systemer) der er mest kritiske for dig.

Inden for databeskyttelse er det de systemer, der udgør den største risiko for dine registrerede.

Informationssikkerhed vil sandsynligvis skulle adressere dem, der udgør de største risici for virksomheden eller samfundet generelt.

Sørg for, at din compliance løsning er fleksibelt nok til at have forskellige etiketter på forskellige systemer og leverandører.

3. Beslut metoden og tidspunktet på forhånd - task management når det er bedst

Der findes mange forskellige metoder til leverandørtilsyn.

Nogle systemer er kritiske, og du vil skulle følge regelmæssigt op med leverandøren, gennemgå deres ISAE 3000 eller ISO-revisioner.

Andre er mindre kritiske, så du skal måske bare sende en e-mail hver andet år for at sikre, at leverandøren stadig gør tingene i overensstemmelse med den kontrakt, I har indgået.

Og alt muligt ind imellem.

Du har sandsynligvis en lille håndfuld tilsynskoncepter, som f.eks.:

  • Ingen tilsyn
  • Revisorerklæring
  • Spørgeskema
  • Fysisk tilsyn

Du kan også udføre revisionerne med forskellige intervaller. Nogle skal være hvert år, nogle hvert andet år.

Beslut dig for tilsynsmetode og tidspunktet hver gang en ny leverandør kommer ind, og læg det i dit system som en tilbagevendende opgave. Det står måske allerede i databehandleraftalen. Det er dog vigtigt at passe på. Det er alt for nemt at sætte høje standarder for sig selv på forhånd, så tænk fremad og træf en beslutning baseret på de ressourcer, du faktisk har.

Derfor er det best practice at have objektive kriterier, der styrer tidspunktet og metoden. De fleste bruger kriterier som:

  • Antal registrerede i systemet
  • Om oplysningerne er følsomme eller fortrolige og
  • Risici forbundet med systemet.

4. Hav en systematisk proces, automatiske påmindelser

Selv med et godt overblik over systemer og leverandører, tilsynsmetoider og tidspunkt, er der stadig meget arbejde at gøre.

Når du starter dine revisioner ved at sende e-mails og spørgeskemaer, bliver alt endnu mere besværligt.

Hvem har svaret? Hvem har udfyldt hele spørgeskemaet? Hvem skal jeg sende en reminder til... og hvornår?

Sørg for at tænke dit system igennem, så alt er så automatiseret som muligt. Du vil have et godt overblik til enhver tid.

5. Evaluer informationen

Sidst men ikke mindst. Glem ikke at evaluere de oplysninger, du får tilbage. Igen, det lyder åbenlyst, men du kan ikke forestille dig, hvor mange spørgeskemaer der ikke bliver gennemgået, og hvor mange eksterne revisionsrapporter der bare ligger ulæste i systemer rundt omkring.

Hvis du vil se, hvordan Wired Relations understøtter leverandørtilsyn - book en demo

Leverandørstyring kræver en god governance-struktur: I dette webinar taler vi med Mona Persson fra TDC NET om, hvordan de har skabt en god privacy kultur via governance. Du får en masse gode input til, hvordan du kan arbejde med governance i forbindelse med nye leverandører og systemer.

Effektiv leverandørstyring

Denne e-bog guider dig til at mestre hele leverandørens livscyklus. Fra at vælge de rigtige partnere til problemfri onboarding, vedvarende engagement og omhyggelig afvikling.

Download e-bog