FREMMEDE VILKÅR – IT-kontrakter og GDPR, NIS 2 og DORA
Baggrund IT-kontrakten startede bredt betragtet i 90’erne som et middel til at beskrive levering af ydelser, som de ansvarlige hos parterne ikke havde den store erfaring med eller teknisk indsigt i. Derfor var de første IT-kontrakter omfattende, ordrige og svære at forhandle på plads. Så kom cloudbølgen. IT-kontrakten svandt ind til at beskrive pris og […]
OpenAI / ChatGPT og andre åbne AI-platforme
Siden ChatGPT’s lancering i november 2022 har kunstig intelligens været på alles læber. Teknologien har åbnet op for en verden af muligheder. Men er der noget, I som ledere i jeres organisation bør være opmærksomme på? Det er der naturligvis. Vi har sammenfattet det væsentligste nedenfor. AI, særligt avancerede Large Language Models (LLM) som eksempelvis […]
GDPR – Databeskyttelse for små virksomheder
Hvordan adskiller efterlevelse af GDPR sig for store og små virksomheder? Datatilsynet har netop lanceret et ”GDPR-univers for små virksomheder” – men hvad er egentlig forskellen på, om du er en stor eller lille virksomhed, når det kommer til efterlevelse af reglerne i GDPR. Guiden består overordnet af 7 punkter: GDPR-univers for små virksomheder (datatilsynet.dk) […]
Google Analytics – ulovligt! Hvad nu?
Datatilsynet følger nu i strømmen fra andre tilsynsmyndigheder og erklærer brugen af Google Analytics så godt som ulovlig i forhold til overholdelse af GDPR. Det har vakt røre den seneste uges tid, og det kan være svært at finde ud af, hvad man skal gøre, herunder hvilke muligheder der er for at fortsætte med GA, […]
NIS2: Vi har mappet kravene til de relevante standarder
Dette indlæg er skrevet til de praktikere derude, der allerede nu så småt vil i gang med at danne sig et overblik over, hvad NIS2 konkret betyder, når NIS2 forventeligt vedtages endeligt i år, samt hvad man skal gribe fat i for at få metode i opgaveløsningen. Som bekendt ligger de væsentligste krav til enhederne […]
Sådan finder du ud af, om I har it-sikkerhed nok: Værdien af en CIS Controls-analyse
Som virksomhed skal I forholde jer til eksisterende og kommende love, vejledninger og andre krav om it-sikkerhed. I skal således blandt andet være forberedt på cyberangreb. I HAR måske allerede været ramt af succesfulde angreb, så I ved, hvad det vil sige. Forsikringen stiller ofte også krav om sikker it. Alt i alt kan man […]
Lynanalyse: Datatilsynet håndhæver sin cloudvejledning
Datatilsynet udsendte i marts i år en cloudvejledning på dansk og på engelsk. Den handlede ikke kun om overførsel til USA/usikre tredjelande, selvom man skulle tro det ud fra, hvad der efterfølgende var fokus på blandt de kloge hoveder. Den handlede eksempelvis også om, at man skal kende sin slutbehandler (hvor er dine data?), at […]
Kommentar: Islandsk forbud mod cloud i USA
I en ny afgørelse har den islandske datatilsynsmyndighed afgjort, at en skole i Reykjavík ikke må bruge en amerikansk cloududbyder: “[..] all processing in the Seesaw educational system should be seized and students’ data deleted after being retrieved, if applicable, to be stored within each school.” Ordren kommer ovenpå al polemikken omkring overførsler til USA […]
Drop skræmmekampagnen: It-sikkerhed virker kun med sund fornuft
Opsummering Når du skal etablere informations- og cybersikkerhed, skal du starte med at vurdere, hvor meget sikkerhed, I har behov for, og hvor dyrt det vil være at opnå set i forhold til jeres modenhed. Til arbejdet kan du lade dig inspirere af en kendt standard (ISO270XX, NIST SP 800-XXX, CIS18 eller lign.). Først til […]
Schrems II: Du skal stadig nok ikke gøre noget endnu
De fleste organisationer (offentlig + privat) overfører personoplysninger udenfor EU. Det sker ikke mindst typisk, hvis de bruger services fra Microsoft. Men det kan også sagtens ske gennem andre, mindre cloudværktøjer. Da der mod forventning er begyndt at dukke afgørelser op rundt omkring i EU, der rent faktisk tager Schrems II alvorligt ved at påbyde […]