Blogg och kunskap

10 frågor om GDPR och IT-säkerhet din leverantör ska kunna svara på

Skriven av Sascha Skydsgaard | 2023-nov-22 12:57:37

Du ansvarar för säkerheten tillsammans med dina leverantörer

Merparten av dina data hanteras externt

De flesta företag har data som hanteras externt. Det kan vara lönehantering eller redovisning som har utlokaliserats eller vissa appar eller program som har åtkomst via molnet. Det innebär behandling av data i någon form. Därför finns det – som alltid när man jobbar med data – risk för säkerhetsintrång. Och oavsett om ett intrång eller ett tillbud sker hos dig eller din leverantör är det alltid du som har ansvaret för säkerheten.

Därför väljer fler företag att anlita opartiska revisorer för att granska och dokumentera arbetet med GDPR och IT-säkerhet.

 
 

Fördelen med att välja en leverantör med ISAE-rapport är att du får dokumentation för databehandling och säkerhet och att denna dokumentation har granskats av oberoende revisorer. Det ger trygghet och sparar tid för dig.

Oavsett om du väljer en leverantör med ISAE-rapport eller inte måste du alltid hantera IT-säkerheten.

Men vad ska du fråga om för att se till att din leverantör lever upp till GDPR?

Vi har samlat de viktigaste problemen och frågorna åt dig så att du kan se till att din leverantör uppfyller GDPR och har säkra procedurer och IT-system.

Tio saker du ska fråga din leverantör om för att kontrollera att de har koll på säkerheten

1. Hur dokumenterar ni att ni behandlar personuppgifter korrekt?

Medarbetaruppgifter, kunduppgifter m.m. hanteras normalt både av er själva och av era leverantörer. Men det är ditt företag som ansvarar för att de behandlas korrekt. Därför ska ni be om dokumentation av er leverantör som beskriver hur de är GDPR-compliant.

2. Vilka kontrollmål har ni?

Fråga om vilka kontrollmål din leverantör har när det gäller datasäkerhet och IT-infrastruktur. En viktig del av ISAE 3402 är att ställa upp en rad dokumenterade kontrollmål som sedan kontrolleras av en specialiserad revisionsbyrå. Ett kontrollmål kan t.ex. vara att etablera ett ledningsmässigt underlag för att kunna initiera och styra implementeringen och driften av informationssäkerhet i organisationen.

3.  När granskades er IT-compliance senast?

Fråga din leverantör hur ofta de reviderar, validerar och uppdaterar sin IT-policy och säkerhet. Det tillkommer konstant nya program, IT-verktyg eller appar i företagen – och det ska synas i processer och dokumentationen.

Det räcker inte att en leverantör har tagit fram en IT-policy 2018 när GDPR-förordningen infördes. Den måste hela tiden uppdateras.

Till skillnad mot t.ex. ISO 2700X-certifieringen görs kontrollen av ISAE 3402 och ISAE 3000 varje år. En ISO 2700X-certifiering behöver inte förnyas men ska ha en stämpel på att förhållandena vid tiden för certifieringen är i sin ordning. Så om en leverantör har en ISO-certifiering ska du fråga om när den erhölls.

4. Reviderar ni både processer och procedurer samt fysisk och logistisk säkerhet?

Hur ofta tittar du förbi hos din leverantör? Ligger de helt eller delvis i ett annat land? En ISAE 3402-rapport omfattar även en fysisk revision av säkerheten.

5. Hur ser er procedur för hantering av personuppgifter ut?

Innan du implementerar ett nytt system på ditt företag måste du känna till hela processen för hur din leverantör behandlar dina, dina kunders eller medarbetares uppgifter. I Europa omfattas alla företag av samma regler gällande GDPR så det är mer dokumentation av hur företaget lever upp till reglerna du ska vara uppmärksam på.

6. Hur hanterar ni ett säkerhetsintrång?

Fråga hur leverantören hanterar ett intrång i säkerheten. Och lägg märke till om de har en standardiserad process – som naturligtvis är dokumenterad.

