Ordbog for GRC-begreber
Få indsigt i nogle af de essentielle grundbegreber, der er nødvendige for at navigere effektivt i GRC-landskabet og forstå RISMAs tilgang til governance, risk og compliance.
ABC står for Anti-Bribery and Corruption, som på dansk oversættes til anti-bestikkelse og korruption. Begrebet refererer til de politikker, procedurer og foranstaltninger, en organisation igangsætter for at forhindre, opdage og håndtere bestikkelse og korrupte handlinger. Disse bestræbelser kan være forankret i række lovgivninger – både internationale og nationale – som har til formål at fremme en etisk forretningspraksis og sikre, at organisationer opererer med integritet
EU’s AI Act (Artificial Intelligence Act) er en forordning, der skal sikre, at kunstig intelligens udvikles og anvendes sikkert, etisk og med respekt for privat personers rettigheder. Forordningen anvender en risikobaseret tilgang. AI Act gælder for alle, der udvikler, udbyder eller bruger AI i EU og trådte i kraft i juli 2024 med gradvis implementering frem mod 2026. Organisationer skal kortlægge deres AI-systemer, dokumentere compliance, informere brugere og føre tilsyn med leverandører.
AML står for Anti-money laundering. På dansk oversættes det til anti-hvidvask og beskriver processen med at forhindre, identificere og rapportere mistænkelige finansielle transaktioner, der kan være tegn på hvidvaskning af penge. Disse bestræbelser er forankret i række lovgivninger – både internationale og nationale – som har til formål at forhindre, at kriminelle kan misbruge det finansielle system til at hvidvaske penge og finansiere terrorisme.
Anneks A er en integreret del af ISO 27001-standarden, der opregner en række klassificerede sikkerhedskontroller, som organisationer skal bruge til at demonstrere compliance med standarden. Anneks A indeholder 93 kontroller fordelt på fire kategorier:
-
Organisatoriske
-
Menneskelige
-
Fysiske
-
Teknologiske.
Ud fra disse kontroller udarbejdes Statement of Applicability (SoA), som nøje dokumenterer, hvordan hver kontrol anvendes, justeres, eller udelades. Anneks A og SoA er således tæt forbundne.
APV er en forkortelse for arbejdspladsvurdering og er lovpligtig proces for organisationer med ansatte. Formålet med en arbejdspladsvurdering er identificere risici eller problemer i arbejdsmiljøet for derved at kortlægge og evaluere arbejdsmiljøforholdet. Dette gøres ved at undersøge de fysiske, psykiske og sociale faktorer på arbejdspladsen, hvorefter organisationen skal vurdere, hvordan den ønsker at håndtere og mitigere disse.
Artikel 13 i GDPR fastlægger, hvilke oplysninger den dataansvarlige skal give, når personoplysninger indsamles direkte fra den registrerede. Det omfatter blandt andet:
-
Den dataansvarliges identitet og kontaktoplysninger
-
Formålene med behandlingen og det retlige grundlag
-
Modtagere og eventuelle videreformål
-
Opbevaringsperiode
-
Den registreredes rettigheder og klagemuligheder
Oplysningerne skal gives aktivt til den registrerede og ikke blot være tilgængelige på en hjemmeside. Hvis personoplysninger efterfølgende anvendes til et nyt formål, skal den registrerede informeres, før behandlingen starter.
Artikel 15 er en del af EU’s databeskyttelsesforordning (GDPR) og centrerer sig om den registreredes ret til indsigt i egne personoplysninger. Retten til indsigt indebærer, at den registrerede kan anmode om at se de personoplysninger, en organisation behandler om dem, samt få information om selve databehandlingsaktiviteterne. Formålet med Artikel 15 er at skabe gennemsigtighed i databehandlingen og sikre større datakontrol til den registrerede.
Artikel 16 i GDPR giver den registrerede ret til berigtigelse af personoplysninger. Det betyder, at en person kan få forkerte oplysninger rettet og ufuldstændige oplysninger suppleret hos den dataansvarlige. Organisationen skal behandle anmodninger hurtigt og effektivt, og hvis oplysninger allerede er delt med tredjemand, skal disse underrettes om rettelserne, medmindre det er umuligt eller kræver uforholdsmæssige ressourcer.
Artikel 17 i GDPR giver den registrerede ret til at få sine persondata slettet under visse omstændigheder. Det gælder blandt andet, hvis oplysningerne ikke længere er nødvendige, samtykke trækkes tilbage, behandlingen er ulovlig, eller der foreligger en juridisk forpligtelse til sletning.
Organisationen skal handle uden unødig forsinkelse, sikre identiteten af den registrerede, informere eventuelle tredjeparter og tage højde for undtagelser som ytringsfrihed, offentlig interesse eller retskrav.
Artikel 18 i GDPR giver den registrerede ret til at begrænse behandlingen af sine personoplysninger, så de ikke bruges til et bestemt formål. Denne ret gør sig gældende i følgende situationer:
-
Der er tvivl om, hvorvidt oplysningerne er korrekte.
-
Behandlingen overtræder loven, men den registrerede ønsker ikke, at dataene slettes.
-
Organisationen har ikke længere behov for oplysningerne, men den registrerede skal bruge dem i forbindelse med et juridisk krav.
