Ordbok för GRC-begrepp

ABC står för Anti-Bribery and Corruption, vilket på svenska översätts till anti-mutor och korruption. Begreppet syftar på de policyer, procedurer och åtgärder som en organisation implementerar för att förebygga, upptäcka och hantera mutor och korrupta handlingar. Dessa insatser kan vara förankrade i olika lagstiftningar – både internationella och nationella – som syftar till att främja etiska affärsmetoder och säkerställa att organisationer agerar med integritet

AML står för Anti-Money Laundering, vilket på svenska översätts till anti-penningtvätt. Det beskriver processen för att förhindra, identifiera och rapportera misstänkta finansiella transaktioner som kan tyda på penningtvätt. Dessa insatser är förankrade i olika lagstiftningar – både internationella och nationella – som syftar till att förhindra att kriminella utnyttjar det finansiella systemet för att tvätta pengar eller finansiera terrorism.

Artikel 13 är en del av EU:s dataskyddsförordning (GDPR) och specificerar vilken information den personuppgiftsansvarige måste ge när personuppgifter samlas in direkt från den registrerade. Detta inkluderar bland annat:

• Den personuppgiftsansvariges identitet och kontaktuppgifter

• Ändamålet med behandlingen och den rättsliga grunden

• Mottagare och eventuella ytterligare ändamål

• Lagringstid

• Den registrerades rättigheter och möjligheter att klaga

Informationen måste aktivt ges till den registrerade och får inte enbart finnas tillgänglig på en webbplats. Om personuppgifter senare används för ett nytt ändamål måste den registrerade informeras innan behandlingen börjar.

LÄS MER OM ARTIKEL 13 → 

Artikel 15 är en del av EU:s dataskyddsförordning (GDPR) och fokuserar på den registrerades rätt att få insyn i sina egna personuppgifter. Rätten till insyn innebär att den registrerade kan begära att få se de personuppgifter som en organisation behandlar om dem, samt få information om själva databehandlingsaktiviteterna. Syftet med Artikel 15 är att skapa transparens i databehandlingen och säkerställa större datakontroll för den registrerade.

Artikel 16 är en del av EU:s dataskyddsförordning (GDPR) och ger den registrerade rätt att få personuppgifter rättade. Det innebär att en individ kan få felaktig information korrigerad och ofullständig information kompletterad av den personuppgiftsansvarige. Organisationen måste hantera begäran snabbt och effektivt, och om informationen redan har delats med tredje part måste dessa informeras om rättelsen, såvida detta inte är omöjligt eller kräver oproportionerligt stora resurser.

Artikel 17 är en del av EU:s dataskyddsförordning (GDPR) och ger den registrerade rätt att få sina personuppgifter raderade under vissa omständigheter. Detta gäller bland annat om uppgifterna inte längre behövs, om samtycke återkallas, om behandlingen är olaglig, eller om det finns en rättslig skyldighet att radera uppgifterna.

Organisationen måste agera utan onödigt dröjsmål, verifiera den registrerades identitet, informera eventuella tredje parter och ta hänsyn till undantag som yttrandefrihet, allmänintresse eller rättsliga anspråk.

Artikel 18 är en del av EU:s dataskyddsförordning (GDPR) och ger den registrerade rätt att begränsa behandlingen av sina personuppgifter så att de inte används för ett visst ändamål. Denna rätt gäller i följande situationer:

• Det råder tveksamhet om informationen är korrekt.

• Behandlingen är olaglig, men den registrerade vill inte att uppgifterna raderas.

• Organisationen behöver inte längre uppgifterna, men den registrerade behöver dem för ett rättsligt anspråk.

• Den registrerade har invänt, och invändningen är ännu inte avgjord.

Artikel 19 är en del av EU:s dataskyddsförordning (GDPR) och kräver att den personuppgiftsansvarige informerar alla mottagare av personuppgifter när dessa rättas, raderas eller när behandlingen begränsas, såvida detta inte är omöjligt eller kräver oproportionerlig insats. Den registrerade kan begära information om vilka som har informerats.

Syftet är att säkerställa att alla mottagare av personuppgifter uppdateras med förändringar, vilket främjar transparens och korrekt behandling. Organisationer måste kunna identifiera mottagare, meddela dem på ett effektivt sätt och dokumentera processen för att uppfylla kraven.

Artikel 20 är en del av EU:s dataskyddsförordning (GDPR) och handlar om den registrerades rätt till dataportabilitet. Rätten innebär att den registrerade har rätt att ta emot en kopia av de personuppgifter som denne själv har lämnat till organisationen. Uppgifterna ska tillhandahållas i ett vanligt förekommande och maskinläsbart format.

