Hvor sikre er dine data?
Du er ansvarlig for sikkerheden sammen med din leverandør. Derfor har vi her lavet en liste med 10 GDPR-spørgsmål, du skal kræve svar på
De fleste af dine data håndteres eksternt
Mange virksomheder får deres data håndteret uden for virksomheden. Det kan for eksempel være ved at outsource lønadministration, bogføring eller brug af visse cloud-baserede apps og programmer. Dette betyder, at data bliver behandlet eksternt på forskellig vis. Når man arbejder med data, følger der altid en risiko for, at der kan ske et databrud. Og uanset om det er dig eller din leverandør, der bliver ramt af et brud eller en fejl, er det dit ansvar at sikre, at sikkerheden er i orden.
Tre grunde til at vælge en leverandør med ISAE-erklæring:
Du får en uafhængig revisors vurdering af din leverandørs GDPR-compliance og IT-sikkerhedsniveau.
Du sparer tid, da du slipper for at gennemgå leverandørens processer. Det giver tryghed, og du får sikker viden om leverandørens GDPR- og IT-sikkerhedsforhold.
Leverandørens procedurer bliver detaljeret dokumenteret i offentligt tilgængelige rapporter.
Ved at vælge en leverandør, der har ISAE-erklæringer, får du dokumentation for både databehandling og sikkerhed, som er verificeret af uafhængige revisorer. Det giver dig ikke bare ro i sindet, men sparer også tid. Dog er det vigtigt at huske, at IT-sikkerhed aldrig må nedprioriteres, uanset om din leverandør har ISAE-erklæringer eller ej. Men hvad skal du spørge om for at være sikker på, at din leverandør overholder GDPR? Vi har samlet de vigtigste spørgsmål, du kan stille for at sikre, at din leverandør har styr på GDPR-overholdelse, sikkerhedsprocedurer og IT-systemer.
Lær mere om, hvordan du holder dine data sikre med ISAE 3000
10 spørgsmål, du skal stille din leverandør for at vurdere deres sikkerhedsniveau:
1. Hvordan kan I bevise, at I behandler følsomme data korrekt?
Både medarbejderdata og kundedata behandles normalt af både dig og dine leverandører. Det er dog dit ansvar at sikre, at data bliver behandlet korrekt. Du bør derfor bede din leverandør om dokumentation, der viser, at de overholder GDPR-reglerne.
2. Hvilke sikkerhedsmål har I implementeret?
Spørg, hvilke mål og kontroller din leverandør har etableret for datasikkerhed og IT-infrastruktur. Et kontrolmål kan for eksempel være en proces til håndtering af GDPR-relaterede hændelser eller en klar forståelse af, hvilke systemer der håndterer hvilke data – især persondata. En væsentlig del af ISAE 3000 er at opsætte en række dokumenterede kontrolmål, som bliver revideret af en specialist.
3. Hvornår har I sidst gennemgået jeres IT-overholdelse?
Du bør spørge din leverandør, hvor ofte de gennemgår og opdaterer deres IT-politikker og sikkerhed. Virksomheder tilføjer ofte nye programmer, IT-værktøjer eller apps, hvilket skal afspejles i deres processer og dokumentation. Modsat ISO 2700X-certificeringer, som ikke kræver løbende fornyelse, gennemgår ISAE 3402 og ISAE 3000 en årlig revision. Hvis din leverandør har en ISO-certificering, så husk at spørge, hvornår den sidst blev opdateret.
“IT-sikkerhed kan føles som en tung byrde, og det kan være fristende at skære hjørner. Men før du gør det, tænk over konsekvenserne – prisen for at ignorere compliance kan være langt højere end omkostningerne ved at overholde den.”
– Christian Wadskov
System Administrator, CapaSystems
4. Reviderer I regelmæssigt både jeres processer og den fysiske sikkerhed?
Hvor ofte besøger du din leverandør? Måske er de placeret i et andet land? En ISAE 3000-erklæring inkluderer en fysisk gennemgang af sikkerheden.
