Hvad er leverandørrisiko, og hvordan håndterer man den?

Leverandørrisiko er den risiko, din virksomhed påtager sig ved at være afhængig af en ekstern leverandør. Det dækker driftsrisiko (leverandøren fejler), sikkerhedsrisiko (leverandøren kompromitteres) og compliancerisiko (leverandøren opfylder ikke lovkrav). En struktureret tilgang inkluderer due diligence inden kontraktindgåelse, klare sikkerhedskrav i kontrakten og løbende tilsyn med leverandørens efterlevelse.

Kontraktstyring › Leverandører

Leverandørkontrakter: Hvad de skal indeholde, og hvordan du styrer dem

Q: Hvad er forskellen på en leverandørkontrakt og en databehandleraftale?

En leverandørkontrakt regulerer hele forretningsforholdet mellem jer og leverandøren — ydelser, priser, ansvar og ophør. En databehandleraftale (DPA) er et selvstændigt krav under GDPR artikel 28 og regulerer specifikt behandlingen af personoplysninger. Begge dokumenter er nødvendige, når leverandøren behandler personoplysninger på jeres vegne. Det ene erstatter ikke det andet.

Q: Hvad skal en leverandørkontrakt indeholde efter GDPR?

Leverandørkontrakten skal som minimum regulere parterne, ydelsernes omfang, pris og betaling, varighed og opsigelse, fortrolighed samt ansvar. Hvis leverandøren behandler personoplysninger, skal der derudover tilknyttes en databehandleraftale (DPA) i henhold til GDPR artikel 28. Kontrakten bør også regulere underleverandørers adgang og betingelserne for brug af disse.

Q: Hvornår skal jeg genforhandle min leverandørkontrakt?

Leverandørkontrakten bør genforhandles ved kontraktudløb, ved væsentlige ændringer i lovkrav (fx ny regulering som NIS2), ved sikkerhedshændelser hos leverandøren, ved ændringer i leverandørens ejerskab eller struktur, eller hvis de leverede ydelser ændrer sig betydeligt. Som tommelfingerregel bør kontrakter med kritiske leverandører gennemgås mindst én gang om året.

Q: Hvad sker der med data, når en leverandørkontrakt ophører?

Exit-strategien bør aftales i kontrakten, inden samarbejdet begynder. Det bør fremgå, at leverandøren returnerer eller sletter alle data inden for en specificeret frist, at adgangsrettigheder lukkes ned ved ophør, og at leverandøren kan dokumentere, at data er slettet. Det er et krav under GDPR artikel 28, og NIS2 og ISO 27001 indeholder tilsvarende forventninger til dokumenteret exit-håndtering.

Q: Hvem er ansvarlig for at lave leverandørkontrakten?

Ansvaret for leverandørkontrakten ligger typisk hos den person i virksomheden, der indgår aftaler — ofte en indkøbsansvarlig, juridisk ansvarlig, COO eller CFO. Compliance- og DPO-funktionen bør involveres, når kontrakten berører personoplysninger eller sikkerhedskrav. For virksomheder uden juridisk afdeling er det anbefalelsesværdigt at søge juridisk bistand ved indgåelse af væsentlige leverandørkontrakter.

Q: Kan en leverandørkontrakt erstatte en databehandleraftale?

Nej. En leverandørkontrakt kan ikke erstatte en databehandleraftale (DPA). GDPR artikel 28 stiller specifikke krav til indholdet af en DPA, som ikke er dækket af en standard leverandørkontrakt. Begge dokumenter er nødvendige, når leverandøren behandler personoplysninger på vegne af den dataansvarlige.

Q: Hvad kræver ISO 27001 til leverandørkontrakter?

ISO 27001:2022 stiller krav til leverandørsikkerhed via Annex A.5.19 (informationssikkerhed i leverandørforhold) og A.5.20 (informationssikkerhed inden for leverandøraftaler). Disse kontroller kræver, at sikkerhedskrav dokumenteres i selve leverandøraftalerne — herunder krav til fortrolighed, hændelsesnotifikation, adgangskontrol, revisionsrettigheder og exit-vilkår. For virksomheder der er ISO 27001-certificerede, vil leverandørkontrakterne indgå i revisionsgrundlaget.

