Compliance og IT i samspil – hvad skal du kunne dokumentere internt og eksternt?
Når compliance banker på døren, er det sjældent spørgsmålet “har I en politik?” der afgør, om I er i mål. Det afgørende spørgsmål er – kan I dokumentere, at politikker og kontroller virker i praksis? Her spiller compliance og IT tæt sammen – compliance definerer kravene, og IT leverer kontrollerne og bevisførelsen.
I denne artikel får du en praktisk gennemgang af, hvad du typisk skal kunne dokumentere:
- Internt (til ledelse, DPO, IT-sikkerhed, revision)
- Eksternt (til kunder, tilsyn, auditorer og samarbejdspartnere)
Kort fortalt – dokumentation = kontrol + evidens
For at være “compliance-klar” skal I kunne vise to ting:
- Kontrol: Hvilke tekniske og organisatoriske foranstaltninger har I sat i værk?
- Evidens: Hvilke konkrete beviser kan I fremvise for, at kontrollerne faktisk bliver brugt og virker (log, processpor, rapporter, aftaler)?
Hvis I arbejder med følsomme oplysninger og digital kommunikation (mail, Digital Post, e-Boks, mit.dk), bliver sporbarhed, leverance og logning ofte en central del af dokumentationspakken.
Læs også: sikker digital post og krypteret mail.
Internt – hvad skal I kunne dokumentere i jeres egen organisation?
Den interne dokumentation handler om at kunne svare på, “Hvad har vi besluttet – hvordan gør vi – og hvordan ved vi, at det sker?”
1. Politikker og retningslinjer (det besluttede)
Internt bør I kunne fremvise opdaterede dokumenter som fx:
- Informationssikkerhedspolitik og evt. dataklassifikation
- Retningslinjer for kryptering, adgang og håndtering af personoplysninger
- Retningslinjer for sletning/arkivering (retention)
- Retningslinjer for brug af digitale kommunikationskanaler (mail vs. Digital Post, e-Boks, mit.dk)
2. Processer og roller (det operationaliserede)
I bør kunne dokumentere:
- Hvem der har ansvar for hvad (fx ansvar, opgaver og processer mellem IT, DPO/compliance, drift og forretning)
- Hvordan I håndterer ændringer (Change Management), og hvordan I godkender “risikofyldte” ændringer
- Hvordan I håndterer hændelser (Incident Response) og hvordan I eskalerer
3. Driftsevidens (det målbare)
Her er det ofte IT, der skal kunne levere:
- Logning, der viser hvem gjorde hvad, hvornår – og hvor længe gemmes det?
- Adgangsstyring (roller/rettigheder) og styring af privilegerede brugere
- Monitorering og alarmer (hvis relevant)
- Dokumentation for gennemførte kontroller (fx kvartalsvis adgangsreview)
Praktisk tip: Lav en intern “evidence map”, så I altid ved, hvor beviserne ligger (system, rapport, log, kontrakt, proces).
Eksternt – hvad skal I kunne dokumentere over for kunder, tilsyn og auditorer?
Ekstern dokumentation handler om at kunne svare kort og præcist på, “Hvordan beskytter I data, og hvordan kan I bevise det?” – uden at udlevere følsomme interne detaljer.
1) Databehandleraftale og leverandørdokumentation
Typisk forventes det, at I kan udlevere:
- Databehandleraftale (DPA) og beskrivelse af behandlinger
- Oplysninger om underdatabehandlere (hvis relevant)
- Rammer for revision/inspektion og sikkerhedsforanstaltninger
Se eksempel: databehandleraftale.
2) Revisions- og kontrolmateriale (hvis relevant)
Afhængigt af branche og kundekrav kan der efterspørges:
- Kontrol-/revisionsrapporter og attestationer
- SLA, driftstatus og servicebeskrivelser
- Sikkerhedsbeskrivelser (hvad logges, hvordan krypteres, hvordan styres adgang)
3) Kundequestionnaires og audit-requests
Kunder vil ofte spørge ind til:
- Hvordan I sikrer korrekt modtager (og undgår fejlforsendelser)
- Hvordan I logger og kan dokumentere afsendelse/leverance
- Hvordan I håndterer hændelser og brud (hvad I kan udlevere, og hvor hurtigt)
Dokumentation ved digital kommunikation; leverance, sporbarhed og logning
Når organisationer sender følsomme oplysninger, er “vi bruger mail” sjældent nok. Det er her, compliance og IT ofte mødes i praksis: Hvordan sender vi sikkert – og kan vi dokumentere det bagefter?
