Dette er den tredje av fire artikler om leverandørkontroll i praksis.
La oss si at du gjorde det jeg foreslo i forrige artikkel. Du valgte én leverandør og sjekket hva de faktisk har tilgang til.
Og du fant noe.
Kanskje ikke noe dramatisk. Kanskje bare at leverandøren har tilgang til litt mer enn du trodde. Kanskje at en integrasjon ble satt opp som du ikke var klar over. Kanskje at de bruker en underleverandør som ikke er nevnt noe sted.
Så du gjør det neste naturlige: du finner databehandleravtalen og åpner den.
Og det er der det ofte blir ubehagelig.
Avtalen beskriver en annen virkelighet
Databehandleravtalen ble signert for to år siden. Den beskriver et samarbeid som så ganske annerledes ut enn det som finnes i dag.
Den gangen brukte dere én modul av leverandørens system. Nå bruker dere tre. Den gangen behandlet leverandøren kontaktinformasjon. Nå mottar de også HR-data fordi noen koblet på en ny integrasjon. Den gangen hadde leverandøren én underleverandør. Nå har de fire — men avtalen nevner fortsatt bare den ene.
Ingen har gjort noe galt. Virksomheten utviklet seg. Avtalen sto stille.
Et øyeblikksbilde i en verden som beveger seg
En databehandleravtale er ikke et regelverk. Det er en beskrivelse av en relasjon — på et gitt tidspunkt. Hva behandles, hvorfor, av hvem, med hvilke sikkerhetstiltak.
Men relasjoner endrer seg. Systemer oppgraderes. Nye funksjoner tas i bruk. Ansatte hos leverandøren bytter roller. Underleverandører kommer og går.
Hvis avtalen ikke følger med — og det gjør den nesten aldri av seg selv — sitter du med et dokument som gir deg en følelse av kontroll uten å gi deg reell kontroll.
Det er verre enn å ikke ha en avtale. For da vet du i det minste at du mangler noe.
En kaffesamtale, ikke et revisjonsprosjekt
Du trenger ikke en jurist for å lukke dette gapet. Du trenger en ærlig samtale.
Ring leverandøren. Still tre spørsmål:
Hva behandler dere for oss i dag? Ikke hva avtalen sier — hva som faktisk skjer. Hvilke data, hvilke systemer, hvilke formål. Be dem beskrive det med egne ord. Sammenlign med avtalen etterpå.
Bruker dere underleverandører vi ikke er informert om? De fleste leverandører er forpliktet til å informere deg om endringer i underleverandører. Men mange gjør det ikke proaktivt. Spør direkte — svaret er ofte overraskende.
Har noe endret seg siden vi signerte avtalen? Nye funksjoner, nye integrasjoner, nye lagringslokasjoner, nye ansatte med tilgang. Hvis svaret er ja — og det er det nesten alltid — da bør avtalen oppdateres.
En halvtime. Tre spørsmål. Enorm verdi.
Hva gjør du med svarene
Etter samtalen har du ett av tre utfall:
Alt stemmer. Avtalen reflekterer virkeligheten. Flott — dokumenter at du har sjekket, og sett en dato for neste gjennomgang.
Små avvik. Virkeligheten har endret seg litt — nye moduler, en ekstra underleverandør. Oppdater avtalen. Det er som regel enkelt og tar en dag eller to.
Store avvik. Leverandøren behandler data du ikke visste om, på måter som ikke er avtalt. Da har du en reell risiko — ikke fordi leverandøren er upålitelig, men fordi du ikke har kontroll. Her trenger du å ta et skritt tilbake og vurdere om relasjonen er riktig strukturert.
Uansett utfall: du har nå en avtale som reflekterer virkeligheten. Det er et godt sted å være.
Sett det i kalenderen
Den viktigste endringen du kan gjøre er den enkleste: sett en årlig gjennomgangsdato for dine viktigste databehandleravtaler. Behandle det som en kontraktsfornyelse — fordi det er det.
Regnskap føres løpende. Leverandøravtaler bør gjennomgås løpende. Ikke fordi loven krever det — men fordi det er slik du holder kontrollen.
I den siste artikkelen snur vi perspektivet: hva skjer den dagen kunden din stiller deg de samme spørsmålene?
