Nyheder

DILEMMA: IT-sikkerhed er ledelsens ansvar

Ledelsen i de fleste danske virksomheder er bevidst om risikoen for, at virksomhedens IT-sikkerhed lider et brist. Angreb fra cyber-kriminelle, mangelfuld vedligeholdelse og menneskelige fejl er blandt de hyppigste årsager hertil. Da selv mindre brud på IT-sikkerheden kan have store konsekvenser for en virksomheds drift og omdømme, bør ledelsen altid sikre sig, at virksomhedens IT-infrastruktur er tidssvarende og sikker. I værste fald kan ledelsen blive ansvarlig, hvis man ikke udviser tilstrækkelig omhu. Læs DAHLs tre anbefalinger til at mindske risikoen for et IT-sikkerhedsbrist her.

For størstedelen af danske virksomheder er det en absolut nødvendighed, at virksomhedens IT-infrastruktur fungerer stabilt. Et nedbrud i en virksomheds produktionssystem kan f.eks. føre til, at virksomheden ikke kan producere eller levere varer i en periode, hvilket potentielt kan medføre betydelige økonomiske tab. Endnu værre står det til, hvis et sikkerhedsbrist i virksomhedens database medfører, at følsomme informationer om kunder og samarbejdspartnere lækkes til offentligheden. I dette tilfælde udgør det rene økonomiske tab som regel det mindste problem, hvis lækket betyder, at virksomheden mister sit gode omdømme og legitimitet med den konsekvens, at kunderne ikke længere tør overlade deres informationer i virksomhedens varetægt.

Det giver sig selv, at ledelsen ønsker at sikre, at virksomhedens IT-infrastruktur er tidssvarende og sikker. Det synes imidlertid mindre selvfølgeligt, at ledelsen faktisk er forpligtet til at sørge for, at driften af virksomhedens IT-system sker på et forsvarligt grundlag. I de mest alvorlige tilfælde kan det tænkes, at ledelsen kan holdes juridisk og økonomisk ansvarlige for manglende opretholdelse af et forsvarligt IT-sikkerhedsberedskab.

For alle ledere er det således relevant at overveje, hvordan man kan mindske risikoen for, at virksomheden rammes af et IT-sikkerhedsbrist – og hvad ledelsen skal gøre for at undgå et ansvar, hvis katastrofen indtræder. Her er tre konkrete anbefalinger fra DAHL:

1. Udarbejd en strategi for cyber- og IT-sikkerhed

Ledelsen bør først og fremmest sætte sig grundigt ind i virksomhedens IT-infrastruktur og få klarhed over omfanget og tilstanden af virksomhedens systemer. Bestyrelsen eller direktionen bør derefter tage initiativ til at udarbejde en overordnet strategi for cyber- og IT-sikkerhed i virksomheden. Strategien bør inkludere en oversigt over virksomhedens IT-brug og dataopbevaring og identificere, hvilke dele af forretningens systemer der er nødvendige for driften af virksomheden. Oversigten bør formulere, hvordan virksomhedens systemer sædvanligvis vedligeholdes og opdateres, og det bør vurderes, om den hidtidige fremgangsmåde er tilfredsstillende og tilstrækkelig. Strategien kan også med fordel skitsere en handlingsplan, som konkret beskriver, hvordan virksomheden skal forholde sig i tilfælde af et IT-sikkerhedsbrud.

2. Etablér en procedure for levering af information til ledelsen

Ledelsen (både bestyrelsen og direktionen) bør modtage fast og tilstrækkelig information om tilstanden af virksomhedens IT-infrastruktur. Informationen kan overleveres via løbende rapportering fra en ledende medarbejder, som er udpeget til at varetage virksomhedens IT-sikkerhed, eller informationen kan udarbejdes af en kvalificeret ekstern tredjepart. For at sikre en hyppig statusopdatering på området, anbefales det også, at virksomhedens IT-sikkerhed tilføjes som et fast punkt på dagsordenen til bestyrelsesmøderne. På denne måde kan det dokumenteres, at det øverste ledelseslag holder sig opdateret på compliance-indsatsen i virksomheden.

3. Informér medarbejdere om korrekte og sikre arbejdsgange

Ofte kan et sikkerhedsbrist spores tilbage til en eller flere af virksomhedens betroede medarbejdere, der måske har trykket på et link eller hentet en fil, som var fremsendt af en ukendt tredjemand, og på denne måde kompromitteret virksomhedens IT-system. Selv de mest avancerede sikkerhedsprotokoller vil ikke kunne forhindre, at medarbejdere på den ene eller den anden måde lader sig overtale til betale en falsk regning med den overbevisning, at de handler efter en direkte instruks fra den øverste ledelse. For at imødegå risikoen for, at sikkerhedsbristet sker via virksomhedens medarbejdere, anbefales det, at medarbejderstaben informeres og uddannes om korrekte og sikre arbejdsgange ved brugen af IT. Dette kan bl.a. gøres ved at udarbejde en fyldestgørende IT-sikkerhedspolitik, som konkret beskriver, hvilke procedurer medarbejderne skal overholde for at minimere risikoen for, at deres brugeradgang misbruges.

Har du brug for vores hjælp?

Har du spørgsmål til håndtering af bestyrelsesarbejde, udarbejdelse af IT-kontrakter, IT-sikkerhedsprocedurer og anden Risk Management, er du altid velkommen til at kontakte en af DAHLs specialister. Vi yder professionel rådgivning på alle områder.

