DLA Piper opruster på sikkerhed og operationel compliance
Igennem de seneste år har en række virksomheder oplevet cyberangreb, som har medført alvorlige driftsforstyrrelser og betydelige omkostninger. Center for Cybersikkerhed under Forsvarets Efterretningstjeneste har gentagne gange betegnet cybertruslen mod Danmark som meget høj. Det har været en af årsagerne til, at DLA Piper Denmark har valgt yderligere at styrke sin profil inden for netop cybersecurity med ansættelsen af advokat Martin H. Nielsen.
”Cybersecurity står højt på agendaen i DLA Piper globalt, og det ville være helt skævt, hvis vi ikke kunne rådgive om det i Danmark – ikke mindst fordi Danmark jo faktisk er et af de mest digitaliserede lande”, udtaler partner Marlene Winther Plas, der er nordisk ansvarlig for DLA Pipers rådgivning på teknologi-området.
Derudover er området højaktuelt netop nu, hvor mange flere end normalt arbejder hjemmefra, og det har – som det fremgår af Center for Cybersikkerheds trusselsvurdering fra 3. april 2020, som netop fokuserer på, hvordan den aktuelle pandemi påvirker trusselsbilledet – medført, at vi ser, at der er aktører, som prøver at udnytte situationen gennem nye eller ændrede angrebsformer og dermed skaber et øget pres på virksomheders cybersecurity.
”Vi kommer ikke til at konfigurere firewalls eller andre sikkerhedssystemer for vores kunder – det er der andre, der kan gøre både bedre og billigere; men i og med, at krav om it-sikkerhed finder vej ind i lovgivningen på flere og flere områder, er det vigtigt, at vi kan indgå meningsfyldt i dialogen med både virksomhedsledelser og sikkerhedseksperter. Derfor er det vigtigt for os, at vi ud over juraen forstår både vores kunders forretning samt - til en vis grænse - teknikken, da dette er forsætningen for god og grundig rådgivning”, tilføjer Jon Lauritzen, der er partner i IP ig teknologi.
”Cybersikkerhed er et relativt nyt område for advokater, og det er bestemt ikke noget, der undervises i på jurastudiet. Det er med stor glæde, at vi pr. 1. april har vi fået selskab af en kollega, der har arbejdet med it-sikkerhed og interne kontroller i mere end 25 år, og derefter som advokat de sidste 4 år", fortæller Marlene Winther Plas.
Det nyeste medlem af DLA Pipers IP og teknologi team hedder Martin H. Nielsen og kommer fra Plesner, hvor han var en del af Plesners persondatateam. Han startede sin karriere i revisionsfirmaet Ernst & Young (EY), hvor han hurtigt specialiserede sig inden for it-området, som både omfattede revision af it-systemer og it-sikkerhed, og udnyttelse af de muligheder for omfattende analyser, der fulgte af en stigende it-understøttelse i virksomhederne. Martin har derfor haft fingrene helt nede i teknikken og lavet datakonverteringer og dataanalyser, som – dengang i de sene 1980’ere – var noget, der krævede, at man kunne skrive programkode.
Senere har han også arbejdet med de forretnings- og it-mæssige sider af it-implementeringer og har dermed erfaring med den praktiske virkelighed, som it-kontrakterne forsøger at regulere. Juraen har altid interesseret ham, så han på et tidspunkt begyndte at læse jura ved siden af jobbet.
Efter EY var Martin en tur på den anden side af skrivebordet. En tidligere EY-kollega hentede ham til Nets, hvor han blev ansvarlig for information security compliance – altså at sikre, at Nets levede op til de regulatoriske krav til informationssikkerhed. Derudover indgik han i arbejdet med at opbygge en nordisk sikkerhedsfunktion, inden han i 2015 valgte at gå tilbage til rådgiversiden og blive advokat.
”Selv om jeg valgte at gå tilbage på rådgiversiden, vil jeg ikke være mine erfaringer fra dengang foruden. En dygtig rådgiver forstår selvfølgelig sin kunde; men det giver altså bare noget helt andet at være en del af driftsorganisationen – og blandt andet være en af dem, der skal være med til at træffe svære beslutninger, når virksomheden var under angreb eller driftsstabiliteten af andre årsager var udfordret”, fortæller Martin.
Jon Lauritzen supplerer: ”Martin har en praktisk erfaring, som virkelig giver god mening – han har jo prøvet at sidde i et kriserum og skulle håndtere alvorlige situationer”, og lige præcis den erfaring er et af de områder, hvor Martin kan tilføre værdi for kunderne.
”Det er voldsomme mekanismer, der går i gang, når en virksomhed i dag kommer i it-problemer, og jeg tror, det kan være en fordel at have en rådgiver med, der dels har erfaring med den slags situationer; men som – lige så vigtigt – ikke er følelsesmæssigt involveret på samme måde som virksomhedens egne medarbejdere, der jo alt andet lige vil føle et angreb mod virksomheden som et angreb mod dem. At jeg så også har den juridiske vinkel og derfor kan tænke juridiske risici ind i arbejdet, er nok ikke nogen ulempe – ansvarsspørgsmålet kan jo hurtigt komme til at fylde meget; men det er altså også vigtigt, at det ikke kommer til at stå i vejen for, at man får løst det underliggende problem hurtigt, godt og effektivt”, siger Martin.
Operationel compliance
Martin H. Nielsen kommer også fra en baggrund, hvor man prøver at forebygge, at det går galt, og være rustet til, hvis det så alligevel går galt. Vi oplever hos DLA Piper, at der hos kunderne er et stor behov for på bedste vis at være forberedt på såvel cyberangreb som et besøg fra Datatilsynet. .