-
Den registrerede har indgivet en indsigelse, som stadig er under behandling.
Artikel 19 i GDPR pålægger den dataansvarlige at underrette alle modtagere af personoplysninger, når oplysningerne berigtiges, slettes eller behandlingen begrænses , medmindre det er umuligt eller kræver uforholdsmæssig stor indsats. Den registrerede kan anmode om at få oplysninger om, hvem der er underrettet.
Formålet er at sikre, at alle, der har modtaget persondata, er opdaterede med ændringer, hvilket fremmer gennemsigtighed og korrekt behandling. Organisationer skal kunne identificere modtagere, underrette dem effektivt og dokumentere processen for at overholde kravet.
Artikel 20 er en del af EU’s databeskyttelsesforordning (GDPR) og handler om den registreredes ret til dataportabilitet. Retten indebærer, at den registrerede har ret til at modtage en kopi af de personoplysninger, som vedkommende selv har oplyst til organisationen. Disse skal udleveres i et almindeligt anvendt og maskinlæsbart format.
Samtidig giver artikel 20 den registrerede mulighed for at anmode om, at disse oplysninger overføres direkte til en anden dataansvarlig uden hindring – forudsat at det er teknisk muligt.
Artikel 21 i GDPR giver den registrerede mulighed for at modsætte sig behandlingen af sine personoplysninger under bestemte omstændigheder. Den registrerede kan gøre indsigelse mod behandling baseret på legitime interesser eller offentlig interesse, mod profilering samt mod direkte markedsføring, hvor retten er ubetinget. Når en indsigelse fremsættes, skal den dataansvarlige vurdere, om behandlingen kan fortsætte ud fra legitime grunde, som vejer tungere end den registreredes interesser. Samtidig skal den registrerede informeres tydeligt om sin ret til indsigelse ved første kommunikation, så personen kan udøve kontrollen over egne data fra starten.
Artikel 22 i GDPR har til formål at beskytte personer mod automatiserede beslutninger, der har juridiske eller væsentlige konsekvenser, uden menneskelig indgriben.
Artikel 30 er en del af EU’s databeskyttelsesforordning (GDPR) og kommer i forlængelse af forordningens fokus på ansvarlighed. Artiklen fastsætter kravet om at den dataansvarlige skal udarbejde en fortegnelse over organisationens behandlingsaktiviteter. Samtidig skal en databehandler udarbejde en fortegnelse over behandlingsaktiviteter, som de gør på vegne af en dataansvarlig.
Artikel 32 er en del af EU’s databeskyttelsesforordning (GDPR) og fokuserer på sikkerheden omkring behandlingen af personoplysninger hos både dataansvarlige og databehandlere. Den pålægger organisationer at implementere tekniske og organisatoriske sikkerhedsforanstaltninger, der matcher risikoen ved datahåndteringen.
Samtidig specificerer artiklen, at personoplysninger kun behandles af autoriseret personale efter instrukser fra den dataansvarlige, databehandler eller i overensstemmelse med national eller EU-lovgivning. Formålet er at sikre en høj grad af sikkerhed og beskyttelse af persondata.
Behandlingshjemler er de lovlige grundlag, som en organisation kan vælge at benytte for at behandle personoplysninger i henhold til GDPR. For at en behandling skal være lovlig, skal mindst én gyldig hjemmel kunne dokumenteres og passe til den konkrete behandlingssituation.
GDPR fastlægger seks overordnede behandlingshjemler:
-
Samtykke
-
Kontrakt
-
Juridisk forpligtelse
-
Vitale interesser
-
Offentlig interesse eller udøvelse af officiel myndighed
-
Legitime interesser
CER står for Critical Entities Resilience og er et EU-direktiv, der har til formål at styrke modstandsdygtigheden for kritiske samfundsfunktioner i Europa. Direktivet fokuserer på, at de omfattede virksomheder dokumentere og vedligeholde et højt niveau af fysisk resiliens og organisatorisk beredskab.
CIS18, eller Center for Internet Security's 18 Controls, er et rammeværk med 18 sikkerhedskontroller, som har til formål at forbedre cybersikkerheden for organisationer globalt. Kontrollerne giver vejledning til at identificere, prioritere og implementere sikkerhedstiltag for at beskytte data og systemer mod cybersikkerheden.
Begrebet compliance betyder på dansk "overholdelse" og kan beskrives som processen med leve op til gældende lovgivning, standarder og krav for organisationen – fx branchespecifikke standarder, GDPR og etiske normer.
Formålet med compliance er at sikre, at organisationen forebygger overtrædelser af disse regler, hvilket understøtter højere kvalitetsstandarder, skaber tillid hos interessenter og øger transparensen i organisationens aktiviteter. Compliance er en dynamisk proces, der kræver løbende opmærksomhed og tilpasning til nye regler eller ændrede forretningsforhold.
Compliance excellence er en organisations evne til konsekvent at overholde love og regler. Det forener risikostyring og compliance i én strategi, som gør det lettere at navigere i komplekse reguleringer som NIS2 og DORA via en fleksibel og skalerbar tilgang.
