Compliance som konkurrencefordel eller risikofaktor?

Compliance som konkurrencefordel eller risikofaktor?

IT-sikkerhed, GDPR og databeskyttelse er alle ord, som har været i hyppig rotation i mediebilledet og på arbejdspladser landet over. Men hvad er det? Og hvordan sikrer I, som virksomhed, at gøre jeres tilgang til f.eks. persondataforordningen (GDPR) til en konkurrencefordel fremfor en risikofaktor?
Lad os starte med, hvad de her begreber dækker over. I daglig tale bliver samlebetegnelsen ”compliance” gerne brugt, når vi skal beskrive data- eller sikkerhedsregler, som vi ved er der af en årsag, men måske ikke helt er med på, hvorfor er der. Her er compliance egentlig en meget god betegnelse, som vi desværre ikke har en direkte dansk oversættelse af, men det kan oversættes til noget i stil med ”i overensstemmelse med gældende regler.”
Compliance kom for alvor på alles læber sidste år, og næsten i stil med polemikken omkring årtusindskiftet, så var der mange der var i tvivl om, hvorvidt General Data Protection Regulation (GDPR), ville lægge sig som en tung dyne over forretningsverden efter d. 25. maj 2018, hvor EU’s nye persondataforordning trådte i kraft. Som med årtusindskiftet, så er erhvervslivet ikke brudt sammen, men vi skal være opmærksomme på, at den nye virkelighed indebærer øgede risici for virksomhederne, f.eks. ved mangelfuld datasikkerhed. Til gengæld har strammere regler på flere områder og øget fokus på compliance også skabt mulighed for at skabe andre konkurrencefordele.

En konkurrencefordel

Men hvordan kan compliance være et konkurrenceparameter? Det kan det i det tilfælde, hvor man som virksomhed vælger leverandører og samarbejdspartnere, som lever op til nye eller revidere regelsæt eller endda lige frem opererer med endnu stærkere sikkerhed. Det gælder særligt ved indkøb af cloudbaserede / SaaS løsninger, som lever op til de regler, som den nye IT-virkelighed foreskriver.

Som eksempel betyder det, at man hurtigt og gnidningsløst kan begynde at operere på markeder, hvor det ellers kan være meget komplekst at leve op til de nationale fortolkninger af internationale regler, som f.eks. GDPR. Naturligvis forudsat, at din SaaS leverandør kan garantere sikkerhed der lever op til forskellige landekrav. Kravene kan nemlig være meget forskellige fra land til land. Det er samtidig et faktum at langt de fleste virksomheder foretrækker samarbejde med leverandører og partnere, der har sikkerheden i orden. Med andre ord, hvis du kan dokumentere et højt IT sikkerhedsniveau hos dine samarbejdspartnere, specielt de vigtigste af dem, så vil der helt sikker være tilfælde, hvor du kan drage fordel af dette i salgssituationer.

Vælg den rigtige leverandør

Når du vælger leverandør af f.eks. en cloud-software, så er det vigtigt at indgå samarbejde med en virksomhed, som har de nødvendige ressourcer til at sikre dine data. Der er naturligvis kategorier og forretningsområder, som er mere kritiske end andre, alt efter hvilke typer af data der behandles. Det er dog vigtigt at dække sig ordentligt ind på alle områder. Det kan f.eks. kraftigt anbefales, at lave individuelle databehandleraftaler (DPAer), som lever op til de krav og fortolkninger, der er i de lande, som du driver forretning i. Her er der en række standarder og certificeringer, som kan være vejledende, hvis du vil være sikker på at den leverandør, som vælges, nu også lever op til gældende krav, lovgivning og god IT-skik. De gode leverandører tilbyder dog, up front, mulighed for at indgå heldækkende databehandleraftaler. Husk altid på det.

Nogle leverandører vælger dog også at tage skridtet videre og f.eks. få lavet en såkaldt ISAE 3402 Type II-certificering. Det kan både være på grund af krav fra eksisterende kunder og samarbejdspartnere, men også for at sende et signal om troværdighed over for potentielle kunder. Netop denne certificering er en international standard, som benyttes af IT-serviceleverandører, hvor en høj grad af sikkerhed og kontrol er nødvendig. Især hvis det er inden for de mere sensitive brancher som finans, tele eller den offentlige sektor. Det vil sikre virksomheden, at leverandøren lever op til sit ansvar om at sikre infrastrukturen omkring ”skyen” i alle aspekter – herunder sikkerheden.

Den afsluttende anbefaling vi vil give, er at du grundigt undersøger potentielle leverandørers tilgang til datasikkerhed tidligt i din research-fase. Det kan potentielt spare dig for tid og kræfter senere i din indkøbsproces. Det er i virkeligheden et banalt råd, men ikke desto mindre, er det nærmest det vigtigste råd.