De fleste virksomheder har leverandørkontrakter. Færre har styr på, hvad de faktisk indeholder. Få den komplette tjekliste og forstå kravene fra GDPR, NIS2 og ISO 27001.

Leverandørkontrakt tjekliste der viser krav til GDPR databehandleraftale NIS2 forsyningskædesikkerhed og ISO 27001 leverandørstyring

De fleste virksomheder har leverandørkontrakter. Men i praksis opdager mange, at de ikke rigtig ved, hvad kontrakterne indeholder, hvornår de udløber, eller om de lever op til nutidens lovkrav.

Det er et problem, der er vokset i takt med reguleringslandskabet. GDPR, NIS2 og ISO 27001 stiller alle specifikke krav til, hvad en leverandørkontrakt skal indeholde og dokumentere. Manglende overholdelse kan koste dyrt — og give leverandørproblemer, der opdages for sent.

Denne guide giver dig det komplette overblik: hvad kontrakten skal indeholde, hvad loven kræver, og hvordan du sikrer, at du faktisk har styr på det.

Hvad er en leverandørkontrakt?

En leverandørkontrakt er en juridisk bindende aftale mellem en virksomhed og en ekstern leverandør. Den fastlægger ydelser, ansvar, forpligtelser og vilkår for samarbejdet.

Det er vigtigt at forstå, hvad en leverandørkontrakt ikke er: den er ikke det samme som en databehandleraftale (DPA). Leverandørkontrakten er rammen for hele forretningsforholdet. DPA’en er et selvstændigt krav under GDPR, der specifikt regulerer behandlingen af personoplysninger. Begge er nødvendige, når leverandøren behandler personoplysninger på jeres vegne — og det ene erstatter ikke det andet.

En god leverandørkontrakt skaber klarhed for begge parter, dokumenterer jeres sikkerhedsmæssige og juridiske krav og gør det muligt at reagere hurtigt, hvis samarbejdet ikke fungerer.

Hvad skal en leverandørkontrakt indeholde?

Det er det spørgsmål, de fleste søger svar på. Og svaret er ikke et simpelt punkt — det er en tjekliste, der dækker hele relationen fra opstart til ophør.

Element	Hvad det dækker
Parterne og kontraktens genstand	Hvem er aftalen imellem, og hvad leveres præcist?
Ydelsernes omfang og SLA	Kvalitetskrav, leverancetider, oppetid og serviceniveau
Pris, betaling og regulering	Honorar, betalingsbetingelser, prisregulering og faktureringsmodel
Varighed og opsigelsesvilkår	Løbetid, opsigelsesfrister og vilkår for automatisk forlængelse
Ansvar og erstatningsbegrænsning	Hvem bærer ansvaret, og hvad er loftet for erstatning?
Fortrolighed og tavshedspligt	Hvilke oplysninger er fortrolige, og hvor længe?
Underleverandører	Hvem er godkendte underleverandører, og under hvilke betingelser?
Sikkerhedskrav	Tekniske minimumskrav, certificeringer og audit-rettigheder (NIS2 og ISO 27001-relevant)
Databehandling	Hvornår kræves en DPA? Tilknytning til GDPR artikel 28
Misligholdelse og ophævelse	Konsekvenser ved kontraktbrud og ret til øjeblikkelig ophævelse ved alvorlige brud
Exit-strategi og datahåndtering	Hvad sker der med data og systemer ved kontraktophør?
Lovvalg og værneting	Hvilken lovgivning gælder, og ved hvilken domstol løses tvister?

Det er en lang liste. Og det er bevidst. En leverandørkontrakt, der kun dækker de første fire punkter, er ikke en ordentlig leverandørkontrakt — det er et tilbud med underskrift.

