UT Messan

Starfar þú á sviði upplýsingatækni?
Við viljum endilega kynnast þér.

Hafa Samband

Fróðleikur

Lögmenn LEX eiga í nánu samstarfi við viðskiptavini, hafa frumkvæði í lausnum og ráðgjöf, faglegri nálgun verkefna og stöðugri umbótahugsun.

LEX hefur um langt skeið veitt fyrirtækjum, opinberum stofnunum og einstaklingum víðtæka þjónustu á öllum sviðum og eru lögmenn LEX á meðal fremstu sérfræðinga landsins á sviði persónuverndar, hugverka-, fjarskipta- og upplýsingatækniréttar og veita alhliða þjónustu á þessum réttarsviðum.

Þá býður LEX einnig upp á sérhæfða þjónustu til fyrirtækja sem fást við þróun hugbúnaðar og gervigreindar, gerð gagnagrunna eða notast við tæknilausnir í störfum sínum og veita auk þess þjónustu á sviði rafrænna viðskipta og fjártækni

Áreiðanleg áreiðanleikakönnun?

5. febrúar, 2020

Áreiðanleg áreiðanleikakönnun? Grein eftir Láru Herborgu Ólafsdóttur sem birtist í Viðskiptablaði Morgunblaðsins 25. júlí 2019.

Það hefur dregið til tíðinda í Evrópu í málum er varða öryggisbresti eftir gildistöku nýrrar persónuverndarreglugerðar fyrir liðlega ári. Þann 8. júlí sl. gáfu bresk persónuverndaryfirvöld (ICO) út yfirlýsingu um fyrirhugaða álagningu sektar á British Airways að fjárhæð 183 milljónir punda, eða um 29 milljarða króna, vegna þess að félagið hefði ekki gripið til viðunandi öryggisráðstafana sem leiddi til þess að utanaðkomandi aðilar gátu komist yfir persónuupplýsingar viðskiptavina.

Degi eftir umrædda tilkynningu, eða 9. júlí sl., gáfu ICO út aðra yfirlýsingu um fyrirhugaða álagningu sektar á Marriott International Inc,, bandarískt móðurfélag alþjóðlegu hótelsamsteypunnar, að fjárhæð 99,2 milljónir punda eða rúmlega 15 milljarða króna. Ástæðuna má rekja til öryggisbrests í kerfum Starwood hótelkeðjunnar á árunum 2014 til 2018, en Marriott keypti Starwood árið 2016 þegar öryggisbresturinn var til staðar og uppgötvaðist hann ekki fyrr en árið 2018. Öryggisbresturinn varðaði persónuupplýsingar 339 milljón hótelgesta á heimsvísu sem komust í hendur óprúttinna aðila, en þar af voru upplýsingar um 30 milljónir hótelgesta frá evrópska efnahagssvæðinu. Marriott tilkynnti um öryggisbrestinn í fyrra og virðist hafa unnið með breskum yfirvöldum að rannsókn málsins, auk þess sem samsteypan brást við með breyttum ferlum og öryggisráðstöfunum. Í tilkynningu frá ICO um fyrirhugaða sekt segir að Marriott hefði átt að vanda betur könnun á áreiðanleika Starwood þegar kaupin áttu sér stað. Nauðsynlegt væri að kanna ekki einungis hvers konar upplýsingum væri safnað heldur einnig hvernig öryggi þeirra væri tryggt.

Ýmsar spurningar hafa vaknað í kjölfar framangreindrar yfirlýsingar ICO, s.s. í tengslum við hugsanlega áhættu væntanlegra kaupenda félaga hvað varðar eldri öryggisbresti eða leynda bresti sem örðugt er að uppgötva. Skoðast það ekki síst í ljósi þess að eftir því sem tækninni fleygir fram margfaldast þau öryggistilvik sem upp geta komið innan félaga. Í því sambandi má velta fyrir sér umfangi þeirrar áreiðanleikakönnunar (lögfræðilegrar sem og tæknilegrar) sem framkvæma þarf hverju sinni til að lágmarka áhættu að þessu leyti við kaup á fyrirtækjum. Umrædd yfirlýsing ICO sýnir nauðsyn þess að framkvæma gaumgæfilega athugun á annars vegar öryggisferlum og eftirfylgni þeirra sem og hins vegar að sannreyna þær öryggisráðstafanir sem til staðar eru hjá félagi sem fyrirhugað er að kaupa. Þá virðist mega ráða af umræddu máli að nauðsynlegt sé að keypt félög aðlagist fljótt, frá tæknilegu sjónarhorni, yfirtökufélögum sínum en slíkt var sérstaklega gagnrýnt í máli Marriott þar sem félagið þótti ekki hafa tryggt kerfi Starwood nægilega eftir yfirtökuna árið 2016.

Marriot hefur nú á næstu vikum tök á að koma á framfæri sínum sjónarmiðum varðandi fyrirhugaða sektarálagningu breskra yfirvalda auk þess sem persónuverndaryfirvöld annarra ríkja geta komið sínum sjónarmiðum á framfæri áður en endanleg ákvörðun um sektarfjárhæð verður tekin. Ljóst er að um háar fjárhæðir er að ræða og ekki skýrt af tilkynningum ICO á hvaða rökum upphæð fyrirhugaðrar sektar er reist. Það er raunar athyglisvert að kaupin og framkvæmd áreiðanleikakönnunar á Starwood keðjunni áttu sér stað fyrir gildistöku persónuverndarreglugerðarinnar, og sama má segja að mestu leyti um hugsanlega eftirfarandi vanrækslu Marriott, þótt vissulega hafi öryggisbrotið verið viðvarandi fram yfir gildistöku reglugerðarinnar. Hefði Marriott þannig komið auga á öryggisbrestinn nokkrum mánuðum fyrr, eða fyrir gildistöku nýju persónuverndarreglugerðarinnar í maí 2018, þá hefði félagið ekki átt von á hærri sekt en 500 þúsund pundum, í gildistíð eldri reglna, en fyrirhuguð sekt í dag er tæplega 100 milljónir punda. Þá verður athyglisvert að sjá hvernig ICO mun beita sektarákvæðum reglugerðarinnar, en ákvæðið mælir m.a. fyrir um að sekt geti numið allt að 4% af árlegri heildarveltu fyrirtækisins á heimsvísu (e. entity) á næstliðnu fjárhagsári, en hingað til hefur inntak þess ekki verið afmarkað sérstaklega.

Hver endanleg niðurstaða verður skal ósagt látið, en ljóst er að enn er mörgum spurningum ósvarað. Athyglisvert verður að fylgjast með framgangi málsins en búast má við ítarlegri rökstuðningi ICO þegar endanleg ákvörðun liggur fyrir.

Til baka í yfirlit