Målet er at skabe en kultur, hvor compliance ikke er en byrde, men en integreret del af forretningen. Det handler om at opbygge tillid, reducere risici og styrke robustheden. Compliance excellence bygger på proaktive processer, automatisering, løbende overvågning og tydelige ejerskaber, så organisationen hurtigt kan tilpasse sig nye krav og ændringer i risikobilledet.
Compliancekultur handler om at forankre compliance i hele organisationen, så det bliver til en naturlig del af hverdagen. Det er ikke kun et spørgsmål om processer, men om at skabe et fælles tankegang, hvor alle handler ansvarligt og etisk, uanset situation.
Når compliance bliver en del af kulturen, styrker det organisationens evne til at minimere risici og sikre bæredygtig og effektivcompliance med regler og standarder. En stærk compliancekultur er dermed fundamentet for fuld compliance.
Contract management – eller kontraktstyring som det kaldes på dansk – er den overordnede proces med at administrere en organisations kontrakter fra start til slut. Dette indebærer bl.a. udarbejdelse af kontrakter, forhandling, opfyldelse af kontraktlige forpligtelser, genforhandling og afslutning af de juridisk bindende dokumenter. Dette har til henblik at optimere håndteringen og øge værdiskabelsen, så organisationens kontrakter er alignet med dens forretning og målsætninger.
CSDDD er en forkortelse for Corporate Sustainability Due Diligence Directive og er et direktiv fra EU, der stiller krav til organisationer om due diligence på miljø- og menneskerettighedsområdet.
I praksis betyder det, at organisationer underlagt direktivet skal gennemføre due diligence-processer i forbindelse med sine aktiviteter og værdikæder for at identificere, forebygge, og afbøde negative påvirkninger på menneskerettigheder og miljø. Direktivet sigter mod at få visse virksomheder til at tage ansvar for deres indvirkninger på omverdenen gennem reelle lovkrav frem for ved anbefalinger.
COSO er et internationalt rammeværk til udvikling, implementering og evaluering af interne kontroller. Rammeværket bygger på fem nøgleelementer: kontrolmiljø, risikovurdering, kontrolaktiviteter, information og kommunikation samt overvågning. COSO hjælper organisationer med at opnå deres mål, reducere risici og sikre compliance.
CSR, som står for Corporate Social Responsibility, beskriver organisationers indsats for at integrere sociale og miljømæssige hensyn i deres daglige drift. Gennem en veldefineret CSR-strategi sætter en organisation mål og iværksætter tiltag, der bidrager positivt til samfundet og miljøet. Denne tilgang er ikke kun afgørende for at nå bæredygtighedsmål, men spiller også en vigtig rolle i at forbedre virksomhedens omdømme og langsigtede succes.
CSRD står for Corporate Sustainability Reporting Directive og er et EU-direktiv, der sætter en række krav til virksomheders bæredygtighedsrapportering. Målet med direktivet er at standardisere rapporteringsprocesserne og forbedre gennemsigtigheden inden for bæredygtighed i hele Europa. Dette vil gøre det nemmere for investorer, leverandører og kunder at forstå og vurdere en organisations bæredygtighedsindsats.
Cyberresiliens handler om organisations evne til at modstå, absorbere, tilpasse sig og hurtigt komme sig efter sikkerhedshændelser, uanset om de skyldes cyberangreb, tekniske nedbrud eller menneskelige fejl.
Det er en strategisk disciplin, der kobler it-sikkerhed, risikostyring og forretning med målet om at beskytte både drift, kundetillid og organisationens omdømme.
Den dataansvarlige er den person eller organisation, der bærer det primære ansvar for de personoplysninger, der indsamles og behandles. Det indebærer, at det er den dataansvarlige, der skal sikre, at behandlingen overholder GDPR.
Den dataansvarlige bestemmer blandt andet:
-
Hvilket formål personoplysningerne indsamles og anvendes til
-
Hvordan oplysningerne behandles i praksis
-
Hvem der har adgang til at behandle dem
-
Hvis en registreret ønsker at udøve sine rettigheder, såsom indsigt eller sletning, rettes henvendelsen til den dataansvarlige.
En databehandler er en ekstern person, virksomhed eller organisation, der behandler personoplysninger på vegne af en dataansvarlig. Databehandleren handler efter instrukser fra den dataansvarlige og har ikke selv bestemmelsesret over formålet eller midlerne for behandlingen. Databehandleren har et ansvar for, at behandlingen sker i overensstemmelse med GDPR og respekterer den registreredes rettigheder.
En databehandleraftale er en juridisk kontrakt mellem en dataansvarlig og en databehandler, der fastlægger vilkår og betingelser for behandling af personoplysninger. Aftalen er designet til at sikre, at begge parter forstår deres respektive roller og ansvar i forbindelse med behandling af personoplysninger og overholder gældende databeskyttelseslovgivning.
