Hopp til innholdet
Hjem » Kundekrav til datasikkerhet for leverandører

Kundekrav til datasikkerhet for leverandører

    Kunder forventer at selv små leverandører har styring på informasjonssikkerheten. For et nystartet AS kan dette virke overveldende, men du kan dekke de fleste kundekrav til datasikkerhet for leverandører med enkle grep, tydelig dokumentasjon og smarte verktøy uten store kostnader.

    Hva kunder oftest krever

    Krav varierer fra bransje til bransje, men mønsteret er ofte likt: grunnleggende kontroller, litt dokumentasjon og ryddighet i roller og ansvar. Det viktigste er å vise at dere har tenkt gjennom risiko, valgt fornuftige tiltak og kan dokumentere dem.

    Innhold i artikkelen vis

    • Tilgangsstyring: individuelle brukere, sterke passord og flerfaktorinnlogging (MFA).
    • Enhetsikkerhet: oppdaterte PC-er/mobiler, antivirus/antimalware og skjermlås.
    • Kryptering: beskyttelse av data på enheter og i skytjenester.
    • Sikkerhetskopi: jevnlige, testede backups og enkel gjenoppretting.
    • Oppdateringer og sårbarhetslukking: rutine for patching av systemer og programvare.
    • Logger og hendelseshåndtering: mulighet til å oppdage, reagere og varsle ved avvik.
    • Personvern (GDPR): avklarte roller (behandlingsansvarlig/databehandler) og databehandleravtale ved behov.
    • Sikkerhetspolicy og retningslinjer: kort beskrivelse av hvordan dere beskytter informasjon.
    • Risikovurdering: enkel vurdering av hva som kan gå galt og hvilke tiltak som reduserer risiko.
    • Kontroll på underleverandører: kort oversikt over hvilke skyleverandører dere bruker og hvorfor de er trygge nok.
    • Kontraktsmessige forpliktelser: taushetserklæring, SLA-er og sikkerhetsvedlegg der det er relevant.

    NB: Skillet mellom lovkrav og kundekrav er viktig. Noe må dere ha uansett (for eksempel grunnleggende personvern), mens annet er forhandlingsbart. Be om presiseringer hvis et krav er uklart – ofte finnes det akseptable alternativer.

    Start smart: minimumstiltak som dekker mye

    Målet er å dekke flest mulig krav raskt, med lav kompleksitet. Følgende tiltak gir stor effekt for lite tid og penger, og fungerer godt uansett om dere er 1 eller 10 ansatte.

    Identitet og innlogging (MFA/SSO)

    Bruk bedriftens eget domene og en felles identitetsløsning for e-post og skytjenester. Slå på MFA for alle brukere, minst for administratorkontoer. Aktiver grunnleggende betinget tilgang (for eksempel blokk for pålogging fra ukjente land hvis løsningen tilbyr det).

    Enheter og oppdateringer

    Sett alle PC-er og mobiler under enkel administrasjon (MDM) slik at oppdateringer, skjermlås, diskkryptering og antivirus er på plass. Standardverktøy i moderne operativsystemer dekker ofte mye av behovet, og gjør dokumentasjonen lett: «Alle enheter er registrert og håndheves med disse kravene…»

    Kryptering og lagring

    Skru på diskkryptering på bærbare enheter og bruk kryptert skylagring med delingskontroll. Del kun mapper med navngitte personer, ikke «lenke åpen for alle». Begrens lokale kopier av filer med følsomt innhold.

    Sikkerhetskopi

    Sett opp automatisk backup av e-post, dokumenter og viktige konfigurasjoner. Test gjenoppretting jevnlig og noter resultatet. En kort rutinebeskrivelse og en skjermdump fra siste test er ofte nok bevis for kunden.

    Logger og varsling

    Aktiver grunnleggende påloggingslogger, varsel ved mistenkelig aktivitet og en enkel hendelseslogg (regneark holder) for avvik. Beskriv hvem som får varsel og hva som skjer de første 24 timene.

