Når Risk & Compliance skal virke i praksis: Fra juridisk dokument til operationel drift
Risk & Compliance skaber først værdi, når krav kan omsættes til styring, dokumentation og drift, der fungerer i praksis. Hos Mindcore har vi blandt andet hjulpet en større offentlig-it udbyder med at løfte GDPR, DPIA og compliance for Microsoft 365 fra tunge vurderinger til konkret styring, brugbar dokumentation og et mere robust grundlag for tilsyn og evidens. Uden det rette fokus, risikerer risk & compliance at ende som en papirtiger uden reel effekt på organisationens arbejde.
Der findes få områder i IT, hvor ambitionen SÅ ofte er højere end den praktiske virkelighed, som inden for Risk & Compliance. Kravene er mange. Forventningerne er høje. Dokumentationen skal være på plads. Og samtidig ændrer både teknologien, trusselsbilledet og den regulatoriske kontekst sig løbende. Udfordringen er derfor sjældent, om organisationen vil arbejde seriøst med compliance, men om den formår at gøre det i praksis.
Det er netop her, forskellen mellem formel compliance og reel operationel forankring bliver tydelig.
Hos Mindcore ser vi igen og igen, at organisationer kommer længst, når de lykkes med at oversætte krav og vurderinger til noget, der faktisk kan bruges i den daglige styring: kontroller, processer, tilsyn, evidens og en model for, hvordan ændringer håndteres uden at starte forfra hver gang. Den tilgang har også været central i et konkret arbejde Mindcore udførte for en større offentlig it-udbyder.
I samarbejdet med en større offentlig it-udbyder hjalp Mindcore med at gøre GDPR-compliance for Microsoft 365 mere operationel og styrbar i praksis. Opgaven omfattede blandt andet en omskrivning af DPIA’erne for både Microsoft 365 og Microsoft Copilot for Microsoft 365, så de gik fra primært juridiske vurderinger til konkrete styringsværktøjer. For Microsoft 365 betød det blandt andet en mere operationel model, hvor aktiver lettere kunne udskiftes, og hvor ændringer hurtigere kunne følges af en mindre risikovurdering af den GDPR-mæssige impact.
Derudover blev der etableret en GDPR-tilsynsmodel for Microsoft 365 i overensstemmelse med vejledning fra Datatilsynet, og der blev defineret en model for databehandlertilsyn med Microsoft baseret på Datatilsynets metodik. Understøttet af blandt andet Microsoft Purview eDiscovery gav det en større offentlig it-udbyder et stærkere grundlag for dokumentation, evidens, kontrol og løbende compliance.
Det lyder måske enkelt på papiret. Men i praksis er det netop denne type arbejde, der skiller de modne organisationer fra dem, der ender med flotte dokumenter og lav operationel værdi. Her er tre faldgrubber, vi ofte ser i arbejdet med Risk & Compliance, og hvordan de bedst håndteres.
Vi har talt med Risk & Compliance ekspert og konsulent, Henrik Nordbred, om de udfordringer man som virksomhed ofte bør navigere udenom.
1. Faldgrube: Når compliance bliver et statisk dokument i stedet for et styringsværktøj ⚙️
En klassisk udfordring er, at centrale vurderinger som DPIA’er eller risikovurderinger bliver opfattet som engangsleverancer: noget der skal udarbejdes, godkendes og arkiveres. Problemet er, at moderne platforme som Microsoft 365 og Microsoft Copilot for Microsoft 365 udvikler sig løbende. Hvis dokumentationen ikke kan bruges aktivt i forvaltningen af ændringer, bliver den hurtigt forældet.
Mitigering:
Gør vurderingerne operationelle. Det betyder, at de skal designes, så de kan understøtte ændringer i løsningens komponenter, aktiver og anvendelse, uden at hele vurderingsgrundlaget skal genopfindes hver gang. I casen med en større offentlig it-udbyder blev DPIA’erne omsat til konkrete styringsværktøjer, og der blev etableret en model, hvor ændringer hurtigere kunne følges af en mindre risikovurdering af den GDPR-mæssige impact. Det er præcis den type operationalisering, der gør compliance anvendelig i virkeligheden.
2. Faldgrube: Når tilsyn og leverandørkontrol mangler en praktisk metode 🔍
Mange organisationer ved godt, at tilsyn er vigtigt. Men det halter ofte med at omsætte kravet til en konkret model: Hvad skal følges op på? Hvor ofte? Hvilke beviser skal indsamles? Hvem ejer opfølgningen? Og hvordan håndteres databehandlerrelationen i praksis, når der er tale om store, komplekse platforme?
Uden en operationel metode bliver tilsyn let enten for overfladisk eller for tungt. Begge dele er problematiske: det første giver falsk tryghed, det andet gør arbejdet så ressourcekrævende, at det mister momentum.