Samtidigt ger artikel 20 den registrerade möjlighet att begära att dessa uppgifter överförs direkt till en annan personuppgiftsansvarig utan hinder – förutsatt att det är tekniskt möjligt.

Artikel 21 är en del av EU:s dataskyddsförordning (GDPR) och ger den registrerade rätt att invända mot behandlingen av sina personuppgifter under vissa omständigheter. Den registrerade kan invända mot behandling som baseras på berättigat intresse eller allmänt intresse, mot profilering, samt mot direktmarknadsföring (där rätten är absolut). När en invändning görs måste den personuppgiftsansvarige bedöma om behandlingen kan fortsätta baserat på tvingande berättigade skäl som väger tyngre än den registrerades intressen. Samtidigt måste den registrerade tydligt informeras om rätten att invända redan vid första kommunikationen.

Artikel 22 är en del av EU:s dataskyddsförordning (GDPR) och syftar till att skydda individer mot automatiserade beslut som har rättsliga eller på annat sätt betydande effekter, utan mänsklig inblandning.

Artikel 30 är en del av EU:s dataskyddsförordning (GDPR) och bygger vidare på förordningens fokus på ansvarighet. Artikeln fastställer kravet att den personuppgiftsansvarige ska upprätta ett register över organisationens behandlingsverksamhet. Samtidigt ska en personuppgiftsbiträde upprätta en förteckning över de behandlingsaktiviteter som de utför på uppdrag av en personuppgiftsansvarig.

Artikel 32 är en del av EU:s dataskyddsförordning (GDPR) och fokuserar på säkerheten vid behandlingen av personuppgifter både hos personuppgiftsansvariga och personuppgiftsbiträden. Den ålägger organisationer att implementera tekniska och organisatoriska säkerhetsåtgärder som är anpassade efter risken vid databehandlingen.

Samtidigt specificerar artikeln att personuppgifter endast får behandlas av behörig personal enligt instruktioner från den personuppgiftsansvarige, personuppgiftsbiträdet eller i enlighet med nationell eller EU-lagstiftning. Syftet är att säkerställa en hög nivå av säkerhet och skydd för personuppgifter.

Bilaga A är en integrerad del av ISO 27001-standarden och listar en rad klassificerade säkerhetskontroller som organisationer ska använda för att visa efterlevnad av standarden. Bilaga A innehåller 93 kontroller fördelade på fyra kategorier:

• Organisatoriska
• Mänskliga
• Fysiska
• Teknologiska

Utifrån dessa kontroller upprättas Statement of Applicability (SoA), som noggrant dokumenterar hur varje kontroll används, anpassas eller utesluts. Bilaga A och SoA är därför nära sammanlänkade.

LÄS MER OM BILAGA A →

CER står för Critical Entities Resilience och är ett EU-direktiv som syftar till att stärka motståndskraften hos kritiska samhällsfunktioner i Europa. Direktivet fokuserar på att säkerställa att berörda aktörer dokumenterar och upprätthåller en hög nivå av fysisk motståndskraft och organisatorisk beredskap.

CIS18, eller Centre for Internet Security's 18 Controls, är ett ramverk med 18 säkerhetskontroller som syftar till att förbättra cybersäkerheten för organisationer globalt. Kontrollerna ger vägledning för att identifiera, prioritera och implementera säkerhetsåtgärder för att skydda data och system mot cyberhot.

LÄS MER OM CIS18→

Compliance excellence är en organisations förmåga att konsekvent följa lagar och regler. Det förenar riskhantering och efterlevnad i en enda strategi, vilket gör det enklare att navigera i komplexa regelverk som NIS2 och DORA genom ett flexibelt och skalbart angreppssätt.

Målet är att skapa en kultur där efterlevnad inte är en börda utan en integrerad del av verksamheten. Det handlar om att bygga förtroende, minska risker och stärka motståndskraft. Compliance excellence bygger på proaktiva processer, automation, kontinuerlig övervakning och tydligt ansvar, vilket gör att organisationen snabbt kan anpassa sig till nya krav och förändringar i risklandskapet.

COSO är ett internationellt erkänt ramverk som har utvecklats för att skapa en strukturerad metod för att bedöma och förbättra intern kontroll och riskhantering inom organisationer.

Ramverket etablerades av Committee of Sponsoring Organizations (COSO) och är strukturerat kring fem nyckelkomponenter: kontrollmiljö, riskbedömning, kontrollaktiviteter, information och kommunikation samt övervakning.

LÄS MER OM COSO→

CSDDD är en förkortning för Corporate Sustainability Due Diligence Directive, och det är ett direktiv från EU som ställer krav på organisationer att genomföra due diligence inom områdena miljö och mänskliga rättigheter.