Leverandørkontrakter og GDPR

Der er én misforståelse, vi støder på igen og igen: at en databehandleraftale erstatter leverandørkontrakten. Det gør den ikke.

De to dokumenter løser to forskellige opgaver. Leverandørkontrakten regulerer hele forretningsforholdet — ydelser, priser, ansvar og ophør. Databehandleraftalen regulerer specifikt behandlingen af personoplysninger under GDPR artikel 28. Begge dokumenter er nødvendige, når din leverandør behandler personoplysninger på jeres vegne.

Derudover stiller GDPR krav til, at du fører tilsyn med dine databehandlere — og at du sikrer, at eventuelle underdatabehandlere er godkendt og underlagt de samme forpligtelser. Det er noget, mange overser, men som kan blive problematisk ved et databrud.

En praktisk tommelfingerregel: Har din leverandør adgang til personoplysninger, du er dataansvarlig for? Så kræves der en DPA ved siden af leverandørkontrakten. De to aftaler tilknytter du hinanden, men de er separate dokumenter med hvert sit formål.

Leverandørkontrakter og NIS2

Her adskiller .legal’s artikel sig fra de fleste konkurrenters. NIS2 er ikke bare relevant for de direkte omfattede virksomheder — det påvirker hele leverandørkæden.

NIS2-loven, der trådte i kraft i Danmark den 1. juli 2025, stiller via artikel 21(2)(d) eksplicitte krav om forsyningskædesikkerhed. Det betyder, at virksomheder inden for de omfattede sektorer aktivt skal styre sikkerheden hos deres leverandører. Og det sker primært kontraktuelt.

Konkret betyder det, at leverandørkontrakten skal indeholde:

Specifikke sikkerhedskrav — ikke blot generelle henvisninger til "god sikkerhedspraksis", men konkrete tekniske minimumskrav
Ret til audit — aftalt på forhånd, så du faktisk kan gennemføre tilsyn
Incident response-forpligtelser — leverandøren skal notificere dig inden for aftalte tidsfrister, når der sker sikkerhedshændelser
Exit-strategi og datahåndtering ved ophør — dokumenteret i kontrakten, ikke aftalt mundtligt på ophørstidspunktet

Et praktisk eksempel: En virksomhed inden for energisektoren anvender en cloud-leverandør til driftskritiske systemer. Under NIS2 er det ikke nok at vide, at leverandøren arbejder med sikkerhed. Det skal stå i kontrakten — hvilke standarder der overholdes, hvordan hændelser rapporteres, og hvad der sker, hvis samarbejdet ophører.

Virksomheder, der ikke er direkte omfattet af NIS2, kan alligevel blive påvirket: Leverer du ydelser til en NIS2-omfattet kunde, må du forvente, at kunden stiller kontraktuelle sikkerhedskrav til dig. Det er den kaskadeeffekt, NIS2’s forsyningskædelogik skaber.

Læs mere om NIS2 og hvad det kræver af din virksomhed.

Leverandørkontrakter og ISO 27001

ISO 27001:2022 adresserer leverandørsikkerhed direkte i to kontroller:

Annex A.5.19 — Informationssikkerhed i leverandørforhold: Krav om at have en politik for leverandørsikkerhed og sikre, at sikkerhedskrav aftales med leverandørerne, herunder vilkår for adgang til informationsaktiver
Annex A.5.20 — Informationssikkerhed inden for leverandøraftaler: Krav om at sikkerhedskrav dokumenteres i selve leverandøraftalerne, inklusiv fortrolighed, hændelsesnotifikation, adgangskontrol, revisionsrettigheder og exit-vilkår

For virksomheder, der er certificeret eller arbejder mod ISO 27001-certificering, er leverandørkontrakterne en del af det revisionsgrundlag, der gennemgås ved audit. Det er ikke nok at have en intern sikkerhedspolitik — den skal afspejles i de kontrakter, I indgår med leverandørerne.

Det samme gælder for finansielle virksomheder under DORA (Digital Operational Resilience Act), der via artikel 30 stiller specifikke krav til kontrakter med IKT-leverandører — herunder exit-strategi, inspektionsrettigheder og rapporteringsforpligtelser.