Databeskyttelsesloven er en dansk lov, der fungerer som et supplement til EU’s GDPR. Hvor GDPR sætter den overordnede ramme for databeskyttelse i EU, tilpasser og præciserer databeskyttelsesloven anvendelsen af GDPR til specifikke danske forhold. Databeskyttelsesloven modsiger således ikke GDPR, men fokuserer på at udfylde og detaljere områder, hvor der er behov for yderligere klarhed eller tilpasning til det danske marked
Dataetik fokuserer på ansvarlig og reflekteret indsamling, bearbejdning, og anvendelse af data. Ud over at bidrage til compliance med lovgivningen, indebærer dataetik en dyb respekt for individets data, anerkender deres værdi og sikrer deres beskyttelse. Dette princip bør ikke kun være en juridisk forpligtelse men integreres som en kerneværdi i virksomhedens kultur, fra ledelsen til hver enkelt medarbejder.
Dataminimering er et princip inden for GDPR, som indebærer, at personoplysninger kun må indsamles og behandles, når det er nødvendigt for et specifikt formål. I henhold til GDPR artikel 5(1)(c) skal data være relevante og begrænset til det, der er nødvendigt for at opnå formålet, og organisationer skal undgå at indsamle unødvendige oplysninger.
Data governance er en strategisk og operativ disiplin, der har til formål at kontrollere og styre organisationens dataressourcer. Målet er at maksimere værdien af data og sikre, at data anvendes effektivt og ansvarligt. Det omfatter den overordnede kontrol med tilgængelighed, brugbarhed, integritet og sikkerheden af de data, der anvendes i en organisation.
D-mærket er en frivillig mærkningsordning, der fremmer it-sikkerhed og ansvarlig dataanvendelse, baseret på anerkendte standarder og nyeste forskning. Skabt gennem et samarbejde mellem Industriens Fond, Dansk Industri, Dansk Erhverv, SMVdanmark, og Forbrugerrådet Tænk, tilbyder det virksomheder en måde at demonstrere og synliggøre deres digitale ansvarlighed over for forbrugere.
DORA, Digital Operational Resilience Act, er en EU-forordning, hvis intention er at styrke den digitale operationelle modstandsdygtighed inden for den finansielle sektor og udbydere af informations- og kommunikationsteknologi (IKT-tjenester).
Forordningen fokuserer på beskyttelse af finansielle sektors kritisk infrastruktur gennem krav om grundig leverandørstyring og regelmæssige trusselsbaserede evalueringer, som sikrer en forbedret beskyttelse af informationssystemerne.
Double materiality, eller dobbelt væsentlighed på dansk, er princippet om, at organisationer ikke kun påvirker miljøet og samfundet (Impact Materiality), men også at bæredygtighedsrisici kan økonomisk påvirke organisationen (Financial materiality).
Corporate Sustainability Reporting Directive (CSRD) kræver, at virksomheder integrerer double materiality-princippet i deres rapportering for at give et gennemsigtigt og pålideligt indblik i, hvordan deres aktiviteter påvirker miljøet og samfundet, samt hvilke bæredygtighedsrisici de står over for.
DPIA er kort for Data Protection Impact Assessment og et krav i forbindelse med EU’s persondataforordning. Det er en proces, der hjælper organisationer med at identificere og mitigere databeskyttelsesrisici, som kan påvirke et datasubjekts privatliv.
DPO er en forkortelse for det engelske Data Protection Officer, som vi på dansk kalder en databeskyttelsesrådgiver. Det er DPO’ens rolle at rådgive og før opsyn med at den dataansvarlige overholder reglerne i databeskyttelsesforordningen. Mens alle offentlige myndigheder er påkrævet at have en DPO, skal private virksomheder kun udpege en, hvis de opfylder specifikke betingelser relateret til behandlingen af persondata.
EBA – eller the European Banking Authority – er en EU-myndighed, der har til opgave at sikre ensartet regulering og tilsyn med banksektoren på tværs af EU’s medlemslande. Formålet er at fremme finansielt stabilitet og effektivitet.
EIOPA – eller 'the European Insurance and Occupational Pensions Authority' – er en EU-myndighed, hvis mission er at beskytte offentlighedens interesser ved at bidrage til den finansielle systems stabilitet og effektivitet for EU's økonomi, borgere og virksomheder. Dette gøres gennem reguleringer og tilsynspraksiser.
ESG, som står for Environmental (miljø), Social (samfund) og Governance (ledelse), repræsenterer en tilgang, hvor organisationer vurderer og forbedrer deres bæredygtighedsindsats på tværs af disse tre nøgleområder. Denne metode anvendes blandt andet i forbindelse med CSRD, og den gør det muligt for organisationer at kvantificere og kommunikere deres bæredygtige bidrag og påvirkning indenfor miljø, socialt ansvar og god virksomhedsledelse.
En ESG-rapport tilbyder en detaljeret og gennemsigtig oversigt over en organisations præstationer inden for miljømæssige, sociale og ledelsesmæssige aspekter. Den muliggør sammenligning og vurdering af bæredygtighedsinitiativer på tværs af virksomheder og sektorer. Gennem rapporten udstilles organisationens kerneværdier, kultur og strategi for bæredygtighed, hvilket giver interessenter indsigt i håndteringen af ESG-relaterede risici og muligheder.
ESRS, eller European Sustainability Reporting Standards, udviklet af EFRAG, sætter rammerne for, hvordan virksomheder skal rapportere om deres bæredygtighedsindsats. Disse omfatter 12 standarder inden for miljø, social ansvarlighed og god virksomhedsledelse, og inkluderer krav til at beskrive strategi, mål og værdikæder i forbindelse med de tværgående områder, samt definere væsentlighed.
