De flesta företag har data som hanteras externt. Det kan vara lönehantering eller redovisning som har utlokaliserats eller vissa appar eller program som har åtkomst via molnet. Det innebär behandling av data i någon form. Därför finns det – som alltid när man jobbar med data – risk för säkerhetsintrång. Och oavsett om ett intrång eller ett tillbud sker hos dig eller din leverantör är det alltid du som har ansvaret för säkerheten.
Därför väljer fler företag att anlita opartiska revisorer för att granska och dokumentera arbetet med GDPR och IT-säkerhet.
Fördelen med att välja en leverantör med ISAE-rapport är att du får dokumentation för databehandling och säkerhet och att denna dokumentation har granskats av oberoende revisorer. Det ger trygghet och sparar tid för dig.
Oavsett om du väljer en leverantör med ISAE-rapport eller inte måste du alltid hantera IT-säkerheten.
Men vad ska du fråga om för att se till att din leverantör lever upp till GDPR?
Vi har samlat de viktigaste problemen och frågorna åt dig så att du kan se till att din leverantör uppfyller GDPR och har säkra procedurer och IT-system.
Medarbetaruppgifter, kunduppgifter m.m. hanteras normalt både av er själva och av era leverantörer. Men det är ditt företag som ansvarar för att de behandlas korrekt. Därför ska ni be om dokumentation av er leverantör som beskriver hur de är GDPR-compliant.
Fråga om vilka kontrollmål din leverantör har när det gäller datasäkerhet och IT-infrastruktur. En viktig del av ISAE 3402 är att ställa upp en rad dokumenterade kontrollmål som sedan kontrolleras av en specialiserad revisionsbyrå. Ett kontrollmål kan t.ex. vara att etablera ett ledningsmässigt underlag för att kunna initiera och styra implementeringen och driften av informationssäkerhet i organisationen.
Fråga din leverantör hur ofta de reviderar, validerar och uppdaterar sin IT-policy och säkerhet. Det tillkommer konstant nya program, IT-verktyg eller appar i företagen – och det ska synas i processer och dokumentationen.
Det räcker inte att en leverantör har tagit fram en IT-policy 2018 när GDPR-förordningen infördes. Den måste hela tiden uppdateras.
Till skillnad mot t.ex. ISO 2700X-certifieringen görs kontrollen av ISAE 3402 och ISAE 3000 varje år. En ISO 2700X-certifiering behöver inte förnyas men ska ha en stämpel på att förhållandena vid tiden för certifieringen är i sin ordning. Så om en leverantör har en ISO-certifiering ska du fråga om när den erhölls.
Hur ofta tittar du förbi hos din leverantör? Ligger de helt eller delvis i ett annat land? En ISAE 3402-rapport omfattar även en fysisk revision av säkerheten.
Innan du implementerar ett nytt system på ditt företag måste du känna till hela processen för hur din leverantör behandlar dina, dina kunders eller medarbetares uppgifter. I Europa omfattas alla företag av samma regler gällande GDPR så det är mer dokumentation av hur företaget lever upp till reglerna du ska vara uppmärksam på.
Fråga hur leverantören hanterar ett intrång i säkerheten. Och lägg märke till om de har en standardiserad process – som naturligtvis är dokumenterad.
Om t.ex. någon kunnat komma åt era uppgifter som inte har tillstånd att göra det är din leverantör skyldig att informera dig. Men det är först med en ISAE 3000-rapport som du har en garanti för att det sker. Det beror på att en procedur skapas när man ska få en ISAE 3000-rapport, och den gås igenom regelbundet.
Du har säkert ett hum om vilka uppgifter din leverantör bör hantera. Men se till att din leverantör kan dokumentera alla uppgifter de hanterar, och också om din leverantör har underleverantörer eller partner. Med en ISAE 3000-rapport kan du få en exakt sammanställning över vilka uppgifter som hanteras. Då slipper du att kolla upp det själv.
Det är alltid bra att vara förberedd. Så innan du ingår ett samarbete med en ny leverantör ska du be om en utförlig beskrivning av vilka risker leverantören har listat i samband med hantering av data.
Med ISAE 3402 får du visshet om att processer och procedurer rörande data har granskats av en opartisk specialist samt kontrollerats.
Många företag är ganska bra på att beskriva hur de hanterar reglerna i GDPR. Men det är minst lika viktigt att IT-säkerheten – det vill säga t.ex. system, infrastruktur och processer – fungerar i samspel med GDPR och att IT-säkerheten är lika väldokumenterad som själva GDPR-policyn.
Utan IT-säkerhet är GDPR-åtgärder inte särskilt mycket värda. Om du vill vara på den säkra sidan ska du leta efter en leverantör med både en ISAE 3000- och en ISAE 3402-rapport.
Du vill gärna veta att du har en leverantör där säkerhet inte bara är ett modeord utan en integrerad del av organisationen. Som en del av ISAE 3402 ingår kravet att det finns en intern utbildning om IT-säkerhet, behandling av data m.m. Så fråga din kommande leverantör vad de gör för att säkerställa att medarbetare även tänker in IT-säkerhet och GDPR i sina arbetsrutiner.
Hos TimeLog tror vi på att vi som tjänsteleverantör måste kunna försäkra våra kunder om att de inte tar några extra risker genom att ge oss ansvaret för delar av deras verksamhet och data. Därför har vi förpliktat oss att arbeta med en certifierad revisor för att förvärva både ISAE 3000 GDPR-rapporten och en ISAE 3402-rapport som ett fortlöpande, årligt mål i vårt compliance- och informationssäkerhetsarbete.
Har du fortfarande frågor om innehållet i ISAE 3000 eller ISAE 3402? Se vanliga frågor och svar om de båda rapporterna i vår FAQ nu.
Till sist har vi samlat de tio frågorna här så att du enkelt kan kopiera dem till nya eller befintliga leverantörer. Då kan du vara säker på att de kan ge dig ett tillfredsställande svar på hur de uppfyller GDPR.