Var ska man börja sitt compliance-arbete avseende cybersäkerhet?

Företag möter idag allt mer komplexa och omfattande regelsystem som man i olika utsträckning måste anpassa sig till eller inkorporera i sin verksamhet. Genom det här blogginlägget vill vi tillhandahålla några utgångspunkter för compliance-arbetet – dvs. arbetet med regelefterlevnad – som kan hjälpa dig om du, precis som många av de företag vi kommer i kontakt med, känner att antalet lagar och regler man behöver förhålla sig till idag är överväldigande och att du inte vet var du ska börja någonstans för att höja din organisations compliance-nivå.
Att vara compliant ur ett cybersäkerhetsperspektiv kan i korthet beskrivas som att man lever upp till en minimistandard avseende skyddet för organisationens data och IT-miljö som föreskrivs i lag eller andra regelverk, vilket i förekommande fall även inkluderar en skyldighet att rådgöra med tillsynsmyndigheter och andra intressenter under vissa förutsättningar eller att anmäla vissa företeelser, exempelvis säkerhetsincidenter eller misstänkta säkerhetsincidenter till sådana myndigheter.

Inom ramen för vår verksamhet där vi har arbetat med företag av alla möjliga storlekar och sammansättningar har vi noterat att ett vanligt hinder för företag som vill höja sin compliance-nivå, och därmed minska den regulatoriska risken som förknippas med bristande regelefterlevnad (non-compliance), är att det kan kännas compliance-arbetet och mängden regler man har att förhålla sig till kan kännas överväldigande. Som ett svar på detta erbjuder vi, utöver våra skräddarsydda lösningar, även förpaketerade lösningar för att hjälpa din organisation att kick-starta compliance-arbetet.

Var ska man då börja?

Även om många branscher har egna branschspecifika regelverk och standarder som måste levas upp till, kvarstår det faktum att samtliga företag (med enstaka undantag) måste förhålla sig till GDPR och de krav som GDPR ställer för personuppgiftsbehandling. Eftersom GDPR kräver att en personuppgiftsansvarig eller ett personuppgiftsbiträde (det vill säga ett företag som behandlar personuppgifter) måste upprätthålla en viss nivå av säkerhet såväl som ha kunskap om och ett register för de dataflöden man har och de personuppgifter man besitter är efterlevnad av GDPR:s krav en naturlig startpunkt för i stort sett alla företag och organisationer, oavsett bransch.

För att underlätta sådan efterlevnad erbjuder vi på Norelid Advokatbyrå våra klienter en tjänst som vi kallar för ”Compliance Support”. Genom denna tjänst tillhandahåller vi de första byggstenarna som alla organisationer behöver ha på plats enligt GDPR. Genom tjänsten ser vi till att:
– Det finns en struktur för att ge information på plats för att informera registrerade (dvs. indivder vars personuppgifter behandlas) om den behandling som sker avseende deras personuppgifter (såväl internt som externt),
– Att registrerade informeras om sina rättigheter enligt GDPR,
– Då får en analys av när och i förhållande till vilka samarbetspartners, kunder, leverantörer m.m. det kan behövas s.k. personuppgiftsbiträdesavtal,
– Du får hjälp att kartlägga dina behandlingar och upprätta ett register över behandlingarna,
– Du får tillgång till skräddarsydda riktlinjer för hur man bör agera och vem man bör kontakta om en personuppgiftsincident inträffar.
För en mer utförlig Compliance Support erbjuder vi ett mer avancerat tjänstepaket där vi, i tillägg till det ovanstående, även bistår din organisation med:
– Analys av behovet av att genomföra en så kallad konsekvensbedömning avseende dataskydd (Data Protection Impact Assessment, DPIA),
– Analys av behovet av att genomföra en så kallad konsekvensbedömning avseende överföringar (Transfer Impact Assessment, TIA),
– Granskning av personuppgiftsbiträdesavtal (”PuB-avtal”) där vi granskar leverantörs- och samarbetsavtal m.m. för att bedöma om PuB-avtal behövs samt om befintliga PuB-avtal är tillräckligt utförliga.
– Utbildningar genom vilka vi säkerställer att personalen vet vad man bör hålla utkik efter och när man bör konsultera med en chef eller arbetsledare.