Relevant dokumentation kan fx være:
- Hvilke kanaler bruges til hvilke typer data (mail vs. sikker post vs. Digital Post)
- Hvordan afsendelse sker (kryptering, adgangskrav, modtagerkontrol)
- Hvordan I dokumenterer afsendelse og leverance (sporbarhed og logs)
Hvis I ønsker en mere dokumenterbar tilgang, kan det være relevant at kigge på løsninger, hvor I kan:
- Få et samlet overblik over afsendelser
- Søge i hændelser
- Udtrække dokumentation til interne/eksterne forespørgsler.
Læs mere: DPG Kundeportal Se også: løsningen.
Typiske faldgruber og hvordan I lukker dem
Faldgrube 1: “Vi har kontroller” – men ingen evidens
Det er en klassiker. Der findes politikker og værktøjer, men ingen samlet dokumentation for:
- At kontroller bruges konsekvent
- At der kan udtrækkes log/rapport
- At der er ejerskab og ansvar
Løsning: Definér en “minimum dokumentationspakke” (se nedenfor) og gør den til en fast del af drift og governance.
Faldgrube 2: Fejlforsendelser (auto-complete) og menneskelige fejl
Mange fejl opstår i praksis ved forkert modtager – især når auto-complete foreslår en e-mailadresse. Det er både en sikkerhedsrisiko og en compliance-risiko.
Løsning: Indfør tekniske foranstaltninger, der reducerer risikoen for fejlforsendelser, og dokumentér at de er aktive.
Læs mere: DPG Mail Guard.
Relateret: Anvendelsen af auto-complete.
Minimum dokumentationspakke (audit-klar)
Brug denne tjekliste som jeres interne “pakke”, der kan genbruges i audits, kundeforespørgsler og interne kontroller:
- Politikker og retningslinjer
- Klassifikation og håndtering af data
- Kryptering og kanalvalg
- Adgangsstyring og logning
- Sletning/retention
- Processer
- Hændelseshåndtering (Incident Response)
- Ændringsstyring (Change Management)
- Adgangsreview (fx kvartalsvis)
- Evidens / beviser
- Logudtræk (søgbarhed + retention)
- Rapporter/oversigter over afsendelser (hvis relevant)
- Dokumentation for aktiverede kontroller (fx modtagerkontrol)
- Databehandleraftale + leverandørdokumentation
Dokumentationsmatrix – internt vs. eksternt (hurtigt overblik)
| Område | Internt – hvad du skal kunne vise | Eksternt – hvad du typisk kan udlevere |
|---|---|---|
| Politikker | Godkendte politikker + versionering | Overordnet sikkerhedsbeskrivelse (high level) |
| Adgang | Roller, rettigheder, review-proces | Beskrivelse af adgangsstyring (principper) |
| Logning | Logkilder, retention, adgang til logs | Udvalgte logudtræk/rapporter efter behov |
| Kommunikation | Kanalvalg, kryptering, processer | Beskrivelse af sikker afsendelse og sporbarhed |
| Hændelser | Incident-proces + læring/tiltag | Beskrivelse af proces + evt. udvalgte facts |
| Leverandører | Kontrakter, DPA, underdatabehandlere | DPA + underdatabehandlere + revisionsramme |
Sådan får I compliance og IT til at spille sammen (praktisk workflow)
- Fastlæg krav (compliance/DPO) – hvilke krav skal vi kunne dokumentere?
- Kortlæg kontroller (IT/sikkerhed) – hvilke foranstaltninger understøtter kravene?
- Definér evidens (fælles) – hvilke beviser accepteres – og hvor findes de?
- Automatisér dokumentation (IT) – Rapportering, logadgang, dashboards, standardudtræk.
- Gør eksterne svar klar (compliance) – Én “audit pack”, der kan genbruges.
FAQ
Internt handler dokumentation om at bevise, at kontroller er besluttet, implementeret og driftet. Eksternt handler det om at kunne dokumentere sikkerhed og ansvarlighed over for kunder/tilsyn – typisk i en mere “high level” form, der stadig er troværdig og efterprøvbar.
Fordi logning ofte er den hurtigste vej til evidens: den kan vise, hvad der er sket (afsendelse, ændringer, adgang), og den kan understøtte både intern kontrol og ekstern dokumentation.
Lav en standard for, hvad I deler eksternt (audit pack). Det gør det lettere at være transparent uden at udlevere detaljer, der kan skabe nye risici.
Sikker digital kommunikation
Kontakt os på tlf. 70 20 62 80 eller e-mail salg@sikker-post.dk og vi hjælper dig med at gennemgå jeres nuværende opsætning og sikrer, at din virksomhed overholder alle krav til sikker digital kommunikation.