Databeskyttelse – risikovurderinger som nøglen til fremtidens compliance

De kommende år vil blive fyldt med flere regler om databeskyttelse, fx via NIS2 og AI Act. Så at få fundamentet på plads er afgørende for, hvor godt din virksomhed kan følge med. I denne artikel får du en overflyvning på de nye regler. Og vi giver vores bud på, hvorfor risikovurderinger vil udgøre et godt fundament for fremtidens compliance.

Siden 2018 har mange elsket at hade GDPR. Men vi har lært tilstrækkeligt til at gøre op med det. Der er nemlig juridisk  praksis og vejledninger nok til, at GDPR’s top10-krav kan indarbejdes i compliancestrukturen på et fornuftigt niveau. Og netop strukturen i arbejdet med GDPR giver en række fordele, som du kan anvende, når de mange nye regler rammer alt fra hele sektorer til specifikke virksomhedstyper i de kommende år.

Derfor skal du se GDPR som første del af et massivt løft af den digitale regulering i EU, hvor erhvervslivet i de kommende år skal modnes til at beskytte både individet og samfundet. 

Direktivet om netværks- og informationssikkerhed, NIS2, træder i kraft den 17. oktober 2024 og pålægger virksomheder i 15 sektorer at tage stilling til den samfundsmæssige risiko ved IT-sikkerhedsbrud hos dem. Al offentlig forvaltning er ligeledes omfattet.

Regelsættet skal sikre et højt niveau for forsyningssikkerhed og stabilitet på samfundskritiske områder som fx energi, fødevarer og medicin i hele EU.

Det forventes, at lige over 1.000 virksomheder i Danmark bliver direkte omfattet af reglerne. Hertil kommer leverandører til de omfattede organisationer. Leverandører skal kunne spille med i den indledende risikovurdering og det efterfølgende beredskab i tilfælde af sikkerhedshændelser. Kan du som leverandør ikke det, kommer du bagud i konkurrencen. Derfor kan særligt leverandører drage fordel af at kende NIS2-sproget og tankegangen tidligt, hvis de vil kunne byde ind med tjenesteydelser enten direkte eller som underleverandører

AI Act er et nyt regelsæt med fokus på at reducere risiciene ved anvendelse af AI. Der sondres i AI Act mellem forbudt anvendelse af AI og højrisikosystemer.

For højrisikosystemer skal der foreligge en risikovurdering og et helt system for arbejdet med risici. I højrisikozonen finder du vurderinger af bl.a. kreditværdighed, social status og sundhed. Det er forhold, der går meget tæt på personers individuelle og sociale forhold, hvorfor overholdelsen af reglerne skal kunne påvises.

GPDR står der, at behandling af personoplysninger kræver implementering af passende sikkerhedsforanstaltninger.

Og for de virksomheder, der har arbejdet med databehandleraftaler og tredjelandsoverførsler, er det en velkendt problemstilling at skulle tage stilling til, hvornår der er dokumentation nok til at påvise, at passende sikkerhed er implementeret.

Løsningen er at udarbejde en risikovurdering ud fra alt det faktum, der indsamles, når en virksomhed indgår en databehandleraftale.

Så har jeres virksomhed arbejdet med risikovurderinger via GDPR, vil der være meget strukturelt, I kan læne jer op ad, når I skal udarbejde risikovurderinger ift. de mange nye regler, der kommer væltende.

Hvis I endnu ikke har omsat arbejdet med databehandleraftaler og sikkerhedsbeskrivelser til egentlige risikovurderinger, er det et godt tidspunkt at komme i gang nu.

Der findes forskellige metoder til at foretage risikovurderinger. Dog har vi god erfaring med den klassiske ’konsekvens gange sandsynlighed’, som i hovedtræk rummer følgende:

• Hvilke personoplysninger behandles? 
• Hvilke sikkerhedsforanstaltninger er anvendt?
• Hvilke trusler er der for os generelt og konkret? (den generelle cybertrussel har været meget høj i et stykke tid)
• Hvilke konsekvenser er der for individet? 
• Hvad er sandsynligheden for, at konsekvenserne udløses? 

Kommer din virksomhed godt omkring indsamling af faktum, kan I med den rette proces skabe et enkelt og klart framework for gennemførsel af risikovurderinger – også for fx samfundet (NIS2) og AI-højrisikosystemer (AI Act).

Den helt store fordel opstår, hvis I benytter risikovurderinger kommercielt ved fx at dele resultatet i en ikke-fortrolig udgave med samarbejdspartnere og kunder. Og I kan også bruge risikovurderingerne i rapporteringen til bestyrelse eller direktion og som en del af beslutningsgrundlaget for virksomhedens aktiviteter. Det er to rigtig gode grunde til at komme i gang med risikovurderinger.