Overordnet dækker de 12 ESRS’er over:
-
Generelle principper og overordnede oplysningskrav
-
Specifikke oplysningskrav med fokus på 10 ESG-emner
EU green deal er en række initiativer, der først skal muliggøre en reducering af den nuværende CO2-udledning med 55% frem mod 2030 (sammenlignet med 1990-niveauet) og senere klimaneutralitet. Formålet med den europæiske grønne pagt er at øge den effektive brug af ressourcer ved at gå over til en ren, cirkulær økonomi og stoppe klimaforandringerne, vende tabet af biodiversitet og reducere forureningen.
EU's taksonomi er en del af EU's klimastrategi med målet om at opnå klimaneutralitet senest i 2050. Det introducerer et ensartet klassifikationssystem, der definerer, hvilke økonomiske aktiviteter der betragtes som bæredygtige. Dette skaber en standardiseret tilgang til at definere bæredygtighed, hvilket gør det lettere for virksomheder at fremvise og kommunikere deres bæredygtighedsindsatser.
Financial Materiality refererer til de aspekter af organisationens aktiviteter, der har en betydelig indvirkning på de økonomiske resultater. Det kan omfatte en bred vifte af faktorer, fra operationelle og juridiske risici til miljømæssige og sociale konsekvenser
Finansielle kontroller er sikkerhedsinstanser, der er etableret for at sikre en effektiv, stærk og pålidelig finansiel rapportering, mens risikoen for væsentlige fejl mitigeres. De er relevante for både store og små virksomheder, og der er flere grunde til at have et effektivt kontrolmiljø og stærke arbejdsredskaber på området.
FN's Verdensmål består af 17 konkrete mål og 169 delmål. De forpligter FN's 193 medlemslande til at bekæmpe fattigdom og sult, mindske ulighed, sikre uddannelse, sundhed, anstændige jobs og bæredygtig vækst.
Formålet er at anerkende, at social, økonomisk og miljømæssig udvikling, fred, sikkerhed og internationalt samarbejde alt sammen hænger sammen.
En gap-analyse er en systematisk vurdering, der sammenligner en organisations nuværende situation med en ønsket fremtidig tilstand for at identificere forskelle mellem de to. Formålet er at afdække, hvor organisationen mangler ressourcer, processer og kompetencer for at nå sine mål, og hvilke tiltag der skal implementeres for at lukke hullerne.
I forbindelse med compliance kan en gap-analyse identificere forskelle mellem gældende krav og organisationens nuværende praksis. Den kan hjælpe med at vise, hvor der eksempelvis mangler kontroller eller aktiviteter. Samtidig giver den grundlag for at prioritere tiltag, så organisationen kan sikre compliance med lovgivning og interne regler.
GDPR står for General Data Protection Regulation - og er den europæiske persondataforordning. GDPR styrker individers rettigheder over deres personoplysninger og pålægger organisationer ansvar for sikker databehandling og -beskyttelse. Organisationer er forpligtede til at opfylde specifikke databeskyttelseskrav og demonstrere compliance ved at dokumentere, at deres interne procedurer og politikker er i overensstemmelse med GDPR's krav.
Governance, eller corporate governance, refererer til de regler, strukturer, processer og retningslinjer, der er fundamentale for en virksomheds drift og ledelse. Det omfatter principper for etik, risikostyring, compliance og effektiv administration med målet om at sikre ansvarlig beslutningstagning, ansvarlighed og gennemsigtighed på tværs af organisationen.
GRC står for Governance, Risk og Compliance og repræsenterer en holistisk tilgang til at lede og koordinere governance, risikohåndtering og overholdelse af regler inden for en organisation. Det handler om at sætte mål, lægge strategi samt træffe beslutinger (governance), vurdere potentielle risici (risk) og sikre overensstemmelse med lovgivningen (compliance), alt sammen med det formål at sikre organisationens integritet og fremme optimal drift.
GRC-modenhed (Governance, Risk og Compliance-modenhed) referer til en organisations evne til effektivt at håndtere og integrere styring, risikostyring og efterlevelse i sine processer. Det handler om, hvor godt en organisation har udviklet sine metoder og systemer for at sikre, at disse områder er struktureret, konsistente og i overensstemmelse med relevante regler og retningslinjer.
En GRC-strategi er en samlet og integreret strategi til Governance, Risk og Compliance i en organisation, der sikrer, at organisationen styrer sine beslutninger, håndterer risici og følger lovgivning og interne regler på en koordineret og effektiv måde.
Uden en samlet strategi arbejder de forskellige funktioner ofte isoleret og ineffektivt. GRC-strategien harmoniserer disse områder og giver et samlet overblik, så organisationen kan agere mere proaktivt og målrettet.
Hændelseshåndtering er en central disciplin inden for informationssikkerhed, risikostyring og compliance. Virksomheder kan bruge hændelseshåndtering som et strategisk redskab, så de kan reagere hurtigt og dokumentere, når uventede eller uønskede hændelser opstår.