Læs mere om ISO 27001 compliance og hvad det kræver i praksis.

Risikostyring af leverandører — fra kontrakt til løbende tilsyn

Kontrakten er startskuddet, ikke slutmålet. En solid leverandørkontrakt skaber rammen — men risikostyring af leverandører er en løbende proces.

En struktureret tilgang ser sådan ud:

Vurdering — Due diligence inden kontraktindgåelse: Hvad er leverandørens sikkerhedsmodenhed? Har de relevante certificeringer? Hvad er konsekvensen, hvis de fejler?
Kontrakt — Aftal sikkerhedskrav, revisionsret, incident-response og exit-vilkår skriftligt og entydigt
Tilsyn — Løbende opfølgning via audits, statusmøder og gennemgang af hændelseslog
Genforhandling eller ophør — Kontrakten genforhandles, når sikkerhedskravene ændres, eller leverandøren ikke lever op

Det lyder enkelt. Men for virksomheder med 20, 50 eller 200 aktive leverandørkontrakter er det et reelt styringsudfordring at holde styr på, hvornår kontrakter udløber, om sikkerhedskravene stadig er aktuelle, og om tilsynet faktisk gennemføres.

Det er præcis det, .legals vendor management-modul løser: et centralt overblik over alle leverandørrelationer, med tilknyttede kontrakter, DPA’er, tilsynslog og automatiske påmindelser om fornyelse og opfølgning.

Læs mere om informationssikkerhedsrisikostyring og tilsyn med leverandører.

Typiske fejl i leverandørkontrakter

Disse fejl er mere almindelige, end man skulle tro. Og de fleste opdages først, når der er et problem.

Automatisk forlængelse uden påmindelsesmekanisme — Kontrakten forlænges stille og roligt, og ingen opdager, at vilkårene er forældede
Ingen opsigelsesret ved sikkerhedsbrud — Leverandøren oplever et alvorligt databrud, men kontrakten giver ingen klar ret til øjeblikkelig ophævelse
DPA mangler eller er forældet — Leverandøren behandler personoplysninger, men DPA’en er aldrig oprettet — eller stammer fra 2018
Underleverandører ikke specificeret eller godkendt — Leverandøren anvender underleverandører, som du ikke kender til og ikke har godkendt
Ingen exit-plan ved kontraktophør — Samarbejdet ophører, men ingen har aftalt, hvad der sker med data, systemer og adgange
Sikkerhedskrav for generiske til at håndhæves — Kontrakten nævner "rimelige sikkerhedsforanstaltninger", men det er for vagt til at fungere som håndhæveligt krav

Sådan administrerer du mange leverandørkontrakter

For virksomheder med et større antal leverandørrelationer er ad hoc-håndtering ikke en holdbar løsning. Det, der er brug for, er et struktureret system.

Et godt setup inkluderer:

Centralt kontraktarkiv — Alle leverandørkontrakter samlet ét sted, ikke spredt på drev, indbakker og lokale mapper
Automatiske fornyelsespåmindelser — Varsling i god tid, inden kontrakten udløber eller forlænges automatisk
Tilknytning af DPA’er til leverandørprofiler — Databehandleraftalen er direkte koblet til leverandøren og kontrakten, ikke gemt separat
Tilsynslog — Dokumentation af, hvornår der er gennemført leverandørrevision, og hvad der er fulgt op på

.legals kontraktstyringssoftware er bygget til netop det: overblik, påmindelser og tilknytning til compliance-processen. Vil du se, hvordan det fungerer i praksis? Book en gratis demo og få et konkret overblik over, hvad der mangler i din leverandørstyring.

Oftest stillede spørgsmål om leverandørkontrakter

Hvad er forskellen på en leverandørkontrakt og en databehandleraftale?

