Fortnox

Medarbetaruppgifter, kunduppgifter m.m. hanteras vanligtvis av er själva och era leverantörer. Däremot är det företaget som ansvarar för att det behandlas rätt. Därför ska ni be om dokumentation på hur er leverantör beskriver hur de är förenliga med EU:s dataskyddsförordning GDPR.

Fråga din leverantör vilka kontrollmål de har angående datasäkerhet och IT-infrastruktur. En viktigt del av ISAE 3402 är att ha dokumenterade kontrollmål som därefter kontrolleras av en specialiserad revisionsbyrå. Ett mål kan t.ex. vara att etablera ett ledningsmässigt underlag för att kunna styra implementeringen och driften av informationssäkerhet i organisationen

Fråga din leverantör hur ofta de reviderar, validerar och uppdaterar sin IT-policy och säkerhet. Det uppdateras konstant nya program, IT-verktyg och appar i företagen vilket ska vara synligt i processer samt dokumenteras. Det räcker då inte att leverantören tagit fram en IT-policy 2018 när GDPR-förordningen infördes. Det måste uppdateras kontinuerligt. Till skillnad mot t.ex. ISO 2700X-certifieringen, görs kontrollen av ISAE 3402 och ISAE 300 varje år. ISO 2700X-certifieringen behöver inte förnyas men ska ha en stämpel på att förhållandena vid tidpunkten för certifieringen har varit i sin ordning.

Hur ofta tittar du förbi hos din leverantör? Ligger de helt eller delvis i ett annat land? En ISAE 3402-rapport omfattar även en fysisk revision av säkerheten.

Innan du implementerar ett nytt system på ditt företag måste du känna till hela processen för hur din leverantör behandlar dina, dina kunders eller medarbetares uppgifter. I Europa omfattas alla företag av samma regler gällande GDPR så det är mer dokumentation av hur företaget lever upp till reglerna du ska vara uppmärksam på.

Fråga hur leverantören hanterar ett intrång i säkerheten. Lägg även märke till om de har en standardiserad process – som naturligtvis bör vara dokumenterad. Om någon t.ex. har kunnat komma åt era uppgifter utan tillstånd är din leverantör skyldig att informera dig. Det är dock först med en ISAE 3000-rapport som du har en garanti för att det sker. Det beror på att en procedur skapas när man får en ISAE 3000-rapport och den gås igenom regelbundet.

Du har säkert ett hum om vilka uppgifter din leverantör bör hantera. Se till att din leverantör även kan dokumentera alla uppgifter de hanterar samt om din leverantör har underleverantörer eller en partner. Med en ISAE 3000-rapport kan du få en exakt sammanställning över vilka uppgifter som hanteras.

Det är alltid bra att vara förberedd. Så innan du ingår ett samarbete med en ny leverantör så ska du be om en utförlig beskrivning av vilka risker leverantören har listat i samband med datahantering. ISAE 3402 garanterar att processer och procedurer rörande data har granskats och kontrollerats av en opartisk specialist. 

Många företag är ganska bra på att beskriva hur de hanterar reglerna i GDPR. Men det är minst lika viktigt att IT-säkerheten – det vill säga t.ex. system, infrastruktur och processer – fungerar i samspel med GDPR och att IT-säkerheten är lika väldokumenterad som själva GDPR-policyn.

Du vill gärna veta att du har en leverantör där säkerhet inte bara är ett modeord utan en integrerad del av organisationen. Som en del av ISAE 3402 ingår kravet att det finns en intern utbildning om IT-säkerhet, behandling av data m.m. Så fråga din blivande leverantör vad de gör för att säkerställa att medarbetare även tar hänsyn till IT-säkerhet och GDPR i sina arbetsrutiner.