Tveka inte att kontakta våra cyberspecialister om du och din organisation är redo att ta ert compliance-arbete till nästa nivå.

/Norelid Cyber Desk

Published: 2022-06-08

The Log4J vulnerability

Tips for improving your legal preparedness following the recently discovered Log4J vulnerability known as Log4Shell.

The vulnerability in the logging library Log4J has been called the worst to occur in a decade. Given that it could take years to address the issues that the vulnerability poses to its users and given the possibility of the vulnerability impacting hundreds of millions of devices, it has also been described as a ticking timebomb for companies. Recently, the U.S Cybersecurity & Infrastructure Security Agency – CISA – posted a list over third-party software applications that are affected by the vulnerability. The list, that is continuously updated, can be found here:

While many IT-security experts have posted a multitude of technical solutions and tips to mitigate the impact of the Log4J vulnerability, this by itself is not enough should disaster strike. Good IT-security is a tripod consisting of both technical, organisational and legal preparations and safety measures. As such, it is important that your organisation has prepared for a data breach from all three of these angles.

The legal preparedness involves identifying how well your organisation complies with the requirements set forth in the GDPR and other legislation and based on the results design a tailor-made action plan to tackle any identified gaps in your compliance. This could involve reviewing your existing policies, data processing agreements and/or your company’s routines. A good legal preparedness also involves developing and implementing a data breach policy that is well understood within your organisation. In short, a good data breach policy works as a preset plan that allows your organisation to efficiently identify, limit and where necessary notify appropriate entities such as your insurance company, data subjects and the applicable supervisory authority about the data breach. By staying legally prepared it is possible to mitigate or avoid unnecessary administrative fines, third party claims as well as reputational damages.

At Norelid Advokatbyrå, we are experts at helping our clients prepare and take appropriate measures for the legal implications before, during and after a data breach. As a way of helping other companies improve their IT-security from a legal perspective, we have made a number of checklists available at our Cyber Intelligence Corner. If you would like to know more about us and what we can assist your organisation with, you are of course more than welcome to contact our cyber specialist at info@norelidlaw.com.

You can find the above-mentioned checklists here:

/Norelid Cyber Desk

Published: 2021-12-17

Vi kickstartar hösten

Nu när restriktionerna har upphört kickstartade vi höstens första mini-event i förra veckan: GDPR – En introduktion. Seminariet hölls den 29 september och var det första mini-eventet i vår serie på tre delar angående den praktiska tillämpningen av GDPR. Det var naturligtvis en härlig upplevelse att kunna bjuda in till ett fysiskt event igen för första gången på länge och seminariet bjöd på många spännande frågor och diskussioner. Vi har fått bra feedback efter seminariet och det känns fantastiskt kul att så många uppskattar upplägget med mini-eventet, där vi bjuder på en lättare lunch och på en timmes seminarium. Det känns också extra kul att kunna anordna sådana event igen eftersom vårt syfte med eventen är dela med oss av våra erfarenheter och vår kunskap och därmed förhoppningsvis kunna hjälpa våra deltagares organisationer både i sitt proaktiva GDPR-arbete men också med att förbereda sig för den dagen då man drabbas av en cyberincident.

Det första seminariet behandlade frågor som bland annat hur regelverken ska tillämpas utifrån den aktuella organisationens egen riskprofil, hur de olika rollerna i GDPR interagerar med varandra samt hur man kan förenkla sin tolkning av regelverket genom att hela tiden se regelverket i ljuset av GDPR:s grundläggande principer. För att göra seminariet mer interaktivt uppmuntrades deltagarna att ansluta till ett mentimeter-test vilket även inkluderade en tävling i sju delar.