IKT står for Informations- og kommunikationsteknologi og dækker over alle de teknologiske løsninger og tjenester, der gør det muligt at behandle, overføre og dele information digitalt. IKT-tjenester danner grundlaget for den digitale drift, og hvis de svigter kan det få alvorlige konsekvenser for forretningens funktion og sikkerhed.
Impact Materiality er en del af den bredere ESG-tilgang, der tager højde for organisationens påvirkning på en række områder, herunder klimaforandringer, menneskerettigheder, arbejdstagerrettigheder, korruption og mange flere.
Incident management er en kritisk proces, der indebærer en struktureret tilgang til at identificere, rapportere, vurdere, håndtere og lære af hændelser inden for en organisation. Denne proces inkluderer fastlæggelse af klare retningslinjer og politikker, der sikrer en hurtig og effektiv reaktion på hændelser for at minimere skader, nedetid og styrke sikkerhedsforanstaltningerne.
DORA informationsregister eller Register of Information er et lovpligtigt register over IKT-tredjepartsleverandører, som finansielle organisationer under DORA skal oprette og vedligeholde. Registeret dokumenterer kontraktuelle aftaler og viser, hvordan leverandørernes tjenester understøtter organisationens kritiske funktioner.
Formålet er at give både organisationen og myndighederne et klart overblik over afhængigheder og risici ved IKT-tredjepartsudbydere.
Informationssikkerhed handler om at beskytte information mod uautoriseret adgang, ændring eller sletning både tilsigtet og utilsigtet. Det omfatter værktøjer og processer inden for bl.a. fysisk sikkerhed, datakryptering, netværk, systemer, test og revision.
Formålet er at sikre fortrolighed, integritet og tilgængelighed af information.
Interne kontroller indføres for at sikre effektiv drift, pålidelig rapportering, compliance og beskyttelse af aktiver. Formålet er at styre risici, forebygge fejl samt skabe tillid til organisationens aktiviteter.
Kontroller kan opdeles i forskellige typer:
-
Forebyggende kontroller: adgangsstyring, funktionsadskillelse og autorisationer, som forhindrer fejl eller misbrug, inden de opstår.
-
Opdagende kontroller: afstemninger, loggennemgange eller manuelle reviews, som identificerer fejl eller uregelmæssigheder, efter de er sket.
-
Automatiserede kontroller: øger driftssikkerheden og reducerer risikoen for menneskelige fejl.
-
Manuelle kontroller: giver fleksibilitet og mulighed for nuancerede vurderinger, men ofte kræver flere ressourcer.
En ISAE 3000-erklæring er en revisorerklæring, der dokumenterer, at en organisation har implementeret de nødvendige procedurer og kontroller for at overholde databeskyttelsesforordningen og dens krav til sikkerhedsforanstaltninger.
ISAE 3402 er en international standard, der anvendes i forbindelse med revision af it-forholdene hos en given organisation. Erklæringen fungerer som dokumentation for, at organisationen at lever op til alle gældende lovkrav inden for it-sikkerhed og generelt udviser god it-skik.
ISMS, eller Information Security Management System, er en struktureret tilgang til håndtering af informationssikkerhed, der integrerer processer, teknologi og personale for at beskytte organisationens informationer gennem effektiv risikostyring.
ISO 27001 kan med fordel anvendes som udgangspunkt for arbejdet med informationssikkerhed Selvom standarden ikke foreskriver specifikke sikkerhedsforanstaltninger, tilbyder den en ramme af bedste praksisser for at sikre data både internt og eksternt
ISO 14001 er en international standard, der hjælper organisationer med at etablere og forbedre deres miljøledelse. Formålet er at reducere miljøpåvirkninger og sikre overholdelse af lovgivningen.
Standarden hjælper med at identificere miljømæssige risici og muligheder samt sikre compliance med relevante miljølovgivninger.
ISO 27001 er en international standard, der udgør grundlaget for et effektivt ledelsessystem til informationssikkerhed. Standarden fokuserer på best practices og retningslinjer til håndtering af informationssikkerhed både internt og eksternt.
Formålet med ISO 27001 er at beskytte fortrolighed, integritet og tilgængelighed af organisationens information.
ISO 27002 er en international standard, der giver vejledning i informationssikkerhedskontroller og bedste praksis til at beskytte organisationers informationer.
Standarden indeholder 93 anbefalede foranstaltninger inden for politikker, processer, procedurer, organisationsstruktur og tekniske løsninger inden for organisatorisk, adfærdsmæssig, fysisk og teknologisk sikkerhed.
ISO 27002 understøtter implementeringen af ISO 27001 ved at tilbyde en detaljeret vejledning til, hvordan man kan udvælge og implementere passende informationssikkerhedsforanstaltninger. ISO 27001 definerer altså rammerne og kravene til et informationssikkerhedsledelsessystem, men ISO 27002 fungerer som en praktisk værktøjskasse, der hjælper organisationer med at omsætte kravene til konkrete handlinger og kontroller.
ISO 27701 – standarden for privatlivsbeskyttelse – er en udvidelse af ISO 27001 Ved at introducere specifikke arbejdsgange og foranstaltninger, der styrker privatlivsbeskyttelsen inden for en organisation. Med fokus på aspekter som dataklassificering, adgangskontrol, risikovurdering og incidenthåndtering, fungerer ISO 27701 som et praktisk værktøj til at fremme overholdelse af GDPR.
