November 4, 2025

Leverandørstyring: Hvorfor vi skal gå op i, hvad der foregår i baghaven

  • Leverandører er en forlængelse af jeres virksomhed. Når de ændrer noget, ændrer risikoen sig hos jer.

  • Standarder og rammeværk (fx. ISO 27001 og CIS 18) samt regler (GDPR og NIS2) peger alle mode de samme grundidéer: Aftal det vigtigste, del kun nødvendige data, hold øje med ændringer, og håndtér hændelser ens hver gang.

  • Behøves det at være perfekt? Det bedste første skridt er altid at komme i gang: Start fornuftigt, kig oftere når noget ændrer sig, og gem korte noter om jeres beslutninger.



Hvad er leverandørstyring?


De fleste virksomheder bruger i dag en håndfuld (eller hundrede) eksterne tjenester: hosting, login, analyse, support, udvikling, payroll, osv. Det er effektivt - men det betyder også, at en del af jeres drift, data og omdømme er i hænderne på andre.


Leverandørstyring er derfor ikke et excelark med logoer. Det er svaret på tre enkle spørgsmål:


  1. Hvad forventer vi? (service, sikkerhed, kommunikation)


  1. Hvad gør vi, når noget ændrer sig? (ny lokation, ny subprocessor, nyt produkt)


  1. Hvad gør vi, når noget går galt? (samme beslutningsgang — hver gang)


Når de tre spørgsmål kan besvares kort og roligt, har I en sund praksis.



Hvorfor standarder og regler promovere de samme principper


Det kan være forvirrende med mange forskellige standarder, rammeværker og regler: ISO 27001, CIS 18, NIS2, GDPR. Men i hver deres essens gemmer der sig bag ordene nogle fælles principper, som er lette at forstå og bruge:


  • Klare forventninger fra start
    Aftal det vigtigste i kontrakt/DPA: hvad behandles, hvor, af hvem, og hvordan I taler sammen ved hændelser.
    Hvorfor? Mindre tvivl senere - og hurtigere beslutninger, når det haster.


  • Minimér og beskyt data
    Del kun det, leverandøren behøver. Sørg for fornuftige adgangsregler og logning.
    Hvorfor? Jo mindre data og jo færre nøgler i spil, desto lavere konsekvens ved fejl.


  • Ændringer er “små hændelser”
    Ny lokation, ny underleverandør, større release - alt det ændrer jeres risiko.
    Hvorfor? Små ændringer, der overses, bliver ofte til store overraskelser.


  • Hændelser håndteres ens – hver gang
    En enkel beslutningsramme: Hvad skete? Hvem er ramt? Hvor længe? Hvad gør vi nu? Hvem informerer vi?
    Hvorfor? Det skaber ro, tempo og et spor alle kan følge.


  • Løbende, men let opfølgning
    Hellere korte, hyppige tjek end store, sjældne “projekter”.
    Hvorfor? Verden flytter sig - jeres overblik skal følge med.



A man making a list of vendor-hygiejne



Tips til at komme i gang


1) Del jeres leverandører op i kriterier


Det kunne eksempelvis være:


  • Kritiske: Hvis de fejler, står jeres tjeneste stille.

  • Vigtige: I kan arbejde videre, men med forstyrrelser.

  • Lav påvirkning: Backoffice eller hjælpetools uden kundepåvirkning.


Pointen er ikke at få det perfekt, men at skabe et fælles sprog for prioritet. Det kan bruges til at hjælpe med at styre, hvor meget i skal holde øje - og hvor meget bevis I beder om.



2) Aftal det vigtigste


Et par sider (maks.) med det, I ved altid betyder noget:
formål & datatyper, adgang & logning, backup/RPO/RTO, hændelsesvarsling (hvem, hvornår, hvordan), underleverandører, exit/sletning.


Det er fundamentet, som både standarder og regler kan “nikke til” - uden at I behøver citere paragraffer.



3) Vær opmærksom når noget ændrer sig


I stedet for kalenderdrevne mega-reviews: kig, når der er tegn på ændring.


Tænk i signaler som: nye datatyper, lokationsskifte, ny subprocessor, gentagne SLA-brud, sikkerhedshændelse, udløb af certifikater, større produktrelease eller ejerskifte.


Når et signal dukker op, laver I en kort vurdering: hvad betyder det, hvad gør vi, og hvem gør hvad? Ofte kan det løses på en side.



4) Hav en rolig måde at håndtere hændelser på


I vil på et tidspunkt få en mail om “incident”. Jeres svar tjener jer bedst, når alle kender trinene:


  • Hvad skete og hvem er ramt?

  • Hvor længe? Findes workaround?

  • Skal kunder informeres - og hvordan?

  • Hvad ændrer vi fremadrettet?


Det er ikke et juridisk essay - det er et fælles manuskript, der gør jer trygge.



5) Gem små beslutninger - de bliver guld værd


Notér kort: hvad vi så, hvad vi besluttede, hvornår, og hvorfor.


Det gør dialogen med kunder, revisorer og ledelse meget lettere, fordi I kan vise konsistens.



Typiske bekymringer - og ting værd at overveje


  • “Vi har for mange leverandører til at nå det.”
    Brug kriterierne (kritisk/vigtig/lav). Start med de kritiske. Start med små skridt.


  • “Vi kan ikke styre alt hos dem.”
    Nej - men I kan styre jeres forventninger, jeres beslutninger og jeres dokumentation. Det er det, kunder og auditorer faktisk kigger efter.


  • “Det bliver hurtigt tungt.”
    Hold jer til én side pr. review og et fast sæt signaler. Det skal kunne læses og bruges i hverdagen.


Tænk leverandørstyring som tandbørstning: lidt hver dag, samme rytme, og et check hos tandlægen i ny og næ.


Det er ikke dramatiske projekter - det er små, regelmæssige handlinger, der holder problemerne fra døren.



Sådan kan Complychain hjælpe


  • Overblik: Se jeres kæde fra kunde → leverandør → underleverandør.


  • Rytme: Få påmindelser, når signaler dukker op (fx certifikater udløber, nye underleverandører, SLA-brud).


  • Enkle flows: Gem jeres 1-side vurderinger samme sted som aftaler og evidens.


  • Genbrug: Når I forbedrer noget ét sted, kan det genbruges som svar på flere krav.


  • Rapporter: Del et roligt overblik med ledelse, kunder og revisor - uden at lede i e-mails.




Final remarks


Leverandørstyring skal hjælpe folk med at arbejde trygt og hurtigt - ikke gøre hverdagen tung. Hvis I bygger på få, klare principper og reagerer, når noget ændrer sig, får I en praksis, der både er forståelig for teamet og robust over for krav udefra.


Det er essensen af god styring: simpel, forklarlig og gentagelig.


Vil du se, hvordan dette kan styres gennem et intuitivt stykke software?


Book en 20-minutters demo for en snak omkring jeres nuværende situation.