Embed Size (px)
Citation preview
Advokat (H), partner
Anders Aagaard
Ledelsesansvar for IT-sikkerhed
1
AGENDA
2
• Ledelsens opgaver og ansvar
• Persondataforordningen
• Cases
Ledelsens opgaver og ansvar
3
Selskabsloven – hard law:
SL § 115:
”I kapitalselskaber, der har en bestyrelse, skal denne ud over at varetage den overordnede og
strategiske ledelse og sikre en forsvarlig organisation af kapitalselskabets virksomhed påse, at...
”…der er etableret de fornødne procedurer for risikostyring og interne kontroller”
SL § 117:
” I kapitalselskaber, der ledes efter § 111, stk. 1 (af en bestyrelse, red) varetager direktionen den
daglige ledelse af kapitalselskabet. Direktionen skal følge de retningslinjer og anvisninger, som
bestyrelsen har givet. Den daglige ledelse omfatter ikke dispositioner, der efter kapitalselskabets
forhold er af usædvanlig art eller stor betydning.”
Ledelsens opgaver og ansvar
4
Ledelsens ansvarsnorm :
SL § 361:
”Stiftere og medlemmer af ledelsen, som under udførelsen af deres hverv forsætligt eller
uagtsomt har tilføjet kapitalselskabet skade, er pligtige til at erstatte denne. Det samme
gælder, når skaden er tilføjet kapitalejere eller tredjemand”
Fortolkning af ansvarsnormen
5
Selskabsanbefalingen - Soft Law:
Pkt. 5 om risikostyring:
• ” Effektiv risikostyring og et effektivt internt kontrolsystem medvirker til at reducere strategiske og
forretningsmæssige risici, til at sikre overholdelse af gældende regler og forskrifter samt til at sikre
kvaliteten af grundlaget for ledelsens beslutninger og den finansielle rapportering. Det er væsentligt,
at risiciene identificeres og kommunikeres, og at risiciene håndteres på en hensigtsmæssig måde. ”
Anbefalingen i Pkt. 5.1.1:
• Det anbefales, at bestyrelsen tager stilling til og i ledelsesberetningen redegør for de væsentligste
strategiske og forretningsmæssige risici, risici i forbindelse med regnskabsaflæggelsen samt for
selskabets risikostyring. Direktionen bør løbende identificere de væsentligste risici og rapportere til
bestyrelsen om udviklingen inden for de væsentlige risikoområder, herunder bl.a. om tiltag og
handlingsplaner.
Sammenfatning
6
Bestyrelsens ansvarsområde omfatter:
• Stillingtagen til strategiske og forretningsmæssige risici,
• Virksomhedens risikostyring.
Direktionens ansvarsområde omfatter:
• Identifikation og vurdering af væsentlige risici
• Følge udviklingen inden for væsentlige risikoområder
• Kommunikationen til bestyrelsen, herunder om
• tiltag og handlingsplaner
Persondataforordningen
7
o EU’s databeskyttelsesdirektiv ligger til grund for den danske persondatalov
o Kommissionen fremsatte d. 25 januar 2012 forslag om en ny forordning om
databeskyttelse, som skal erstatte det nuværende persondatadirektiv
o EU-parlamentet har godkendt udkastet, som nu behandles af Rådet
o Implementering mulig fra 2017
Persondataforordningen
8
o Vedtagelse af den nye forordning vil medføre en ophævelse af den danske
persondatalov, da en forordning som udgangspunkt hverken skal eller kan
implementeres i national lovgivning, idet forordninger har direkte virkning
o Forordningen vil gøre persondataregler til et EU-anliggende i højere grad end
hidtil og sikre en mere ensartet anvendelse og håndhævelse af
databeskyttelsesreglerne.
Forslaget væsentlige ændringer I
9
Retten til at blive glemt • Den ikke registrerede skal have ret til at få slettet sine personlige oplysninger, hvis der
ikke er legitime grunde til at den registreredes personoplysninger gemmes.
Enklere procedure for dataoverførsel • Det skal være nemmere for internationale virksomheder at lave aftaler om overførsel af
data mellem koncernforbundne selskaber.
Ændring af krav til samtykke • Øgede krav til samtykke
• Krav om udtrykkeligt samtykke i form af en frivillig, specifik og informeret viljestilkendegivelse.
F.eks. Ved markering af et afkrydsningsfelt ved besøg på et websted
• Tavshed eller inaktivitet kan ikke indebære samtykke
• Samtykke kan ikke i alle tilfælde bruges som behandlingshjemmel. Dette gælder bl.a. for
ansættelsesforhold, hvor der er en klar skævhed mellem den registrerede
(medarbejderen) og den registreringsansvarlige (arbejdsgiveren)
Samtykke kan ikke gives af et barn under 13 år, men skal gives af barnets
forældre eller værge.
Forslagets væsentligste ændringer II
10
• Databeskyttelsesansvarlig
• Alle offentlige myndigheder og selskaber med over 250 ansatte skal udpege en
”databeskyttelsesansvarlig”, som skal sikre at myndigheden/selskabet overholder reglerne i
forordningen
• Den databeskyttelsesansvarlige er en fysisk nøgleperson, som udpeges på baggrund af
dennes faglige kvalifikationer, ekspertise indenfor databeskyttelseslovgivning og praksis, samt
evne til at udføre de for stillingen nødvendige opgaver.
• Den databeskyttelsesansvarlige opgaver indebærer:
• at underrette og rådgive virksomhedens ledelse (som er registeransvarlig) om deres
forpligtelser i henhold til forordningen,
• at overvåge gennemførelsen af anvendelsen af ledelsens regler om beskyttelse af
personoplysninger,
• at kontrollere anmeldelser vedrørende brud på persondatasikkerheden, mv.
Forslagets væsentligste ændringer III
11
Styrkelse af nationale datatilsyn – strengere sanktioner
• Nationale datatilsyn vil få ret til at udstede bøder ved forsætlig eller uagtsom
overtrædelse af persondataforordningen.
• Bøder på op til 100.000.000 EURO eller op til 5 % af en virksomheds årlige
omsætning
Forslaget væsentligste ændringer IV
12
• Hurtig underretning i tilfælde af brud på sikkerhed
• I tilfælde af brud på persondatasikkerheden skal den dataansvarlige uden
unødigt ophold underrette både de berørte registrerede og det nationale
datatilsyn.
Hvad bør vi undgå?
13
God IT-sikkerhed begrænser scenarier som…
• Edward Snowden
• Nets/Se & Hør
• Target
• LGT Bank
• JPMorgan
