I kjølvannet av GDPR har datatilsyn i Europa varslet flere GDPR bøter. Personvern og IT-sikkerhet må jevnlig vurderes, både før og etter oppkjøp.

Det britiske datatilsynet (ICO) varslet i sommer at British Airways kan bli ilagt rundt 2 milliarder kroner i bot, omtrent samtidig med at de varslet Marriot om bøter på cirka 1,2 milliarder kroner. Begge sakene gjelder brudd på reglene om IT-sikkerhet i GDPR, i Marriots tilfelle ble det oppdaget etter at hackere stjal informasjon om 339 millioner hotellgjester.

Felles for sakene er at virksomhetene ikke hadde sørget for tilstrekkelig informasjonssikkerhet.

To år etter at Marriot kjøpte opp hotellkjeden Starwood i 2016, ble det oppdaget svakheter i hotellkjedens IT-systemer. Uvedkommende fikk tilgang til gjesteopplysninger. ICO avdekket at Marriott ved oppkjøpet ikke hadde gjennomført tilstrekkelig due diligence, og dermed heller ikke hadde sørget for tilstrekkelig sikring av personvern og IT-sikkerhet.

GDPR forplikter alle virksomheter til ansvarlighet («accountability»). Ansvarlighet innebærer både å kartlegge personvernet under due diligence ved oppkjøp, samt godt personvern etter oppkjøp.

Etter at håndhevingen av GDPR startet i fjor sommer, bør alle som vurderer kjøp av teknologiavhengige virksomheter (nær sagt samtlige virksomheter) være ekstra oppmerksomme på hvordan disse oppfyller kravene til personvern og IT-sikkerhet. En due diligence-prosess skal ikke bare konkretisere verdien av virksomheten, men også de risikofaktorer oppkjøper bør ha oversikt over før en beslutning om kjøp tas.

For eksempel vil en applikasjon for kommunikasjon mellom lege og pasient være lite verdt dersom løsningen ikke sikrer at personvernreglene overholdes.

En due diligence bør blant annet inneholde spørsmål om personopplysninger i systemer og dataflyt samt protokollering av disse, alle behandlingsaktiviteter inkludert behandlingsgrunnlag, ivaretagelse av de registrertes rettigheter og risikovurderinger foretatt av virksomheten.

Den bør videre kartlegge alle tiltak som er gjort for teknisk sikring av dataene, for eksempel tilgangsstyring, kryptering av lagring og kommunikasjon, innebygget personvern i IT-systemene, og gi oversikt over inngåtte databehandleravtaler. Den bør også inneholde punkter om tekniske og organisatoriske tiltak, for eksempel internkontroll for personvern, og hva som er gjort for å gi ansatte kompetanse.

Det er viktig å kartlegge om virksomheten har på plass en cyber-forsikring som er godt tilpasset.

Kartleggingen gjør det enklere å uttale seg om etterlevelse av krav til personvern og IT-sikkerhet, for så å stille opp garantier i due diligence prosessen.

Datatilsynet legger ved vurdering av bøter vekt på hvilke tiltak som er gjort for å sikre personvernet. Det er derfor viktig å dokumentere hvilke tiltak som er gjennomført, og due diligence rapporten bør dokumentere funnene.

Teknisk IT-sikkerhet er alene ikke tilstrekkelig. Kombinert med svak organisatorisk sikkerhet kan dette sammenlignes med en tykk ståldør med kraftige låser – men med mange nøkler på avveie. Faren for menneskelig svikt står igjen. Sikkerhetstiltak står ofte i spenningsforhold til effektivitet.  For å skape en god sikkerhetskultur bør tilsatte i virksomheten ha gode og forståelige prosedyrer å følge. For en kjøper vises dette i de organisatoriske tiltakene, og dokumentasjon på opplæring og kultur vil være sentralt.

Godt personvern og god IT-sikkerhet er ferskvare. Risiko og tiltak må derfor jevnlig vurderes på nytt, også etter oppkjøp.

Artikkelforfattere er Kristin Haram Førde og Anders A. Christie.

 Artikkelen ble første gang publisert i Finansavisen mandag 23. september 2019.

SE FLERE ARTIKLER