ISO 14001 er en international standard, der hjælper organisationer med at etablere og forbedre deres miljøledelsessystem. Formålet er at reducere miljøpåvirkninger og sikre overholdelse af lovgivningen.
ISO 14001 hjælper med at identificere miljømæssige risici og muligheder samt sikrer compliance med relevante miljølovgivninger. Med ISO 14001 er det også muligt at fastlægge klare miljømål og udvikle strategier for at opnå disse.
ISO 45001 er en international standard for arbejdsmiljøledelse, der hjælper virksomheder med at forebygge arbejdsulykker og sygdomme. Den skaber et struktureret grundlag for at reducere risici, forbedre medarbejdernes trivsel og øge sikkerheden på arbejdspladsen.
En IT-sikkerhedspolitik er fundamentet for organisationens samlede sikkerhedsarbejde. Den fastlægger klare retningslinjer, procedurer og sikkerhedsforanstaltninger, der beskytter organisationens aktiver og informationer.
IT-sikkerhedspolitikken omfatter både teknologi, adfærd og organisatoriske tiltag samt definerer ansvar, så alle medarbejdere er engagerede i at nå organisationens IT-sikkerhedsmål.
ISO-standarder er international standarder, som tilbyder organisationer en praktisk ramme inden for diverse områder, herunder økonomi, det sociale og miljøet. At implementere en ISO-standard i en organisation betyder at standardisere processer og procedurer, hvilket sikrer ensartethed og kvalitet i udførelsen af opgaver.
Leverandørstyring handler om at evaluere, administrere og overvåge organisationens forhold til eksterne leverandører for at sikre, at deres ydelser og produkter overholder de fastsatte standarder for kvalitet og sikkerhed. Det omfatter alt fra indledende due diligence og udvælgelse af leverandører til løbende evaluering og risikostyring af forretningsrelationerne.
LIA står for Legitimate Interests Assessment. En LIA udføres for at dokumentere den afvejning, man som organisation er forpligtet til at foretage, når man ønsker at behandle persondata på baggrund af interesseafvejningsreglen.
Loven om styrket beredskab er implementeringen af NIS2- og CER-direktivet i dansk lovgivning. Implementeringen omfatter energisektoren og indebærer skærpede krav til cybersikkerhed, fysisk sikring, risikovurdering, hændelseshåndtering og beredskabsplanlægning for elnetsoperatører, varmeforsyninger og gasdistributører. Målet er at sikre forsyningssikkerheden og beskytte mod øgede cyber- og fysiske trusler i denne kritiske sektor.
NFRD er forkortelsen for Non-Financial Reporting Directive, og var et EU-direktiv, der krævede, at større EU-virksomheder med over 500 ansatte - inklusive børsnoterede virksomheder, forsikringsselskaber og banker - offentliggjorde ikke-finansiel og mangfoldighedsinformation relateret til ESG (miljø, social ansvarlighed og god virksomhedsledelse).
NFRD er sidenhen blevet erstattet af CSRD (Corporate Sustainability Reporting Directive), som ændrer og skærper de nuværende krav til virksomheders bæredygtighedsrapportering.
NIS2 er en opdateret version af det oprindelige NIS-direktiv (også kaldet Net- og Informationssikkerhedsdirektivet). Med fokus på at forbedre cybersikkerheden og beskytte vitale infrastrukturer og tjenester, udvider NIS2 anvendelsesområdet til at inkludere et bredere spektrum af sektorer og virksomheder.
NIS2 pålægger både offentlige myndigheder og private virksomheder at implementere tekniske, operationelle og organisatoriske sikkerhedsforanstaltninger for at sikre en effektiv håndtering af de risici, der truer deres informationssystemer og netværk.
NSIS står for National Standard for Identiteters Sikringsniveauer. NSIS er den danske implementering af den europæiske eIDAS-forordning, der er designet til at sikre, at borgere i EU kan tilgå offentlige systemer på tværs af landene. NSIS spiller en væsentlig rolle for identitetsløsninger som MitID, MitID Erhverv og NemLog-in samt for en række decentrale løsninger.
Omnibus er en EU-lovgivningspakke fra 2025, der samler og justerer eksisterende bæredygtighedsregler som CSRD, CSDDD, Taksonomiforordningen og ESRS. Formålet er at gøre kravene mere praktiske og reducere administrative byrder, især for mindre virksomheder. Pakken ændrer ikke EU’s overordnede bæredygtighedsmål, men forenkler rapportering, due diligence og tekniske standarder, så virksomheder lettere kan efterleve reglerne.
Lovgivningspakken sigter mod at:
-
Forenkle og harmonisere kravene i eksisterende bæredygtighedsregler
-
Udskyde rapporteringspligt for visse virksomhedstyper
-
Reducere dobbeltarbejde i dataindsamling og rapportering
-
Gøre tekniske standarder mere anvendelige i praksis
-
Samordne krav på tværs af CSRD, CSDDD og Taksonomiforordningen
Policy management er processen med at udvikle, opretholde og sikre overholdelse af politikker i organisationen. Hensigten er at sørge for, at organisationens handlinger følger dens værdier, mål, lovkrav og branchestandarder.
