Sikkerhed er (meget) mere end GDPR

Fra Focus Advokaters GDPR-team, den 27.1.2021

Sikkerhed er (meget) mere end GDPR

Det er nok efterhånden de færreste virksomheder og myndigheder der ikke ved, at man skal passe godt på personoplysninger, særligt som følge af GDPR. Forordningen stiller direkte krav til, at der skal indføres ”passende sikkerhed” for at beskytte personoplysningerne. Men det er ikke kun GDPR, der stiller krav til sikkerheden; beskyttelse af kritisk infrastruktur og cybersikkerhed har længe været påkrævet for visse sektorer og vil i fremtiden komme til at fylde mere pga. den teknologiske udvikling og det øgede trusselsbillede. Der kan derfor være flere gode grunde til at have styr på sikkerheden.

Det er ikke kun GDPR, der stiller krav til sikkerhed

Inden for de seneste 20 år er der kommet omkring 8 direktiver, der – ligesom databeskyttelsesforordningen – fastsætter en række forskellige krav til implementering af et ”tilstrækkeligt” niveau af sikkerhed, dog uden at skelne imellem personoplysninger og almindelige data. Det er bl.a. forsyningspligtdirektivet, e-Privacydirektivet, PDS2-direktivet og NIS-direktivet, der fastlægger en række særregler om sikkerhed for visse sektorer, herunder tele-, medie- og IT-sektoren, den finansielle sektor, forsyningsvirksomheder, transport-, bankvæsen-, sundhedssektoren mv. Direktiverne stiller navnlig krav om eller anbefalinger til de omhandlede sektorers efterlevelse af informationssikkerhedsstandarden ISO 27001, og oplister foranstaltninger for at sikre driften af tjenesterne imod nedbrud og cyberangreb. Statslige myndigheder har siden 2014 haft pligt til at efterleve ISO 27001 på grund af den nationale strategi for cyber- og informationssikkerhed, imens offentlige myndigheder siden 2016 har været forpligtet til at følge principperne i ISO 27001 som følge af den fællesoffentlige digitaliseringsstrategi 2016-2020.

EU-Kommissionen har desuden varslet et kommende nyt direktiv, det såkaldte NIS 2-direktiv, som vil medføre yderligere krav til flere udvalgte sektorer med vigtige og essentielle tjenester, herunder affaldshåndtering, fødevarer og motorkøretøjer. Overtrædelse af direktivet vil udløse bøder på niveau med det, som vi kender fra GDPR i dag. Herudover har Center for Cybersikkerhed vurderet truslen for cyberkriminalitet og –spionage som meget højt, og der er derfor en betydelig risiko for at blive ramt af cyberangreb, som kan medføre økonomisk afpresning, tab af kritisk forretningsdata og tab af omdømme. Det kan derfor efterhånden ikke længere betale sig kun at tænke på beskyttelse af personoplysninger i sin sikkerhedsstrategi, men også på IT-systemer og arbejdsgange generelt.

Der er således mange gode grunde til at arbejde med sikkerhed på andre områder, end hvad der angår persondatabeskyttelse.

Hvad betyder ”tilstrækkelig sikkerhed” i praksis?

Fælles for de forskellige sikkerhedsregler er, at de generelt kræver ”passende tekniske, processuelle og organisatoriske foranstaltninger med henblik på risikostyring af sikkerhed” eller tilsvarende. Selvom vi har mange forskellige regler, der stiller krav til sikkerhed, er der ikke tydelige svar i reglerne på, hvilke foranstaltninger, der skal implementeres i praksis. Dette er dog bevidst, eftersom en fastsættelse af konkrete foranstaltninger i loven ikke ville være agilt nok til at efterkomme de forskellige virksomheders behov og risikosituationer samt den teknologiske udvikling.

Derfor er der inden for de seneste år kommet væsentligt mere fokus på betydningen af juridiske vejledninger, internationale standarder, adfærdskodesker, certificeringer mv. (såkaldt ”softlaw”) til at hjælpe med at fortolke reglerne og bistå med den praktiske implementering af de vagt formulerede lovkrav. Særligt det europæiske cybersikkerhedsagentur ENISA har udarbejdet en lang række vejledninger omkring databeskyttelse og cybersikkerhed.