5. Hvilke procedurer har I for at behandle følsomme data?
Før du implementerer et nyt system i din virksomhed, skal du kende den fulde proces for, hvordan din leverandør håndterer dine, dine kunders eller dine medarbejderes data. Alle virksomheder i Europa skal overholde GDPR-reglerne, så sørg for, at din leverandør kan dokumentere, hvordan de efterlever disse krav.
6. Hvad gør I i tilfælde af et sikkerhedsbrud?
Spørg din leverandør, hvordan de håndterer sikkerhedsbrud, og om de har en standardiseret og dokumenteret procedure. Hvis nogen uden tilladelse får adgang til dine data, er det leverandørens pligt at informere dig. En ISAE 3000-erklæring sikrer, at sådanne procedurer er på plads, og at de bliver revideret regelmæssigt.
7. Hvilke data håndterer I?
Du har sikkert en god idé om, hvilke data din leverandør bør behandle, men det er vigtigt, at leverandøren kan dokumentere, hvilke data de håndterer. Dette gælder også, hvis leverandøren benytter underleverandører. Med en ISAE 3000-erklæring får du et klart overblik over, hvilke data der behandles, så du ikke selv behøver at undersøge det.
8. Hvilke risici har I identificeret i forhold til behandling af mine data?
For at være forberedt, er det en god idé at få en detaljeret beskrivelse af de risici, din leverandør har kortlagt i forbindelse med databehandlingen. Med ISAE 3000 kan du være sikker på, at processer og procedurer vedrørende data er blevet revideret og godkendt af en uafhængig revisor.
9. Hvordan sikrer I samarbejdet mellem jeres IT-sikkerhed og GDPR-forpligtelser?
Mange virksomheder er gode til at beskrive, hvordan de overholder GDPR-reglerne, men det er lige så vigtigt, at IT-sikkerheden – herunder systemer, infrastruktur og processer – arbejder sammen med GDPR-tiltagene. Uden en stærk IT-sikkerhed har GDPR-foranstaltningerne ingen effekt.
10. Hvordan dokumenterer I, at IT-sikkerheden i jeres virksomhed konstant udvikles og forbedres?
Du vil gerne arbejde med en leverandør, hvor IT-sikkerhed er en integreret del af virksomheden og ikke blot et modeord. En af kravene i ISAE 3000 er intern uddannelse inden for IT-sikkerhed og databehandling. Spørg din leverandør, hvad de gør for at sikre, at deres medarbejdere ser IT-sikkerhed og GDPR som en naturlig del af deres daglige arbejde.
CapaSystems og ISAE 3000
Hos CapaSystems er det vores ansvar som serviceleverandør at sikre, at vores kunder ikke påtager sig unødige risici ved at overdrage dele af deres forretning og data til os. Derfor arbejder vi tæt sammen med en certificeret revisor for at opnå og fastholde ISAE 3000-erklæringen som en del af vores årlige arbejde med compliance og informationssikkerhed.
Del de ti spørgsmål med din leverandør
Vi har samlet de ti spørgsmål her, så du nemt kan kopiere og sende dem til både nye og eksisterende leverandører. På den måde kan du sikre, at du får de nødvendige svar, som kan hjælpe dig med at opretholde GDPR-compliance.
1. Hvordan dokumenterer I, at I håndterer følsomme personoplysninger korrekt?
2. Hvilke kontrolmål har I på plads?
3. Hvornår har I sidst gennemgået jeres IT-overholdelse?
4. Reviderer I både processer, procedurer og fysisk sikkerhed regelmæssigt?
5. Hvilke procedurer har I for at håndtere følsomme personoplysninger?
6. Hvad er jeres procedure i tilfælde af et sikkerhedsbrud?
7. Hvilke data håndterer I?
8. Hvilke risici har I identificeret i forbindelse med håndteringen af mine data?
9. Hvordan sikrer I, at jeres IT-sikkerhed og GDPR-tiltag arbejder sammen?
10. Hvordan dokumenterer I, at IT-sikkerheden i jeres virksomhed kontinuerligt forbedres?