En leverandørkontrakt regulerer hele forretningsforholdet — ydelser, priser, ansvar og ophør. En databehandleraftale (DPA) regulerer specifikt behandlingen af personoplysninger under GDPR artikel 28. Begge er nødvendige, når leverandøren behandler personoplysninger. Det ene erstatter ikke det andet.

Hvad skal en leverandørkontrakt indeholde efter GDPR?

Kontrakten skal som minimum dække parterne, ydelsernes omfang, pris og betaling, varighed og opsigelse, fortrolighed og ansvar. Behandler leverandøren personoplysninger, skal der tilknyttes en DPA i henhold til GDPR artikel 28. Kontrakten bør også regulere underleverandørers adgang.

Hvad kræver NIS2 til leverandørkontrakter?

NIS2-loven (artikel 21, stk. 2, litra d) kræver, at virksomheder i de omfattede sektorer styrer sikkerheden i leverandørkæden kontraktuelt. Kontrakten skal indeholde specifikke sikkerhedskrav, ret til audit, incident response-forpligtelser med tidsfrister og en aftalt exit-strategi.

Hvornår skal jeg genforhandle min leverandørkontrakt?

Kontrakten bør genforhandles ved udløb, ved ændringer i lovkrav, ved sikkerhedshændelser hos leverandøren eller ved væsentlige ændringer i ydelserne. Kritiske leverandørkontrakter bør gennemgås mindst én gang om året.

Hvad sker der med data, når en leverandørkontrakt ophører?

Exit-strategien bør aftales i kontrakten på forhånd: leverandøren returnerer eller sletter data inden for en specificeret frist, adgange lukkes ned, og sletningen dokumenteres. Det er et krav under GDPR artikel 28 og et forventet element under NIS2 og ISO 27001.

Hvem er ansvarlig for at lave leverandørkontrakten?

Ansvaret ligger typisk hos den person, der indgår aftaler — indkøbsansvarlig, juridisk ansvarlig, COO eller CFO. Compliance- og DPO-funktionen bør involveres, når kontrakten berører personoplysninger eller sikkerhedskrav.

Kan en leverandørkontrakt erstatte en databehandleraftale?

Nej. GDPR artikel 28 stiller specifikke krav til en DPA, som ikke er dækket af en standard leverandørkontrakt. Begge dokumenter er nødvendige, når leverandøren behandler personoplysninger på jeres vegne.

Hvad kræver ISO 27001 til leverandørkontrakter?

ISO 27001:2022 Annex A.5.19 og A.5.20 kræver, at sikkerhedskrav dokumenteres i leverandøraftalerne — inklusiv fortrolighed, hændelsesnotifikation, adgangskontrol, revisionsrettigheder og exit-vilkår. For ISO 27001-certificerede virksomheder indgår kontrakterne i revisionsgrundlaget.

Hvad er leverandørrisiko, og hvordan håndteres den?

Leverandørrisiko dækker driftsrisiko, sikkerhedsrisiko og compliancerisiko ved afhængighed af eksterne parter. En struktureret tilgang inkluderer due diligence inden kontraktindgåelse, klare sikkerhedskrav i kontrakten og løbende tilsyn.

Hvordan administrerer jeg mange leverandørkontrakter effektivt?

Det kræver et centralt kontraktarkiv med automatiske fornyelsespåmindelser, tilknyttede DPA'er og et tilsynslog. .legals vendor management- og kontraktstyringssoftware løser netop det. Book en demo for at se det i praksis.

Har du fortsat spørgsmål?

Spørg Johannes direkte, han giver de fleste af vores demoer personligt

Book ham her

Skærmbillede af .legal leverandørkontrakter-modul med centralt kontraktoverblik fornyelsespåmindelser tilknyttede databehandleraftaler og tilsynslog

.legal compliance platform Styr dine leverandørkontrakter med .legal

Saml leverandørkontrakter, DPA'er, tilsynslog og sikkerhedskrav ét sted - med indbyggede fornyelsespåmindelser og direkte kobling til GDPR, NIS2 og ISO 27001-frameworks. Få fuldt overblik over leverandørrisiko i ét system.