Privacy by design, eller indbygget databeskyttelse på dansk, er en tilgang, hvor beskyttelse af personoplysninger tænkes ind fra starten i systemer, processer og politikker. Målet er at gøre databeskyttelse til en integreret del af organisationens kultur og drift. Det betyder, at organisationer allerede fra starten af skal tage højde for, hvordan persondata behandles, opbevares og beskyttes.
Privacy by design er i dag et centralt krav i GDPR og forpligter organisationer til at beskytte persondata proaktivt og struktureret.
QMS, eller Quality Management System, er et struktureret system af procedurer og processer, der er designet til at forbedre effektiviteten og kvaliteten af en organisations produkter, tjenester og drift.
Risikoappetit beskriver den mængde risiko, en organisation er villig til at acceptere for at nå sine mål. Begrebet anvendes i forbindelse med risikostyring til at definere rammer for beslutningstagning, risikohåndtering og kontrolaktiviteter, så organisationen kan balancere muligheder og risici på en struktureret måde.
En risikovurdering en proces, hvor organisationer kan identificere, analysere og vurdere risici forbundet med deres virke eller en given aktivitet. Formålet ved at kigge på risici forbundet med en organisations aktivitet er at evaluere risikoen for at uønskede hændelser sker og identificere, hvad konsekvenserne vil være i tilfælde af, at organisationen ikke kan undgå den.
Risk management handler om at opdage risici, evaluere deres potentiale og bestemme, hvordan de bedst håndteres af organisationen. Dette udstyrer organisationen med strategier for at afveje risikotagning mod risikoreduktion, med det overordnede mål at forebygge eller minimere potentielle hændelser, der kunne mindske indtægter, føre til konkurs, eller skade organisationens omdømme.
Security by Design handler om at indtænke sikkerhed fra starten som en integreret del af systemdesign, arbejdsgange og beslutninger. Det gælder alt fra udvikling af it-systemer til styring af adgang og risikovurderinger.
SFDR står for Sustainable Finance Disclosure Regulation og er en EU-forordningen, som indeholder konkrete anvisninger vedrørende finansielle markedsdeltageres og finansielle rådgiveres oplysningsforpligtelser i forbindelse med integrering af miljømæssige, sociale og ledelsesmæssige forhold (ESG).
Oplysningskravene skal hjælpe investorer med at gennemskue, hvordan finansielle institutioner arbejder med bæredygtighed for at sikre et stærkere beslutningsgrundlag forud for investering.
EU's Sustainable Finance Package (SFP) er en pakke af foranstaltninger rettet mod understøtte bæredygtig finansiering og investeringer i Europa. SFP er en integreret del af EU's strategi for at opnå sine klimamål, og skal ses som skridt i retning af omdannelse af den finansielle sektor til en central drivkraft for vækst i bæredygtig økonomi i EU.
En slettepolitik er et sæt af retningslinjer og procedurer, der skal følges, hver gang personoplysninger indhentes. Allerede når personoplysningerne bliver gjort tilgængelige, bør organisationen have en plan for, hvornår de skal slettes igen, samt hvordan det bliver gjort og bekræftet i systemet.
SoA betyder "Statement of Applicability" og er en integreret og afgørende del af ISO 27001-standarden for informationssikkerhed. SoA-dokumentet udgør en obligatorisk liste over kontrolforanstaltninger, der er specificeret i standarden. SoA fungerer som en forbindelse risikovurderingen med risikohåndteringen ved at dokumentere organisationens aktive informationssikkerhedsniveau samt til- og fravalg den har taget i processen.
TIA står for Transfer Impact Assessment. I praksis er det en vurdering, der skal foretages af parterne til en overførsel af persondata fra et land indenfor EU/EØS til et land udenfor EU/EØS. Parterne kaldes dataimportør og dataeksportør.
Third Party Risk Management (TPRM) er en integreret del af organisationens overordnede risikostyringsstrategi og bidrager til forsyningskædesikkerhed. Denne proces fokuserer på at identificere, vurdere og styre de risici, der er forbundet med at indgå i forretningsrelationer med tredjeparter såsom leverandører, distributører, underleverandører, serviceudbydere og partnere.
VSME står for "Voluntary Sustainability Reporting Standard for SMEs" og er en frivillig standard for bæredygtighedsrapportering, som er særligt udviklet til små og mellemstore virksomheder. Den er udviklet af EFRAG med henblik på at hjælpe med virksomheder med at dokumentere sine bæredygtighedstiltag, forbedre ESG-præstationer og tilpasse sig fremtidige reguleringer. VSME tilbyder et struktureret, men fleksibelt rammeværk, som letter rapporteringen uden at at skabe urimelig administrativ byrde.
Åbenhedsloven eller Åpenhetsloven er lov i Norge giver forbrugerne ret til at anmode om dokumentation for, at menneskerettighederne og arbejdsvilkårene for alle lønmodtagere i produktionskæden er respekteret og opretholdt. Denne norske lov forpligter virksomheder til redegøre for de forhold, der ligger til grund for produktionen af de varer, som forbrugerne køber.