I praktiken innebär detta att organisationer som omfattas av direktivet måste genomföra due diligence-processer relaterade till sina aktiviteter och värdekedjor för att identifiera, förebygga och mildra negativa effekter på mänskliga rättigheter och miljö. Direktivet syftar till att tvinga vissa företag att ta ansvar för sin påverkan på omvärlden genom verkliga lagkrav snarare än genom rekommendationer.

LÄS MER OM CSDDD →

CSR, som står för Corporate Social Responsibility, beskriver organisationers insatser för att integrera sociala och miljömässiga hänsyn i deras dagliga verksamhet. Genom en väl definierad CSR-strategi sätter en organisation mål och vidtar åtgärder som positivt bidrar till samhället och miljön. Denna strategi är inte bara avgörande för att uppnå hållbarhetsmål, utan spelar också en viktig roll i att förbättra företagets rykte och långsiktiga framgång.

CSRD står för Corporate Sustainability Reporting Directive och är ett EU-direktiv som ställer ett antal krav på företags hållbarhetsrapportering. Målet med direktivet är att standardisera rapporteringsprocesserna och förbättra transparensen inom hållbarhet över hela Europa. Detta kommer att göra det lättare för investerare, leverantörer och kunder att förstå och bedöma en organisations hållbarhetsarbete.

LÄS MER OM CSRD→

Cybersäker motståndskraft (Cyber resilience) handlar om en organisations förmåga att stå emot, absorbera, anpassa sig till och snabbt återhämta sig från säkerhetsincidenter, oavsett om de orsakas av cyberattacker, tekniska fel eller mänskliga misstag.

Det är en strategisk disciplin som knyter samman IT-säkerhet, riskhantering och verksamhet, med målet att skydda drift, kundförtroende och organisationens rykte.

Dataetik fokuserar på ansvarsfull och reflekterad insamling, bearbetning och användning av data. Utöver att bidra till efterlevnad av lagstiftningen innebär dataetik ett djupt respekt för individens data, erkänner deras värde och säkerställer deras skydd. Denna princip bör inte bara vara en juridisk förpliktelse utan integreras som ett kärnvärde i företagets kultur, från ledningen till varje enskild medarbetare.

Dataskyddsförordningen (GDPR) är en EU-förordning som reglerar hur personuppgifter ska hanteras för att skydda individers rättigheter och friheter. Den trädde i kraft den 25 maj 2018 och gäller för alla organisationer som behandlar personuppgifter inom EU, samt för organisationer utanför EU som erbjuder varor eller tjänster till EU-medborgare. GDPR ställer krav på transparens, samtycke, säkerhet och rätt till åtkomst, samt ger individer rätt att få sina uppgifter rättade eller raderade.

LÄS MER OM DATASKYDDSFÖRORDNINGEN→

DORA, Digital Operational Resilience Act, är en EU-förordning vars syfte är att stärka den digitala operativa motståndskraften inom den finansiella sektorn och leverantörer av informations- och kommunikationsteknologi (IKT-tjänster).

Förordningen fokuserar på skyddet av den finansiella sektorns kritiska infrastruktur genom krav på noggrant leverantörshantering och regelbundna hotbaserade utvärderingar, som säkerställer ett förbättrat skydd av informationssystemen.

LÄS MER OM DORA →

Double materiality, eller dubbelt väsentlighet på svenska, är principen om att organisationer inte bara påverkar miljön och samhället (Impact Materiality), utan också att hållbarhetsrisker kan ekonomiskt påverka organisationen (financial materiality).

Corporate Sustainability Reporting Directive (CSRD) kräver att företag integrerar principen om dubbel väsentlighet i sin rapportering för att ge en transparent och pålitlig inblick i hur deras aktiviteter påverkar miljön och samhället, samt vilka hållbarhetsrisker de står inför.

DPIA står för Data Protection Impact Assessment och är ett krav i samband med EU:s dataskyddsförordning (GDPR). Det är en process som hjälper organisationer att identifiera och minska dataskyddsrisker som kan påverka en registrerad individs privatliv.

LÄS MER OM DPIA →

DPO är en förkortning för det engelska Data Protection Officer, vilket på svenska kallas dataskyddsombud. Det är dataskyddsombudets roll att ge rådgivning och övervaka att den personuppgiftsansvarige följer reglerna i dataskyddsförordningen (GDPR). Medan alla offentliga myndigheter är skyldiga att ha ett dataskyddsombud, måste privata företag endast utse ett om de uppfyller specifika villkor relaterade till behandlingen av personuppgifter.