I Danmark har Digitaliseringsstyrelsen og Erhvervsstyrelsen sammen med en række samarbejdspartnere udviklet hjemmesiden Sikkerdigital.dk, som vha. en lang række konkrete og brugbare vejledninger, værktøjer og skabeloner forsøger at gøre sikkerhed operationelt. Der findes bl.a. en vejledning til implementering af ISO 27001 og skabeloner til udarbejdelse af risikovurderinger. Hjemmesiden henvender sig både til virksomheder og offentlige myndigheder.

Også Bestyrelsesforeningen har i samarbejde med andre aktører udarbejdet en vejledning til bestyrelser omkring cybersikkerhed, der forsøger at operationalisere arbejdet med sikkerhed. Vejledningen Cybersikkerhed for bestyrelser kommer med en række anbefalinger, værktøjer og checklister, som bestyrelsen i en virksomhed kan bruge til at tage en temperaturmåling på virksomheden eller myndighedens cybersikkerhedsniveau, herunder vurdere om der er behov for ændringer eller opfølgninger. Eksempelvis kan der være behov for at følge op på sikkerheden hos virksomhedens leverandører af IT-tjenester, afholde awarenesskampagner for medarbejderne om cyberhændelser eller udarbejde beredskabsprocedure til, hvis/når uheldet er ude.

Focus Advokater anbefaler

Særligt i disse tider er det vigtigt, at jeres organisation arbejder målrettet med sikkerhed, da lovkravene og truslerne er større end nogensinde før. Sikkerhed er en af de centrale grundpiller for at føre en forsvarlig organisation, og der er efterhånden kommet meget viden og mange ressourcer til, der kan hjælpe jer godt på vej.

Som afrunding giver Focus Advokater her 5 anbefalinger til, hvad I bør gøre for at sikre jeres organisation et tilstrækkeligt niveau af sikkerhed:

Undersøg om I er underlagt andre gældende eller kommende lovkrav til sikkerhed, særligt hvis I er inden for en forsyningssektor eller en offentlig myndighed
Kortlæg kravene og vurdér trusselsbilledet mod jeres organisation igennem risikovurderinger
Implementér tilstrækkelige sikkerhedsforanstaltninger på baggrund af risikovurderingen, der reducerer risiciene mod jeres organisation og kunder til et acceptabelt niveau – og følg op på foranstaltningerne løbende
Brug evt. vejledninger, skabeloner og værktøjer fra ENISA, Sikkerdigital.dk eller øvrige sikkerhedseksperter for at lette arbejdet med at dokumentere sikkerheden i jeres organisation
Tag fat i en professionel for yderligere rådgivning og konkret bistand med sikkerhedsarbejdet, når I har behov.

Kontakt os

Har du spørgsmål til emnet eller brug for rådgivning, står vores persondatateam altid klar til at yde kvalificeret rådgivning.

Jesper Løffler Nielsen

Associeret partner, advokat (L), Ph.D., leder af Focus Advokaters Tech Team Læs mere

Jesper Krag

Advokat Læs mere

Nyheder

2.4.2024 | Lejeforhold

Udlejers opsigelsesskrivelse – gør det rigtigt fra start!
1.4.2024 | Lejeforhold

Hvornår er rygning i et lejemål misligholdelse – og hvad kan udlejer gøre?
15.3.2024

Entreprisekontrakter i nybyggeri – hvad skal du som bygherre være opmærksom på?

Se flere nyheder

Arrangementer

22.5.2024

Bliv klar til tilsyn - GDPR og TV-overvågning hos udlejere i søgelyset
15.5.2024

Proceskursus del 5 - Afhøringsteknikker
2.5.2024

Arbejdsmarkedsforhold - ansættelsesvilkår og ledelse af mange generationer

Se flere arrangementer

ODENSE

Cortex Park Vest 3
5230 Odense M
Tel +45 63 14 20 20
mail@focus-advokater.dk
CVR-nr.: 34 04 56 66

SVENDBORG

Det Gule Pakhus
Havnepladsen 3A
5700 Svendborg
Tel +45 63 14 20 20
mail@focus-advokater.dk
CVR-nr.: 34 04 56 66

KOLDING

Toldbodgade 10,4
6000 Kolding
Tel +45 75 71 20 20
mail@focus-advokater.dk
CVR-nr.: 34 04 56 66

KØBENHAVN

Amaliegade 40 B, 2.
1256 København K
Tel +45 63 14 20 20
mail@focus-advokater.dk
CVR-nr.: 34 04 56 66

HAMBORG

Dänische Advokaten
Grimm 8
D-20457 Hamburg
Tel +49 40 24 91 92
Fax +49 40 24 04 09
mail@daenische-advokaten.de
PR 935