Det startet med en enkel forespørsel fra IT. Seks måneder senere hadde leverandøren tilgang til langt mer enn noen hadde bestemt.
Dette er den andre av fire artikler om leverandørkontroll i praksis.
Når en leverandør får tilgang til systemene dine, starter det alltid fornuftig. En enkel e-post fra IT-avdelingen…
«Vi har gitt Leverandør X tilgang til systemet for å feilsøke et problem. De trengte det for å hjelpe oss.»
Helt rimelig. Helt forståelig. Helt normalt.
Men noen måneder senere oppdager du at leverandøren nå har tilgang til langt mer enn det opprinnelige feilsøkingsbehovet. Kanskje har de tilgang til hele kundedatabasen. Kanskje mottar de daglige eksporter for å «optimalisere tjenesten». Kanskje har de gitt en underleverandør tilgang du aldri har hørt om.
Ingen har gjort noe galt. Det bare skjedde — steg for steg, tilgang for tilgang.
Jeg kaller det tilgangskryp.
Det er ikke ondsinnet — det er praktisk
Leverandører som behandler data for deg er sjelden ute etter å misbruke noe. De løser problemer. De effektiviserer. De svarer på forespørsler fra dine egne ansatte som trenger hjelp nå.
Problemet er at hver praktisk løsning utvider tilgangen litt. Og ingen holder regnskap.
Etter et år har leverandøren tilgang til data du aldri eksplisitt ga dem lov til å behandle. Databehandleravtalen du signerte den gangen — den beskriver en virkelighet som ikke lenger finnes.
Ingen tok en beslutning
Det er det som gjør tilgangskryp vanskelig å oppdage. Det finnes ikke ett øyeblikk der noen bestemte at leverandøren skulle få bredere tilgang. Det finnes tjue små øyeblikk — en feilsøking her, en integrasjon der, en ny funksjon som «bare trenger litt mer data».
Hver for seg er de fornuftige. Til sammen har de endret hele relasjonen.
IT ga tilgang fordi det var raskest. Leverandøren utvidet fordi kunden ba om mer funksjonalitet. Innkjøp fornyet kontrakten uten å sjekke om omfanget hadde endret seg.
Alle gjorde jobben sin. Ingen så helheten.
Tre ting du kan sjekke denne uken
Du trenger ikke et stort prosjekt for å få bedre kontroll. Start med disse tre:
Hvem har tilgang — egentlig? Velg én leverandør. Sjekk hva de faktisk har tilgang til i dag — ikke hva avtalen sier. Er det det samme? Hvis ikke, har du funnet ditt første gap.
Finnes det en databehandleravtale i det hele tatt? Du blir overrasket over hvor mange leverandørforhold som aldri ble formalisert. IT kjøpte et verktøy. Markedsavdelingen startet et abonnement. Ingen tenkte på avtale.
Bruker leverandøren underleverandører? De fleste SaaS-leverandører bruker skyinfrastruktur fra tredjeparter. Vet du hvilke? Vet du i hvilket land dataene behandles? Hvis leverandøren har en underleverandør du ikke er informert om, er det et avvik fra avtalen — selv om alt annet er i orden.
Det handler ikke om mistillit
Å sjekke leverandørene dine er ikke det samme som å mistenke dem for noe.
Det er som regnskap. Du fører regnskap fordi du vil ha kontroll — ikke fordi du tror noen jukser. Leverandørkontroll fungerer på nøyaktig samme måte.
De beste leverandørene setter pris på kunder som stiller spørsmål. Det er et tegn på modenhet. Og det er et tegn på at du tar ansvaret ditt på alvor — for det er du som er behandlingsansvarlig, ikke leverandøren.
Krydderet skal ligge på kjøkkenet — men du må også vite hva som er i kjøleskapet.
I neste artikkel tar vi frem avtalen og leser den på nytt. Det er der de virkelige overraskelsene ofte dukker opp.
