Site Search

Loading Results

Cybersikkerhed og GDPR - der er en sammenhæng

I dette kapitel får du som CFO et overblik over GDPR og de opgaver, der følger med for at efterleve reglerne. Vi ser på hvilke fordele, der er ved at leve op til GDPR-reglerne, og hvordan dette arbejde hænger sammen med cybersikkerhed. Vi viser en kort fasemodel for arbejdet og giver en overordnet gennemgang af de opgaver, som virksomheden skal løse, og hvordan CFO’en som øverste ansvarlig skal orkestrere arbejdet.

Hent CFO'ens CyberGuide

Få CFO'ens GDPR-guide

Beskyttelse af personoplysninger har længe været en grundlæggende rettighed, men i takt med den teknologiske udvikling og den stigende digitalisering, har EU med databeskyttelsesforordningen (GDPR) skærpet kravene til virksomheders sikkerhed og håndtering af personoplysninger. Personoplysninger er derfor blot ét - men helt centralt - aktiv, som lovgiver har bestemt skal beskyttes. Arbejdet med cybersikkerhed har derfor mange fælles overlap med GDPR, og et fokus på at styrke cybersikkerhed vil samtidigt beskytte de personoplysninger, som er det centrale aktiv i GDPR.

Et helt centralt princip i GDPR er princippet om ansvarlighed. Det indebærer, at virksomheden er ansvarlig for, at reglerne efterleves, og at virksomhederne kan dokumentere, at reglerne reelt efterleves, ligesom det indebærer et krav om ledelsesforankring. Alle virksomheder og organisationer, som behandler personoplysninger om EU-borgere, skal overholde GDPR ved at dokumentere, at personoplysninger håndteres sikkert og lovligt. Så det er derfor vigtigt, at procedurer og kontroller kan dokumenteres.

Fordele ved GDPR

Skab tillid og troværdighed
At overholde GDPR kan anvendes som en konkurrenceparameter, fx for at komme i betragtning til at blive leverandør, eller ved at styrke virksomhedens troværdighed og omdømme til kunder, medarbejdere og samarbejdspartnere.

Forenkling af forretning og arbejdsprocesser
GDPR forudsætter, at det identificeres i hvilke it-systemer, personoplysninger behandles, og til hvilke formål og hvordan. Man skal have overblik med egne arbejdsprocesser, såvel som de leverandører, der anvendes. Brug arbejdet til at forenkle processer og få ”ryddet op”.
 

Løftestang til andre projekter som fx Data Analytics
Det kan skabe høj værdi, hvis data udnyttes til datadrevne beslutninger. GDPR kan være en løftestang til at sætte andre digitaliseringstiltag i gang, herunder initiativer inden for AI, Big Data og Data Analytics. Der er mange overlap mellem GDPR og Data Analytics, som begge kræver, at man har et overblik over data, at data er korrekte, ajourførte og lovlige at bruge.
 

Medvirker til bedre ledelse og styring
GDPR kræver nedskrevne forretningsgange, som fortæller, hvordan kravene skal håndteres. Det resulterer ofte i en større klarhed over ansvar og roller og forbedrede beslutningsprocesser, som også kan anvendes i forbindelse med andre opgaver og projekter.
 

Bedre prissætning ved virksomhedssalg og nemmere finansiering
Virksomheder, som skal igennem en due diligence i forbindelse med et frasalg, vil stå stærkere, hvis de kan påvise overholdelse af gældende lovgivning og en højere organisatorisk modenhed.
 

Bedre forberedelse til EU’s stigende regulering af data
EU anser data som måske den væsentligste ressource for EU’s fremtidige vækst, som ikke bare skal beskyttes, men også anvendes gennem brugen af nye teknologier som fx Cloud, IoT, blockchain og AI. Data vil blive mere og mere reguleret, og GDPR er derfor blot en grundlæggende forudsætning for brugen af data.

De 5 faser for effektiv implementering af GDPR

Fase 1: Ledelse og styring

CFO’en spiller en helt central rolle i den indledende fase og skal:

  • Sikre forankring i ledelsen ved at udpege en GDPR-ansvarlig og sikre opbakning i ledelsen.
  • Beskrive ambitionerne med GDPR-arbejdet. Vil I blot overholde kravene og undgå bøder, eller er ambitionerne højere? Vil I eksempelvis løfte virksomheden til et niveau, hvor persondatabeskyttelse bliver en konkurrenceparameter og kan styrke tilliden i relation til kunder, leverandører og det omgivende samfund?
  • Etablere en organisation, som er bredt sammensat. GDPR er ikke kun et it- eller juraprojekt. Hele forretningen skal involveres, fx salg, marketing og HR.
  • Sikre styring, ansvar og roller. Ansvar og roller skal være fastlagt, og det interne og eksterne ressourcetræk estimeres Der vil typisk være forskel på ansvaret i en projektfase og i den efterfølgende drift.
  • Rapportere. CFO’en skal sikre sig, at fremdrift såvel som væsentlige risici bliver rapporteret.
     

Fase 2: Identificer, risikovurder og dokumenter jeres brug af personoplysninger

I fase 2 skal der bl.a. skabes et overblik over, hvor der behandles personoplysninger, hvem der har adgang til dem, og hvad de anvendes til. Der skal foreligge skriftlig dokumentation.