Mitigering:
Byg tilsyn på en tydelig metode og et kendt styringsgrundlag. I arbejdet for en større offentlig it-udbyder blev der etableret en GDPR-tilsynsmodel for Microsoft 365 i overensstemmelse med vejledning fra Datatilsynet, samtidig med at der blev defineret en model for databehandlertilsyn med Microsoft baseret på Datatilsynets metodik. Det peger på en vigtig læring: tilsyn bør ikke være en løs ambition, men en struktureret disciplin med klare kriterier, roller og dokumentationskrav.
3. Faldgrube: Når dokumentation og evidens ikke kan følge med den løbende drift
Compliance lever og dør med evnen til at dokumentere. Ikke bare én gang, men løbende. Hvis organisationen mangler adgang til relevant evidens, bliver både intern styring, auditforberedelse og dialog med interessenter unødigt vanskelig. Det gælder især i miljøer, hvor data, konfigurationer og brugeradfærd ændrer sig over tid.
Mitigering:
Tænk dokumentation og evidens ind som en integreret del af kontrolmiljøet — ikke som en eftertanke. I casen med en større offentlig it-udbyder blev arbejdet blandt andet understøttet af Microsoft Purview eDiscovery, hvilket gav et stærkere grundlag for dokumentation, evidens, kontrol og løbende compliance. Pointen er ikke nødvendigvis et bestemt værktøj, men at organisationen etablerer en model, hvor kontrol og evidens hænger sammen, og hvor compliance kan demonstreres — ikke bare beskrives.
Hvad opnår du som virksomhed, når Risk & Compliance gøres operationelt? 📈
Når Risk & Compliance flyttes fra papir til praksis, sker der noget vigtigt: Organisationen får et bedre beslutningsgrundlag. Ændringer kan håndteres hurtigere. Kontroller bliver mere målrettede. Og dokumentationen bliver et aktiv i stedet for en byrde.
I samarbejdet med en større offentlig it-udbyder, var værdien netop, at GDPR-compliance for Microsoft 365 blev gjort mere operationel og styrbar, at DPIA’erne blev omsat til konkrete styringsværktøjer, og at kunden fik et stærkere grundlag for dokumentation, evidens, kontrol og løbende compliance. Samtidig gjorde den mere operationelle model det lettere at håndtere ændringer og følge dem op med mindre risikovurderinger, når det var relevant.
For mange organisationer er det præcis her, den reelle gevinst ligger. Ikke i flere dokumenter. Ikke i mere kompleksitet. Men i en moden og praktisk tilgang, hvor regulatoriske krav, sikkerhedsmæssige hensyn og den daglige drift bliver tænkt sammen.
Fra krav til virkelighed
Risk & Compliance er ikke et mål i sig selv. Det skal skabe overblik, reducere usikkerhed og giver organisationen et stærkere grundlag for at træffe beslutninger og styre sikkert i praksis. Derfor er det heller ikke nok, at noget er juridisk korrekt eller lever op til et formelt krav. Det skal også kunne fungere operationelt i en virkelighed, hvor teknologi, forretning, sikkerhed, drift og eksterne krav hele tiden påvirker hinanden.
Det er netop her, Mindcore gør en forskel. Mindcore arbejder med at omsætte krav til styring, vurderinger til handling og compliance til en integreret del af den daglige drift. Arbejdet spænder ikke kun over GDPR og Microsoft 365, men også over ISO/IEC 27001 implementering, certificeringsforløb, gap assessments, NIS2 parathed, risikovurderinger, ISMS og governance i komplekse og regulerede miljøer. Fokus er at gøre krav anvendelige, dokumenterbare og forankrede, så organisationen ikke alene kan beskrive sin compliance, men også demonstrere og drifte den i praksis.
Vi tager meget gerne en kop kaffe ☕ og taler om netop den situation jeres virksomhed eller offentlige instans står i.
📞Skriv eller ring til Practice Lead for IT Transformation & Projektledelse, Benjamin Dalgaard von Eyben, så aftaler vi en uforpligtende snak og erfaringsudveksling.
Skal vi sammen løfte jeres Risk & Compliance modenhed?
Vi tager meget gerne en kop kaffe og taler om netop den situation jeres virksomhed eller offentlige instans står i.
Ring til Practice Lead for IT Transformation & Projektledelse, Benjamin Dalgaard von Eyben, på telefon 22 73 13 53, så aftaler vi en uforpligtende snak og erfaringsudveksling.
Henrik Nordbred og Mindcore hjælper organisationer med at omsætte sikkerheds- og lovgivningskrav til praktisk styring, operationelle kontroller og implementeringsklare processer i komplekse og stærkt regulerede miljøer.