Tilmeld dig nyhedsbrevet DAHL Nyt

Modtag vores nyhedsbrev og bliv opdateret på juridiske emner og nye kurser.

Læs betingelser

Vilkår for modtagelse af nyhedsbrev 

Hvem udsender nyhedsbrevet?

Nyhedsbrevet er en service, der udbydes af DAHL Advokatfirma. Vores fulde kontaktoplysninger er:

DAHL Advokatpartnerselskab
Lundborgvej 18
8800 Viborg
CVR. nr.: 37 31 00 85

Hvilke oplysninger indsamles om mig?

DAHL Advokatfirma indsamler alene din oplyste e-mailadresse og dit navn – dette er alt, vi behøver for at kunne sende dig nyhedsbreve.

Vores it-system indsamler i anonymiseret form oplysninger om dit brug af nyhedsbrevet – herunder om vores nyhedsbrev bliver åbnet, hvor lang tid mailen er åben, om der klikkes på links samt hvornår e-mailen slettes igen.

Du skal herudover være opmærksom på, at hvis du klikker på links i nyhedsbrevet til vores hjemmeside, kan vi indsamle yderligere oplysninger om dig, hvis du accepterer at vores hjemmeside bruger cookies.

Hvad bruger vi dine oplysninger til?

Når du tilmelder dig vores nyhedsbrev, bruger vi din e-mailadresse til at udsende nyhedsbreve, tilbud og andet markedsføringsmateriale til dig. Vi kan endvidere bruge din e-mailadresse til at udsende orienterende e-mails omkring DAHL Advokatfirma eller vores nyhedsbrev.

Herudover anvender vi ikke din e-mailadresse og dit navn.

Vores brug sker alene på grundlag af dit samtykke, jf. Databeskyttelsesforordningen art. 6(1)(a).

De oplysninger vi indsamler om din brug af nyhedsbrevet bruger vi til at forbedre vores service, så vi i fremtiden kan blive endnu bedre til at målrette og tilpasse indholdet efter dine interesser.

Oplysninger om din brug af nyhedsbrevet bruger vi herudover til statistiske formål i anonymiseret form.

Dine oplysninger behandles fortroligt og sikkert

Vi opbevarer dine oplysninger fortroligt og sikkert. Vi har implementeret de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at dine oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

Vi bruger en underleverandør til vores drift af IT. Vi har sikret, at vores IT-udbyder er underlagt samme forpligtelse, og at de alene handler på vores instruks.

Hvor ofte udsendes nyhedsbreve?

Vi udsender vores nyhedsbrev, når vi mener, at vi har noget vigtigt eller nyt at fortælle dig. Nyhedsbrevet udkommer ikke med faste intervaller, og det er derfor forskelligt, hvor ofte du kan forvente at modtage nyhedsbreve fra os. Vi bestræber os dog på at begrænse antallet, så vores nyhedsbreve ikke fylder hele din indbakke.

Vi videregiver ikke dine oplysninger

Vi videregiver ikke dine oplysninger til andre i kommerciel henseende. Vi videregiver kun oplysninger, hvis vi er forpligtet til det efter loven, eller hvis vi forpligtet til det efter en retskendelse.

Du kan altid rette eller ændre dine kontaktoplysninger

Du kan til enhver tid ændre eller rette i dine kontaktoplysninger (din e-mailadresse og navn) ved at afmelde dig nyhedsbrevet, og derefter tilmelde dig igen eller ved at sende en e-mail til tvc@dahllaw.dk

Det er beskrevet nedenfor, hvordan du framelder dig vores nyhedsbrev.

Du kan altid afmelde dig yderligere henvendelser

Du kan til enhver tid trække dit samtykke tilbage og framelde dig nyhedsbrevet. Når du har frameldt dig nyhedsbrevet, modtager du ikke yderligere fra os, medmindre du har givet andet samtykke til, at vi må henvende os til dig. Vi sender dig dog en bekræftelse på, at vi sletter dig fra modtagerlisten for vores nyhedsbrev, og vi sletter derefter din e-mailadresse og dit navn i vores modtagerliste af nyhedsbrevet.

Nyhedsbrevet kan afmeldes ved at klikke på ”afmeld nyhedsbrev” linket, som er indeholdt i hvert nyhedsbrev, du modtager fra os. Du kan også afmelde nyhedsbrevet ved at sende en e-mail til tvc@dahllaw.dk, hvori du oplyser navn og e-mailadresse.   

Hvor længe opbevarer I oplysningerne om mig?

Vi opbevarer og behandler din e-mailadresse og dit navn lige så længe, som du er tilmeldt vores nyhedsbrev. Hvis du afmelder dig fra nyhedsbrevet, sletter vi din e-mailadresse og dit navn.

Hvis du framelder dig vores nyhedsbrev, anonymiseres alle statistiske data om din brug af nyhedsbrevet. Anonymiseringen sker på en sådan måde, at det ikke efterfølgende er muligt at deanonymisere oplysningerne igen.

Dine øvrige rettigheder efter persondatalovgivningen

Efter persondatalovgivningen kan du anmode os om indsigt i, hvilke oplysninger vi behandler om dig.

Hvis du er uenig, i den måde vi behandler oplysninger om dig på, kan du klage til Datatilsynet.

Du modtager nu DAHL Nyt

Forretningsområder du ønsker info om:

  • Intet valgt

Din information

Accepter betingelserne