På baggrund af kortlægningen skal det juridiske papirskjold (GDPR-dokumentationen) udarbejdes, som bl.a. omfatter en risikovurdering. Det er vigtigt at bemærke, at denne GDPRrisikovurdering adskiller sig fra de typiske it-risikovurderinger (som er beskrevet tidligere i guiden).

Omdrejningspunktet for den lovpligtige GDPR-risikovurdering er de personer, som man behandler personoplysninger om, fx medarbejdere og kunder. Man skal fx vurdere risikoen for, at personoplysninger bliver delt med uvedkommende, og hvad konsekvensen kan være for den registrerede, og hvordan man kan nedbringe denne risiko. En utiltænkt deling kan fx medføre identitetstyveri, men også fx tab af ære og velfærd. Datatilsynet har udgivet en vejledning til risikovurdering, og man kan bede sin eksterne rådgiver om hjælp til denne opgave.

Der skal udarbejdes forretningsgange for, hvordan virksomheden og medarbejderne håndterer GDPR-kravene i den daglige drift. Det er afgørende, at risici bliver rapporteret til CFO’en (eller projektsponsoren). En høj GDPR-risiko for de registrerede (fx kunder og medarbejdere) kan indebære en høj risiko for virksomheden.

Fase 3: Informationssikkerhed

Cyber- og informationssikkerhed spiller en central rolle i GDPR. Virksomheden skal sikre, at der implementeres passende sikkerhedsforanstaltninger eller kontroller i it-systemer og arbejdsprocesser for at beskytte personoplysningerne og forhindre, at oplysninger fx ved et uheld eller bevidst kompromitteres.

Sikkerhedstiltag er fx:

  • Adgangsstyring
  • Netværkssikkerhed
  • Beskyttelse mod malware
  • Overvågning
  • Logning
  • Backup
  • Beredskab
  • Leverandørstyring.

Hvis man har en cyberrisiko, har man som regel også en GDPR-risiko.

GDPR har et omdrejningspunkt for tilgangen til persondatabeskyttelse, der i bred forstand er risikobaseret. Jo højere risikoen er, desto strengere sikkerhedsforanstaltninger skal der implementeres for at mindske risikoen. Passende sikkerhedsforanstaltninger skal vælges ud fra den risikovurdering, som ligger i fase 2.

Fase 4: Understøttende GDPR-teknologier

I denne fase skal ledelsen afklare, hvorvidt virksomheden har den rette teknologi til bl.a. at understøtte GDPR og dermed beskytte personoplysninger. Teknologien til at understøtte personoplysninger vil i mange tilfælde være de samme teknologier, som benyttes til at beskytte andet data og andre aktiver i virksomheden. Eksempler på sikkerhedsteknologier kan være logning og kryptering, men der kan også implementeres teknologier til automatisering af fx sletning. PwC har udviklet en GDPR-scanner, som både kan give overblik over data, og understøtte en automatiseret sletning.

Læs mere om PwC's GDPR scanner her.

For uddybende information om teknologivalg henvises der til side 22.

Fase 5: Kommunikation, awareness og træning

Vi har set mange eksempler på, at GDPR bliver implementeret ved, at det juridiske papirskjold blot bliver publiceret på virksomhedens intranet, og at medarbejderne derefter forventes at efterleve nye eller skærpede regler og arbejdsgange. Ligesom andre væsentlige forandringer, så kræves det, at GDPR-kravene og forretningsgangene bliver kommunikeret på kontinuerlig basis, og at medarbejderne bliver trænet og understøttet med rådgivning og værktøjer til at løfte opgaven. Herudover er det et krav i GDPR, at medarbejdere trænes og uddannes i databeskyttelsesreglerne, og at det skal kunne dokumenteres. PwC har udviklet en række e-learnings om GDPR og cybersikkerhed, som på en effektiv og lettilgængelig måde kan træne medarbejderne, samtidigt med at det dokumenteres.

Læs mere om E-learnings fra PwC her.

Ledelsen bør være særlig opmærksom på at gøre det klart for organisationen, hvorfor det er nødvendigt, hvordan det kommer til at foregå, og hvilken rolle den enkelte har i at beskytte data. For uddybende information om adfærd og awareness henvises der til side 32.

Hent CFO'ens CyberGuide

Få CFO'ens GDPR-guide

{{filterContent.facetedTitle}}

Kontakt os

Christian Kjær

Christian Kjær

Partner, Technology & Security, PwC Denmark

Tlf: 3945 3282

Linkedin Follow E-mail
William Sharp

William Sharp

Partner, Technology & Security, PwC Denmark

Tlf: 8932 0076

E-mail
Anders Balslev

Anders Balslev

Director, Technology & Security, PwC Denmark

Tlf: 3093 4549

E-mail
Følg PwC
Om os Kontorer Presse Kontakt os

© 2021 - 2024 PwC. Alle rettigheder forbeholdes. PwC refererer til PwC netværket og/eller et eller flere af dets medlemsfirmaer, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Se www.pwc.com/structure for yderligere detaljer.