Om t.ex. någon kunnat komma åt era uppgifter som inte har tillstånd att göra det är din leverantör skyldig att informera dig. Men det är först med en ISAE 3000-rapport som du har en garanti för att det sker. Det beror på att en procedur skapas när man ska få en ISAE 3000-rapport, och den gås igenom regelbundet.

7. Vilka uppgifter hanterar ni?

Du har säkert ett hum om vilka uppgifter din leverantör bör hantera. Men se till att din leverantör kan dokumentera alla uppgifter de hanterar, och också om din leverantör har underleverantörer eller partner. Med en ISAE 3000-rapport kan du få en exakt sammanställning över vilka uppgifter som hanteras. Då slipper du att kolla upp det själv. 

8. Vilka risker har ni upptäckt i samband med hantering av mina uppgifter?

Det är alltid bra att vara förberedd. Så innan du ingår ett samarbete med en ny leverantör ska du be om en utförlig beskrivning av vilka risker leverantören har listat i samband med hantering av data.

Med ISAE 3402 får du visshet om att processer och procedurer rörande data har granskats av en opartisk specialist samt kontrollerats.

9. Hur har ni tryggat att det finns ett samspel mellan er IT-säkerhet och GDPR-skyldigheterna?

Många företag är ganska bra på att beskriva hur de hanterar reglerna i GDPR. Men det är minst lika viktigt att IT-säkerheten – det vill säga t.ex. system, infrastruktur och processer – fungerar i samspel med GDPR och att IT-säkerheten är lika väldokumenterad som själva GDPR-policyn.

Utan IT-säkerhet är GDPR-åtgärder inte särskilt mycket värda. Om du vill vara på den säkra sidan ska du leta efter en leverantör med både en ISAE 3000- och en ISAE 3402-rapport.

10. Hur dokumenterar ni att IT-säkerheten på ert företag konstant mognar och fortlöpande förbättras?

Du vill gärna veta att du har en leverantör där säkerhet inte bara är ett modeord utan en integrerad del av organisationen. Som en del av ISAE 3402 ingår kravet att det finns en intern utbildning om IT-säkerhet, behandling av data m.m. Så fråga din kommande leverantör vad de gör för att säkerställa att medarbetare även tänker in IT-säkerhet och GDPR i sina arbetsrutiner.

TimeLog och ISAE 3000 och ISAE 3402

Hos TimeLog tror vi på att vi som tjänsteleverantör måste kunna försäkra våra kunder om att de inte tar några extra risker genom att ge oss ansvaret för delar av deras verksamhet och data. Därför har vi förpliktat oss att arbeta med en certifierad revisor för att förvärva både ISAE 3000 GDPR-rapporten och en ISAE 3402-rapport som ett fortlöpande, årligt mål i vårt compliance- och informationssäkerhetsarbete. 

Har du fortfarande frågor om innehållet i ISAE 3000 eller ISAE 3402? Se vanliga frågor och svar om de båda rapporterna i vår FAQ nu.


Dela de tio frågorna med din leverantör

Till sist har vi samlat de tio frågorna här så att du enkelt kan kopiera dem till nya eller befintliga leverantörer. Då kan du vara säker på att de kan ge dig ett tillfredsställande svar på hur de uppfyller GDPR.

  1. Hur dokumenterar ni att ni behandlar personuppgifter korrekt? 
  2. Vilka kontrollmål har ni?  
  3. När granskades er IT-compliance senast?
  4. Reviderar ni både processer och procedurer samt fysisk och logistisk säkerhet?
  5. Hur ser er procedur för hantering av personuppgifter ut? 
  6. Hur hanterar ni ett säkerhetsintrång? 
  7. Vilka uppgifter hanterar ni?  
  8. Vilka risker har ni upptäckt i samband med hantering av mina uppgifter? 
  9. Hur har ni tryggat att det finns ett samspel mellan er IT-säkerhet och GDPR-skyldigheterna?
  10. Hur dokumenterar ni att IT-säkerheten på ert företag konstant mognar och förbättras?