    Bevisstgjøring og opplæring

    Hold korte, jevnlige minikurs om phishing og passordpraksis. En side i intranettet eller en delt mappe med 4–5 tommelfingerregler viser kundene at dere tar menneskelig risiko på alvor.

    Tips: Én-persons AS må også kunne vise kontroll. Skill privat og jobb (egen jobb-konto og egen enhet eller jobb-profil), bruk passordleder, MFA og automatisk backup – det er ofte nok til å passere en grunnleggende leverandørvurdering.

    Dokumentasjonen kunder ber om

    Du trenger ikke tykke permer. Kort og konsist dokumentasjon er bedre enn omfattende tekster ingen følger. Ha faste steder for dokumentene og versjonsnummer på alt.

    Sikkerhetspolicy (1–2 sider)

    Beskriv formål, roller (hvem eier sikkerhet), hvilke skydatasentre dere bruker, minstekrav til enheter, tilgangsstyring, backup, hendelseshåndtering og opplæring. Hold den praktisk og konkret.

    Risikovurdering «light»

    Lag en enkel oversikt: hvilke verdier dere har (kunde-data, kildekode, fakturaer), trusler (tap av enhet, phishing) og tiltakene som reduserer risikoen (MFA, backup, diskkryptering). Oppdater 1–2 ganger i året eller ved store endringer.

    Databehandleravtale (ved personopplysninger)

    Når dere behandler personopplysninger på vegne av kunden, vil kunden normalt kreve en databehandleravtale. Avklar roller tydelig og bruk en strukturert mal. For overordnet veiledning om personvern kan du se Datatilsynet.

    Sikkerhetsvedlegg til kontrakt

    Dette beskriver konkrete krav til tiltak, responstider, varsling og revisjonsrettigheter. Foreslå nivåer du faktisk kan levere. Der du ikke møter kravet fullt ut, tilby kompenserende tiltak og en tidsplan.

    Sikkerhetsspørreskjemaer og egenerklæring

    Mange kunder har standard skjemaer. Forbered svar på forhånd: hvilke verktøy dere bruker, hvordan tilgang gis og fjernes, backup-rutinen og hvordan dere håndterer avvik. Ha en kort «sikkerhetsprofil» i PDF som kan vedlegges.

    Velg riktige verktøy uten store kostnader

    Det finnes komplette pakker for småbedrifter som gir identitet, e-post, dokumentdeling, MDM, antivirus, backup og grunnleggende logger i én løsning. Vurder hvor samlet du vil ha det, og sjekk at funksjonene støtter kravene du oftest møter.

    • Produktivitetsplattform: velg en bedriftsplan som inkluderer MFA, enhetsadministrasjon, e-post og dokumentdeling.
    • Passordleder: gjør det lett å bruke unike, sterke passord og dele på en trygg måte.
    • Antivirus/EDR: bruk bedriftsbeskyttelse som kan administreres sentralt.
    • Backup: sikr at både skytjenester og lokale data dekkes, og at gjenoppretting er testet.
    • Logger og varsler: slå på standard varsler for mistenkelige pålogginger og massenedlasting av filer.

    Rask gevinst: Standardiser på én skyplattform, slå på MFA for alle, håndhev enhetskrav og sett opp automatisk backup. Det dekker mesteparten av en typisk basisvurdering hos kunder.

    Første 30 dager: praktisk steg-for-steg

    Bruk dette som en enkel plan for å bli leverandørklar fort, og for å svare treffsikkert på kundens spørsmål.