EBA – eller Europeiska bankmyndigheten – är en EU-myndighet som har till uppgift att säkerställa en enhetlig reglering och tillsyn av banksektorn i EU:s medlemsländer. Syftet är att främja finansiell stabilitet och effektivitet.

Efterlevnad heter"compliance" på engelska och kan beskrivas som processen att uppfylla gällande lagstiftning, standarder och krav för organisationen – exempelvis branschspecifika standarder, GDPR och etiska normer.

Syftet med efterlevnad är att säkerställa att organisationen förhindrar överträdelser av dessa regler, vilket stödjer högre kvalitetsstandarder, skapar förtroende hos intressenter och ökar transparensen i organisationens verksamhet. Efterlevnad är en dynamisk process som kräver kontinuerlig uppmärksamhet och anpassning till nya regler eller förändrade affärsförhållanden.

LÄS MER OM EFTERLEVNAD →

Efterlevnadskultur handlar om att integrera efterlevnad i organisationens kärna så att det blir en naturlig del av den dagliga verksamheten. Det handlar inte bara om processer utan om att skapa ett gemensamt mindset där alla agerar ansvarsfullt och etiskt, oavsett situation.

När efterlevnad blir en del av kulturen stärks organisationens förmåga att minimera risker och säkerställa hållbar och effektiv efterlevnad av lagar och standarder. En stark compliance-kultur utgör grunden för fullständig efterlevnad.

EIOPA – eller Europeiska försäkrings- och tjänstepensionsmyndigheten – är en EU-myndighet vars uppdrag är att skydda allmänhetens intressen genom att bidra till det finansiella systemets stabilitet och effektivitet för EU:s ekonomi, medborgare och företag. Detta sker genom reglering och tillsynspraxis.

ESG, som står för Environmental (miljö), Social (samhälle) och Governance (styrning), representerar ett tillvägagångssätt där organisationer utvärderar och förbättrar sina hållbarhetsinsatser inom dessa tre nyckelområden. Denna metod används bland annat i samband med CSRD och gör det möjligt för organisationer att kvantifiera och kommunicera sitt hållbara bidrag och sin påverkan inom miljö, socialt ansvar och god bolagsstyrning.

LÄS MER OM ESG →

En ESG-rapport erbjuder en detaljerad och transparent översikt över en organisations prestationer inom miljömässiga, sociala och styrningsrelaterade aspekter. Den möjliggör jämförelse och utvärdering av hållbarhetsinitiativ mellan företag och sektorer. Genom rapporten presenteras organisationens kärnvärden, kultur och strategi för hållbarhet, vilket ger intressenter insikt i hanteringen av ESG-relaterade risker och möjligheter.

LÄS MER OM ESG-RAPPORTERING→

ESRS, eller European Sustainability Reporting Standards, utvecklade av EFRAG, fastställer ramarna för hur företag ska rapportera om sina hållbarhetsinsatser. Dessa omfattar 12 standarder inom miljö, socialt ansvar och god bolagsstyrning och inkluderar krav på att beskriva strategi, mål och värdekedjor i samband med de tvärgående områdena samt att definiera väsentlighet.

Övergripande omfattar de 12 ESRS-standarderna:

• Generella principer och övergripande rapporteringskrav

• Specifika rapporteringskrav med fokus på 10 ESG-områden

LÄS MER OM ESRS →

EU:s AI-förordning (AI Act) är en reglering som syftar till att säkerställa att artificiell intelligens utvecklas och används på ett säkert, etiskt sätt och med respekt för individers rättigheter. Regleringen bygger på ett riskbaserat angreppssätt. AI-förordningen gäller för alla som utvecklar, tillhandahåller eller använder AI inom EU och trädde i kraft i juli 2024, med gradvis implementering fram till 2026. Organisationer måste kartlägga sina AI-system, dokumentera efterlevnad, informera användare och övervaka sina leverantörer.

LÄS OM EU:S AI ACT →

EU Green Deal är en rad initiativ som syftar till att först möjliggöra en minskning av de nuvarande koldioxidutsläppen med 55 % till 2030 (jämfört med 1990 års nivå) och senare uppnå klimatneutralitet. Syftet med den europeiska gröna given är att öka den effektiva användningen av resurser genom att övergå till en ren, cirkulär ekonomi samt att stoppa klimatförändringarna, vända förlusten av biologisk mångfald och minska föroreningar.

LÄS OM EU GREEN DEAL →

EU:s taxonomi är en del av EU:s klimatstrategi med målet att uppnå klimatneutralitet senast 2050. Den introducerar ett enhetligt klassificeringssystem som definierar vilka ekonomiska aktiviteter som anses vara hållbara. Detta skapar ett standardiserat tillvägagångssätt för att definiera hållbarhet, vilket underlättar för företag att visa och kommunicera sina hållbarhetsinsatser.

