Leverantörsrisker i offentlig sektor

Så säkrar ni samhällsviktiga funktioner

Den offentliga sektorn förlitar sig i allt högre grad på externa leverantörer för att driva och utveckla sina verksamheter. Men med ökad digitalisering och utkontraktering följer också en snabbt växande hotbild. Det är idag absolut nödvändigt att noggrant säkerställa att alla leverantörer uppfyller ställda krav – särskilt när det handlar om kritiska samhällsfunktioner. Här tittar vi närmare på hur ni minimerar riskerna i er leverantörskedja och bygger en tryggare infrastruktur för medborgarna.

Allt börjar med ett tydligt syfte

För att lyckas bygga en hållbar och säker hantering måste man förstå de principer som hela regelverket vilar på. Allt börjar med att ha ett tydligt lagstöd. Utan en så kallad rättslig grund – vare sig det handlar om ett avtal, ett genuint samtycke eller en rättslig förpliktelse – är all form av personuppgiftsbehandling olaglig redan från start.

Men det räcker inte med att bara ha rätten på sin sida. Informationen får endast samlas in för specifika, särskilt angivna och berättigade ändamål. Det innebär i praktiken att man som företag inte kan samla in data ”för säkerhets skull” eller i efterhand ändra syftet med uppgifterna utan att det finns en tydlig koppling till varför de från början samlades in.

Kritiska samhällsfunktioner ställer unika krav

När det gäller verksamheter som upprätthåller kritiska samhällsfunktioner – såsom hälso- och sjukvård, energiförsörjning, vatten och infrastruktur – finns det inget utrymme för kompromisser. Ett avbrott eller en dataläcka inom dessa områden kan få allvarliga konsekvenser för hela samhället. Därför är det helt avgörande att kravställningen anpassas efter hur pass kritisk tjänsten är. Leverantörer som hanterar denna typ av infrastruktur måste kunna påvisa en extremt hög mognadsgrad inom både informationssäkerhet och kontinuitetsplanering.

Från passiva avtal till aktiv uppföljning

Ett av de vanligaste misstagen i offentliga upphandlingar är att man ställer höga säkerhetskrav på papperet i början av en affär, men sedan brister i den löpande uppföljningen. Ett signerat avtal är tyvärr ingen garanti för att kraven faktiskt efterlevs år efter år. För att hantera leverantörsriskerna proaktivt krävs kontinuerliga granskningar, revisioner och en tät dialog. Ni måste veta exakt var er data lagras, vem som har åtkomst till den och hur leverantören agerar vid en eventuell säkerhetsincident.

Säkra hela det digitala ekosystemet

I dagens komplexa IT-miljöer är det sällan en enda aktör som levererar en tjänst. Bakom huvudleverantören döljer sig nästan alltid ett nätverk av underleverantörer, molntjänster och tredjepartslösningar. Det är er uppgift att säkerställa att säkerhetskraven följer med hela vägen ner i denna kedja. Genom att kräva full transparens och sätta upp strikta riktlinjer för vidarekontraktering redan i upphandlingsfasen, minimerar ni de blinda fläckarna och tar ett verkligt helhetsgrepp om säkerheten.