    1. Sett opp identitet og MFA: kjøp domene, opprett brukere, aktiver MFA og deaktiver delte kontoer.
    2. Registrer enheter: før opp alle PC-er/mobiler og håndhev oppdatering, skjermlås, diskkryptering og antivirus.
    3. Standardiser lagring og deling: opprett teamområder med navngitte tilgangsgrupper; slå av «del med alle»-lenker.
    4. Backup og gjenoppretting: velg løsning, slå på automatisk backup og test én gjenoppretting.
    5. Logger og avvik: aktiver standard logger, lag et avviksark (dato, hendelse, tiltak, status) og definer varslingsliste.
    6. Policyer: skriv sikkerhetspolicy (1–2 sider) og kort retningslinje for bruk av privat utstyr hvis aktuelt.
    7. Risikovurdering light: identifiser 5–10 viktigste risikoer og koble tiltakene dere allerede har valgt.
    8. Underleverandører: lag liste over skytjenester dere bruker og hvor data ligger, med en setning om hvorfor de er trygge nok.
    9. Forbered svarpakke: PDF med sikkerhetsprofil, policy, risikovurdering light og oppsummering av tiltak.
    10. Øv på spørreskjema: kjør en intern gjennomgang som om dere svarer en kunde, noter hull og lukk dem.

    Med dette på plass møter du typiske kundekrav til datasikkerhet for leverandører og kan dokumentere det med få klikk.

    Hvordan svare på sikkerhetsspørreskjemaer

    Vær konkret, kort og ærlig. Der du ikke oppfyller et krav fullt ut, forklar tiltaket du har og hva du planlegger. Kunder setter ofte pris på transparens og en realistisk plan fremfor vage bekreftelser.

    • Hold deg til fakta: «MFA er aktivert for alle brukere» er bedre enn «vi har sterk sikkerhet».
    • Vis bevis: skjermbilde av innstilling, lenke til policy eller kopi av siste backup-rapport.
    • Foreslå kompenserende tiltak: hvis kravet er avansert, tilby et enklere tiltak som dekker risikoen godt nok midlertidig.
    • Gi tidslinjer: angi dato for når et eventuelt manglende tiltak blir innført.

    Oppdag også «skjulte» krav, som varsling ved avvik, underleverandørkontroll og årlig gjennomgang. Sett dem inn i din vedlikeholdsplan.

    Når kunden ber om revisjon eller sertifisering

    Noen kunder spør om tredjepartsrevisjon eller kjente rammeverk. For et nytt og lite AS er det ofte nok å starte med egenerklæring, enkel revisjonsrett i kontrakten og en utviklingsplan. Formelle sertifiseringer kan vurderes senere når kundevolum og risiko tilsier det.

    • Begynn enkelt: egenerklæring, dokumentert praksis og mulighet for kundegjennomgang ved behov.
    • Bygg stein på stein: styrk logger, avviksbehandling og internkontroll over tid.
    • Vurder formell attestasjon senere hvis markedet krever det.

    Poenget er å vise modenhet og forbedringstakt, ikke å kopiere store konsern fra dag én.

    Kontrakter: vanlige fallgruver og hva du kan gjøre

    Les sikkerhetsvedlegg nøye. Kutt uforholdsmessige krav, eller legg inn kompenserende tiltak og realistiske nivåer. Noen punkter går igjen:

    • Ansvarsbegrensning: tydelig ramme ved hendelser og avvik.
    • Varslingsfrister: avklar hva som er «uten ugrunnet opphold», og hvem som skal varsles.
    • SLA og responstid: lever det du lover, og sørg for kontaktpunkter.
    • Underleverandører: gi oversikt og varsle ved vesentlige endringer.
    • Revisjonsrett: tilby rimelig tilgang til relevant dokumentasjon og eventuelt et årlig møte.

    Bruk en fast mal for sikkerhetsvedlegg, så blir forhandlingene raskere og mer forutsigbare.

    Når farten teller: rask etablering og onboarding

    Noen kunder krever at leverandøren er et registrert AS med signert databehandleravtale før tilgang gis. Hvis du må i gang raskt for å svare på en forespørsel, kan et raskt etablert AS være en fordel. I slike situasjoner kan det også være nyttig å vurdere hylleselskaper for å korte ned tiden til kontrakt og sikkerhets-onboarding.

    Uansett etableringsmåte vil kundene se etter det samme: enkel, troverdig dokumentasjon og praktiske sikkerhetstiltak som faktisk er slått på.