28. oktober 2025

Leverandør-hygiejne: 10 triggers for revurdering

A woman assessing suppliers and related risk
A woman assessing suppliers and related risk

  • Revurder leverandørrisiko, når noget ændrer risikobilledet: kontrakter, data, lokation, hændelser eller ejerskab.

  • Aftal på forhånd tærskler, ansvar og svartider - så beslutninger er ens hver gang.

  • Log hvad der skete, hvem der vurdere, og hvad I gjorde - også når i ikke ændrer risikoniveau.

  • Et GRC-system (som Complychain) gør det let af udløse opgaver, indsamle evidens og genbruge vurderinger.



Hvorfor "leverandør-hygiejne" overhovedet?


Leverandørrisiko er sjældent statisk. Nye datatyper, ny infrastruktur eller en minde hændelse hos en underdatabehandler kan pludselig ændre konsekvens og sandsynlighed i risikobilledet. Uden klare triggers ender I med "one-and-done" vurderinger, der bliver forældede. Med simple, dokumenterede triggere kan I vurdere tidligt, dokumentere let og handle rettidigt.



De 10 vigtigste triggers for revurdering


  1. Kontraktændringer (DPA/Master/SoW)

  • Nye formål, nye kategorier af persondata eller ændret behandlingsgrundlag.

  • Handling: Start en light-revurdering; check dataminimering, opdater DPA-bilag og SLA'er.


  1. Nye datatyper eller højere dataklassifikation

  • Fx fra "kundeoplysninger" til "særlige kategorier" eller credentials/kryptonøgler.

  • Handling: Opdater konsekvensvurdering; kræv ekstra kontroller (kryptering, adgangsstyring, logging).


  1. Ændret datalokalitet eller overførselsgrundlag

  • Flytning af behandling/lager eller ny underdatabehandler i andet land.

  • Handling: TIA-check, opdater DPA, vurder lovlighed og tekniske/organisatoriske foranstaltninger.


  1. Sikkerhedshændelse hos leverandør

  • Fra kortvarig DoS til brug på integritet/fortrolighed.

  • Handling: Anmod om tidslinje, RCA og afhjælpning; vurder kædeeffekt; beslut evt. midlertidige kompensationskontroller.


  1. SLA-brud eller driftstegn på ustabilitet

  • Gentagne nedetider, for sen incident-kommunikation.

  • Handling: Eskalér via governance; skærp rapporteringskrav; overvej "probation" og tættere monitorering.


  1. Ændringer i underdatabehandler-listen

  • Ny, udskiftet eller fjernet underdatabehandler på tjenestekritisk del.

  • Handling: Impact-vurderinger pr. link i kæden; indhent dokumentation; informer egen kunder efter aftale.


  1. Ejerskifte, fusion eller større organisationsændringer

  • Nye ejere, nye budgetter, nye prioriteringer.

  • Handling: Genbekræft sikkerhedspolitik, certificeringer og roadmap; justér risikoprofilen.


  1. Certifikater/attester udløber eller skifter scope

  • ISO 27001, SOC 2, ISAE 3000/3402 - eller væsentlige findings i seneste rapport.

  • Handling: Efterspørg fornyet dokumentation; beslut midlertidige kontroller; fastlæg dato for næste review.


  1. Væsentlige arkitektur- eller produktændringer

  • Ny cloud/tjeneste, større release, integrationsskift, ny IdP.

  • Handling: Revurder "fir for purpose"; opdatér risikokriterier og krav til leverandøren.


  1. Ændringer hos jer selv

  • Nyt marked, nye kunder (kræver andre kontroller), højere transaktionsvolumen.

  • Handling: Revurder "fit for purpose"; opdatér risikokriterier og krav til leverandøren.



TIP: Gør trigger målbare, fx ">1 SLA-brud/kvartal", "ny datalokalitet", "certifikat udløber <60 dage", "hændelse med dataeksponering".


A man making a list of vendor-hygiejne



Sådan dokumenterer i uden bøvl


Minimumsindhold i et godt leverandør-review:

  1. Trigger (hvad udløste revurderingen, og hvornår?).

  2. Scope (systemer, data, kunder, databehandlerkæde).

  3. Vurdering (konsekvens/sandsynlighed, kriterier, datagrundlag).

  4. Beslutning (risikoniveau, kompensationskontroller, deadlines).

  5. Kommunikation (hvad blev delt med hvem - leverandør/kunder/ledelse)

  6. Opfølgning (RCA-status, bevis for remediation, næste review-dato).



Husk også at gemme "ingen ændring"-beslutninger. Konsistens er guld værd ved audit og kundespørgsmål.



Governance der holder i hverdagen


  • Tærsker og KPI'er: Definér triggers, svartider og målinger (fx fra trigger til beslutning, andel reviews lukket til tiden).

  • Kalender + hændelses-postkasse: En simpel indgang, så intet trigger forsvinder i en e-mailtråd.

  • Konsekvent skabelon: Samme 1-side for alle reviews - gør resultatet sammenligneligt.

  • Plan B: Kend alternativer for tjenester med høj kritikalitet (redundans/second-source)



Sådan hjælper Complychain (i praksis)


  • Kædeoverblik: Map kunde - leverandør - underdatabehandler. Se hurtigt, hvor ændringer slår igennem.

  • Automatiske triggers: Opret reviews fra SLA-brud, hændelser, certifikatudløb eller ændringer i underdatabehandlere.

  • TIA og DPA på ét sted: Gem vurderinger, bilag og versionshistorik - link til relevante kontroller.

  • Rapportér på tid/risiko: Ledelses- og kundevenlige udsnit (hvad ændrede vi, hvorfor og hvornår).

  • Genbrug og auditspor: Samme struktur år efter år - uden at starte forfra.



Final remarks


Leverandør-"hygiejne" er disciplinen, der holder risikoen aktuel. Definér jeres 10 triggere, gør vurderingen målbar, og dokumentér konsekvent - så kan I handle hurtigt uden at overreagere.


Vil du se, hvordan teams standardiserer triggers - review - beslutning - opfølgning?


Book en 20-minutters demo for en snak omkring jeres nuværende situation.