Exact Online

Medarbetaruppgifter, kunduppgifter m.m. hanteras vanligtvis av er själva och era leverantörer. Men det är företaget som ansvarar för att det behandlas rätt. Därför ska ni be om dokumentation på hur er leverantör beskriver hur de är GDPR-compliant

Fråga om vilka kontrollmål din leverantör har när det gäller datasäkerhet och IT-infrastruktur. En viktigt del av ISAE 3402 är att ha dokumenterade kontrollmål som därefter kontrolleras av en specialiserad revisionsbyrå. Ett mål kan t.ex vara att etablera ett ledningsmässigt underlag för att kunna styra implementeringen och driften av informationssäkerhet i organisationen

När granskades er IT-compliance senast?Fråga din leverantör hur ofta de reviderar, validerar och uppdaterar sin IT-policy och säkerhet. Det uppdateras konstant nya program, IT-verktyg och appar i företagen och sådant ska vara synligt i processer och dokumenteras. Det räcker då inte att leverantören tagit frame n IT-policy 2018 när GDPR-förordningen infördes. Det måste uppdateras hela tiden. Till skillnad mot t.ex ISO 2700X-certifieringen, görs kontrollen av ISAE 3402 och ISAE 300 varje år. ISO 2700X-certifieringen behöver inte förnyas men ska ha en stämpel på att förhållanderna vid tiden för certifieringen är i sin ordning.

Hur ofta tittar du förbi hos din leverantör? Ligger de helt eller delvis i ett annat land? En ISAE 3402-rapport omfattar även en fysisk revision av säkerheten.

Innan du implementerar ett nytt system på ditt företag måste du känna till hela processen för hur din leverantör behandlar dina, dina kunders eller medarbetares uppgifter. I Europa omfattas alla företag av samma regler gällande GDPR så det är mer dokumentation av hur företaget lever upp till reglerna du ska vara uppmärksam på.

Fråga hur leverantören hanterar ett intrång i säkerheten. Och lägg märke till om de har en standardiserad process – som naturligtvis är dokumenterad. Om någon t.ex kunnat komma åt era uppgifter som inte har tillstånd att göra det är din leverantör skyldig att informera dig. Men det är först med en ISAE 3000-rapport som du har en garanti för att det sker. Det beror på att en procedur skapas när man ska få en ISAE 3000-rapport, och den gås igenom regelbundet.

Du har säkert ett hum om vilka uppgifter din leverantör bör hantera. Men se till att din leverantör kan dokumentera alla uppgifter de hanterar, och också om din leverantör har underleverantörer eller partner. Med en ISAE 3000-rapport kan du få en exakt sammanställning över vilka uppgifter som hanteras.

Det är alltid bra att vara förberedd. Så innan du ingår ett samarbete med en ny leverantör ska du be om en utförlig beskrivning av vilka risker leverantören har listat i samband med hantering av data. Med ISAE 3402 får du visshet om att processer och procedurer rörande data har granskats av en opartisk specialist samt kontrollerats

Många företag är ganska bra på att beskriva hur de hanterar reglerna i GDPR. Men det är minst lika viktigt att IT-säkerheten – det vill säga t.ex. system, infrastruktur och processer – fungerar i samspel med GDPR och att IT-säkerheten är lika väldokumenterad som själva GDPR-policyn.

Du vill gärna veta att du har en leverantör där säkerhet inte bara är ett modeord utan en integrerad del av organisationen. Som en del av ISAE 3402 ingår kravet att det finns en intern utbildning om IT-säkerhet, behandling av data m.m. Så fråga din kommande leverantör vad de gör för att säkerställa att medarbetare även tänker in IT-säkerhet och GDPR i sina arbetsrutiner.