Der er i lovgivningen de senere år kommet langt større fokus på virksomheders evne til at kunne påvise, at de har ”truffet passende foranstaltninger” for at sikre, at regler bliver overholdt – et af de områder, hvor dette har fået mest opmærksomhed, er nok databeskyttelsesforordningen (GDPR), hvor en af de store ændringer i forhold til tidligere regulering på området var indførelsen af omvendt bevisbyrde – at virksomheder fremover vil blive anset for at overtræde forordningen, med mindre de kan bevise, at de overholder den.
Tankegangen er måske relativ ny i europæisk lovgivning, men det har altid været grundtanken i intern kontrol – at man opbyggede sin organisation og sine systemer på en sådan måde, at man minimerede risikoen for, at ting gik galt, og regulerede erhverv som den finansielle sektor og pharma-industrien har levet med relativt stramme krav til netop velfungerende interne kontroller i mange år.
Hvis vi ser på GDPR, har vi brugt meget tid de sidste 3-4 år på at hjælpe virksomheder med at få ryddet op og sikre, at deres behandlingsaktiviteter grundlæggende er lovlige, og at de lever op til en række formelle krav såsom oplysningspligten. Den tendens vi ser i Datatilsynets afgørelser tyder på, at indsatsen i mange virksomheder sluttede med projektet, og at udfordringerne opstår i forhold til den praktiske efterlevelse – og ikke mindst evnen til at dokumentere dette. Det er mildest talt ærgerligt at have brugt rigtig mange penge på at blive klar til de nye regler, og så alligevel komme i problemer, fordi det nye setup aldrig er kommet til at leve i virksomheden.
De stigende regulatoriske krav til compliance kræver dels en evne til at forstå kravene og den praksis, der udvikler sig på de enkelte retsområder rent juridisk, og dels en evne til at ændre ved den helt fundamentale måde, som virksomheder fungerer på sådan, at regeloverholdelse tænkes ind.
Martin H. Nielsen har med sin fortid som ansvarlig for information security compliance solid og praktisk erfaring med at sikre, at systemer og processer er konstrueret på en måde, så man overholder reglerne; men uden at dette bliver en unødigt stor belastning for forretningen i det daglige.
Det gode ved operationel compliance er, at det i høj grad er et håndværk, som kan anvendes på forskellige retsområder, men det er vigtigt at forstå betydningen af netop håndværket, og her bliver det meget lavpraktisk.
”Man løser ikke compliance-opgaven med fine, teoretiske notater, men ved at arbejde med virksomheden for at skabe en dagligdag, hvor medarbejderne kan overholde reglerne uden at skulle tænke for meget over det i det daglige – de skal jo typisk være gode til nogle helt andre ting, så det er vigtigt, at man kan gøre det nemt for dem at overholde nogle regler, som man ikke rimeligvis kan forlange, de har en dybere forståelse af”, siger Martin.
Noget af det, der er rigtigt svært med compliance, er at ”lægge snittet” rigtigt. På den ene side, skal man søge at sikre, at man lever op til nogle ind imellem relativt komplekse regler, og på den anden side skal man skabe en ramme, hvor medarbejderne har en fair chance for at opfylde deres del af kravene – også de medarbejdere, der ikke er højt specialiserede jurister.
”Meget apropos ’lægge snittet’ kan man jo se på lægerne som et eksempel. Hvis jeg skulle have foretaget et kirurgisk indgreb, vil jeg først og fremmest være sikker på, at lægen kan sit håndværk – og så håbe, at nogle andre har gjort det nemt for ham eller hende at behandle mine helbredsoplysninger rigtigt, så vedkommende ikke skal bruge sin energi på det, men kan fokusere på at sikre mig en god og vellykket operation”, forklarer Martin, og det er netop her, advokaterne skal kunne hjælpe med at foretage afvejningen af, hvornår noget er ”godt nok”, så fagpersoner ikke bruger unødigt mange kræfter på noget, som er sekundært for dem.
”Når man skal lave sådan en øvelse, er det rigtigt sundt at have prøvet at være med på den anden side, for du får ikke ros for at lave et compliance setup, der nok sikrer en meget høj grad af efterlevelse, men til gengæld er så tungt, at forretningen ikke fungerer – det vil helt typisk føre til, at det påtænkte compliance setup ikke kommer til at fungere i praksis, og det er vel alt andet lige bedre at have et 80 % setup, der fungerer konsekvent, end et 100 % setup, der ikke fungerer”, slutter Martin.
International erfaring
Netop det forhold, at DLA Piper er en global virksomhed har været en vigtig faktor for Martin, som har tilbragt de første knap 27 år af sin karriere i internationale virksomheder.
”Jeg havde fornøjelsen at være med på EY’s rejse fra at være et internationalt netværk af virksomheder til at være en ægte global virksomhed, og ud over at jeg synes, det er sjovt og spændende at arbejde på tværs af kulturer, så har det lært mig, hvad styrken ved at være en global virksomhed er – især når man lever af at levere rådgivning og derfor virkelig har glæde af at kunne dele tanker og viden med dygtige kolleger fra hele verden”, siger Martin.
”DLA Piper er det eneste globale advokatfirma i Danmark. Derfor er det godt for såvel vores danske som internationale kunder, at Martin har mange års erfaring med at agere i globale rådgivningsvirksomheder”, slutter Marlene Winther Plas.