Om du är intresserad av att gå på ett eller båda av de resterande mini-eventen: GDPR Proactive – Konsten att förbereda sig (27 okt, kl.12.00-13.15) samt GDPR Incident – När olyckan är framme (24 nov, kl. 12.00-13.15), tveka inte på att anmäla dig HÄR:

/Norelid Cyber Desk
Publicerad: 2021-10-06

Välkommen till Norelid Advokatbyrås Cyberblogg

Varmt välkomna till Norelid Advokatbyrås cyberblogg där vi kommer bjuda på en massa spännande uppdateringar om den dynamiska cybermarknaden och vårt Cyber Response Teams aktiviteter. Vi kommer bistå er med nyhetsuppdateringar, trendspaningar och självklart våra cyberexperters tankar och idéer kring de senaste händelserna inom cyber- och datasäkerhet.

Vi på Norelid Advokatbyrå har arbetat tillsammans med våra klienter för att tillhandahålla juridisk rådgivning och rekommendationer gällande GDPR och dataskydd långt innan EU:s nya dataskyddsförordning trädde i kraft i maj 2018. Vi har gedigen erfarenhet och kunskap inom verksamhetsområdet som täcker alla typer av frågor inom GDPR och dataskydd. Vi har byggt upp ett komplett nätverk med aktörer inom cyber och IT-säkerhet, krishantering etc., både lokalt internationellt för att kunna tillhandahålla service på högsta nivå, oavsett om en incident eller en fråga rör den lokala marknaden eller om den har gränsöverskridande kopplingar.

Efterfrågan av specialistkompetens inom just GDPR, dataskydd och Cyber Risk har under de senaste åren blivit mer och mer påtaglig. Därför valde vi för några år sedan att göra stora satsningar inom just detta område, vilket har visat sig vara en succé. Med tiden har vårt specialistområde ”GDPR & Dataskydd” förgrenat sig i två ben, GDPR Proactive och GDPR Incident.

Genom vår tjänst GDPR Proactive förser vi företag med stöd och rådgivning för att minska risken för felaktig hantering av personuppgifter. Vi hjälper våra klienter att efterleva tillämpliga regelverk genom att säkerställa att klienten alltid har tillgång till korrekta styrdokument, policys, avtal och andra relevanta rutiner för att uppfylla de krav som ställs i de aktuella regelverken.

Genom vår tjänst GDPR Incident hanterar vi pågående, akuta personuppgiftsincidenter där vi agerar Incident Managers. Som Incident Managers hanterar, projektleder och koordinerar vi arbetet mellan alla relevanta parter i en uppkommen incident, upprättar eventuella rapporter till Integritetsskyddsmyndigheten och andra tillsynsmyndigheter, hanterar kontakterna med den drabbade klientens försäkringsbolag och tar generellt ett helhetsgrepp om den uppkomna incidenten och hanterar denna efter förutsättningarna i varje enskilt fall.

Att få arbeta inom detta verksamhetsområde är inte bara spännande utan även väldigt utvecklande då vi får möjlighet att tillhandahålla användbar och konkret rådgivning till våra klienter i en miljö som är under ständig utveckling. Vi vill dela med oss av våra erfarenheter eftersom vi tror att det bästa sättet för oss att bistå både klienter och andra i deras dataskydds- och regelefterlevnadsarbete är att dela med oss av våra kunskaper och erfarenheter till så många som möjligt. Om du är intresserad av vårt arbete eller av dataskydd generellt hoppas vi att du följer den här bloggen för fler uppdateringarna och olika tips och tricks som vi hoppas kommer vara användbara för dig och din organisation. Stay tuned!

/Norelids Cyber Desk

Publicerad: 2021-09-13

Tillbaka till Cyber Intelligence Corner