Due Diligence og Privacy-krav

Privacy Due Diligence er en stadigt vigtigere del af M&A-processen, og hvis man bliver ”trængt op i en krog” som følge af en uventet sårbarhed, som man ikke er blevet orienteret om, kan det koste virksomheder betydelige bøder og væsentlig skade på deres omdømme.

Da nutidens IT- og datalandskaber er ekstremt forbundne, men samtidig forskelligartede, er identifikation af problemer og tidskritisk løsning heraf en svær, men nødvendig opgave. Antallet af bøder, der udstedes, fordi der ikke foretages tilstrækkelig Due Diligence på cyber- og privacy-området, er stigende – både mht. bødernes fællestræk og størrelse.

Cyber- og privacy-mæssige problemer og hændelser er ofte systematiske eller spredes eksponentielt hurtigt – eller begge dele. Identifikation af sådanne mangler så tidligt som muligt er altafgørende for, om man enten kan udrydde dem helt, eller om det er muligt at træffe beslutninger om håndtering af de pågældende risici på et oplyst grundlag.

Manglende Due Diligence på cyber- og privacy-området kan koste mere end blot penge

Den 9. juli 2019 udsendte Storbritanniens Information Commissioner’s Office (ICO) en udtalelse om, at de havde til hensigt at udstede en bøde til Marriott International på 99.200.396 britiske pund for ikke at have overholdt EU’s databeskyttelsesforordning (GDPR).

Selve bøden vedrører en indrapporteret cyberhændelse, der fandt sted i november 2018. Hændelsens udfald førte til læk af ca. 339 mio. gæstekonti på globalt plan, hvoraf 30 mio. var oplysninger fra indbyggere i sammenlagt 31 lande i Det Europæiske Økonomiske Samarbejdsområde (EØS).

Det, der gør, at denne bøde skiller sig ud fra de andre – bortset fra det store beløb – er, at sårbarheden opstod, da Starwood Hotels Groups systemer blev kompromitteret i 2014 forud for Marriott Internationals opkøb heraf i 2016.

Desværre formåede man ikke med den Due Diligence-proces, der blev igangsat ved opkøbet, at opdage bruddet forud for overtagelsen, og bruddet forblev derfor ukendt indtil sidste år, dvs. to år efter selve opkøbet. ICO’s efterforskning konkluderede således, at Marriott havde undladt at foretage tilstrækkelig cyber- og privacy-mæssig Due Diligence ved deres køb af Starwood og desuden ikke var lykkedes med at sikre sine systemer ordentligt.

Denne bøde fremhæver vigtigheden af at foretage ordentlig Due Diligence på cyber- og privacy-området både før og efter et opkøb mhp. at beskytte virksomheder mod ubehagelige overraskelser senere hen og samtidig forebygge omdømmemæssig skade og økonomisk tab.

Hvad kan virksomheder gøre?

For at undgå samme skæbne som Marriott kan man træffe følgende foranstaltninger:

• Forstå den nuværende modenhed i den fase, hvor man screener målvirksomheden og foretager Due Diligence, ved at tage passende stikprøver på baggrund af branchekendskab og -ekspertise.

• Udarbejde på baggrund af modenhedsvurderingen en plan for, hvordan en fusion eller et delvist frasalg skal foregå mht. ressourceforbrug og gennemførelse, der eventuelt vil få indflydelse på den samlede salgspris.

• Udføre cyber- og privacy-integrationen eller -adskillelsen i fasen efter selve opkøbet, hvor man allerede har kendskab til prioriteter, arbejdsindsats, tidsrammer, tilpasningskrav og forbedringstiltag.

Bestille og foretage lovlige penetrationstest (white-hat hacking) af nøgleaktiver for at identificere (og måske mitigere) kendte kritiske sårbarheder forud for opkøbet.