De flesta datorsystem innehåller känsliga uppgifter som tillhör enskilda personer, t.ex. kunder, anställda eller tredje part. Om dessa uppgifter stjäls eller äventyras av en hackare kan konsekvenserna bli allvarliga.
Lagstiftningen om dataskydd i många jurisdiktioner medför stora påföljder. I vissa länder kan uppgiftsägarna vidta rättsliga åtgärder mot organisationen för att få skadestånd.
Organisationer kan ådra sig betydande kostnader för anmälningar. Skadan på anseendet ökar ytterligare i och med att det finns lagar som kräver att företag ska informera enskilda personer om deras personuppgifter har äventyrats i ett dataintrång.
Juristerna har till uppgift att skydda sina klienter och organisationer genom att minimera effekterna av denna typ av situationer.
I takt med att informationssäkerhet och dataskydd har blivit en del av vår digitala värld har ansvaret för dessa frågor också manifesterats i juridiska avtal.
Före millennieskiftet utgjorde dessa frågor en mycket liten del av avtalsförhandlingarna. Numera är det vanligt att det förs betydande diskussioner om risker för cybersäkerhet och dataskyddsansvar. Båda parter i avtalsförhandlingar är alltför medvetna om betydelsen av att inte skydda sina intressen på dessa viktiga områden.
Advokater som är involverade i förhandlingar om kommersiella avtal har varit tvungna att investera i att förstå effekterna av riskerna med cybersäkerhet och dataskyddshot.
Som ett resultat av detta befinner sig juristerna i förgrunden när det gäller att förstå de högsta nivåerna av dataskydd i kombination med kravet på att genomföra en grundlig strategi för hur cybersäkerhet betraktas inom organisationen.
"Alltför ofta betraktas dataskydd och cybersäkerhet som tekniska frågor som kräver ett tekniskt svar, men detta tillvägagångssätt ignorerar den operativa, finansiella och ryktesmässiga skada som ett brott kan orsaka. Om data ger ditt företag ett mervärde får du inte låta denna tillgång bli en belastning. Sätt disciplin på den, och säkerhet runt den, och utnyttja dess verkliga värde." - Adrian O'Connell, partner och chef för avtal och teknik på Tughans Solicitors.
Ofta resulterar detta i juridiska råd där organisationer uppmanas att teckna en cybersäkerhetsförsäkring för att minska risken för säkerhetsincidenter. Detta har lett till en tillväxt på den globala marknaden för cybersäkerhetsförsäkringar, som förväntas nå 28,6 miljarder dollar år 2026, enligt en ny rapport från Allied Market Research.
Liksom bilförsäkringar är cybersäkerhetsförsäkringar endast värdefulla när skadan är skedd. Den verkliga utmaningen är att undvika dataintrång och minska riskerna för cybersäkerhet där det är möjligt.
Advokater har en nyckelroll att spela här när det gäller att främja det sätt på vilket dessa två frågor betraktas på styrelsenivå. De kan se riskens storlek ur avtalssynpunkt och kan översätta den till en verklig affärsrisk som ledningsfunktionen kan förstå. Detta gör att risken för cybersäkerhet inte längre är ett IT-problem utan ett bredare affärsproblem som ledningen lätt kan agera på.
Hur man bygger upp en plan för kommunikation och medvetenhet om policyer
Eftersom den interna juridiska funktionen blir alltmer involverad i viktiga strategiska beslut som rör styrning, risk och efterlevnad är det ofta den juridiska avdelningens ansvar att främja en kultur av efterlevnad och se till att personalen fullgör sitt ansvar för cybersäkerhet.
För att hjälpa till att formalisera en "bästa praxis" för intern policyhantering har OCEG tagit fram en hjälpsam illustration som beskriver den organisatoriska livscykeln för policyhantering och utbildningsmiljön.
Klicka här för att ladda ner nu.