LÄS OM EU:S TAKSONOMI →

Finansiell väsentlighet (Financial Materiality) refererar till de aspekter av en organisations verksamhet som har en betydande påverkan på de ekonomiska resultaten. Det kan omfatta en bred uppsättning faktorer, från operativa och juridiska risker till miljömässiga och sociala konsekvenser.

LÄS OM FINANCIAL MATERIALITY →

Finansiella kontroller är säkerhetsmekanismer som upprättas för att säkerställa en effektiv, stark och pålitlig finansiell rapportering, samtidigt som risken för väsentliga fel minimeras. De är relevanta för både stora och små företag, och det finns flera skäl att ha en effektiv kontrollmiljö och starka arbetsverktyg inom området.

FN:s globala mål för hållbar utveckling består av 17 mål och 169 delmål. De åtar sig de 193 medlemsländerna att bekämpa fattigdom och hunger, minska ojämlikhet, säkerställa utbildning, hälsa, anständiga jobb och hållbar tillväxt.

Syftet är att erkänna att social, ekonomisk och miljömässig utveckling, fred, säkerhet och internationellt samarbete alla är sammanlänkade.

LÄS OM FN:S GLOBALA MÅL  →
 

Gap-analys är en systematisk bedömning som jämför en organisations nuvarande tillstånd med ett önskat framtida tillstånd för att identifiera skillnaderna mellan de två. Syftet är att visa var organisationen saknar resurser, processer och kompetenser för att nå sina mål, samt vilka åtgärder som behöver genomföras för att täppa till luckorna.

Inom compliance kan en gap-analys identifiera skillnader mellan tillämpliga krav och organisationens nuvarande praxis. Den kan hjälpa till att lyfta fram områden där kontroller eller aktiviteter saknas, och samtidigt ge underlag för att prioritera åtgärder så att organisationen kan säkerställa efterlevnad av lagar och interna regler.

GDPR står för General Data Protection Regulation och är den europeiska dataskyddsförordningen. GDPR stärker individers rättigheter över deras personuppgifter och ålägger organisationer ansvar för säker databehandling och dataskydd. Organisationer är skyldiga att uppfylla specifika dataskyddskrav och demonstrera efterlevnad genom att dokumentera att deras interna rutiner och policyer överensstämmer med GDPR:s krav.

LÄS MER OM GDPR →

GRC står för Governance, Risk och Compliance och representerar ett holistiskt tillvägagångssätt för att leda och koordinera styrning, riskhantering och regelefterlevnad inom en organisation. Det handlar om att sätta mål, lägga strategi och fatta beslut (styrning), bedöma potentiella risker (risk) och säkerställa efterlevnad av lagstiftning (compliance), allt för att säkerställa organisationens integritet och främja optimal drift.

LÄS MER OM GRC →

GRC-mognad (Governance, Risk, and Compliance-mognad) refererar till en organisations förmåga att effektivt hantera och integrera styrning, riskhantering och efterlevnad gemensamt i sina processer. Det handlar om hur väl en organisation har utvecklat sina metoder och system för att säkerställa att dessa områden är strukturerade, konsekventa och följer relevanta regler och riktlinjer.

LÄS MER OM GRC-MOGNAD →

En GRC-strategi är ett enhetligt och integrerat angreppssätt för Governance, Risk och Compliance i en organisation. Det säkerställer att organisationen styr sina beslut, hanterar risker och följer lagar och interna regler på ett koordinerat och effektivt sätt.

Utan en enhetlig strategi fungerar dessa funktioner ofta isolerat och ineffektivt. GRC-strategin harmoniserar dessa områden och ger en övergripande bild, vilket möjliggör proaktivt och målinriktat agerande.

Incidenthantering är en kritisk process som innebär ett strukturerat tillvägagångssätt för att identifiera, rapportera, bedöma, hantera och lära sig av händelser inom en organisation. Denna process inkluderar att fastställa tydliga riktlinjer och policyer som säkerställer ett snabbt och effektivt svar på händelser för att minimera skador, driftstopp och stärka säkerhetsåtgärderna.

LÄS OM INCIDENTHANTERING→

DORA:s informationsregister är ett obligatoriskt register över ICT-tjänsteleverantörer som finansiella organisationer enligt DORA måste upprätta och underhålla. Registret dokumenterar avtal och visar hur leverantörers tjänster stödjer organisationens kritiska funktioner.

Syftet är att ge både organisationen och tillsynsmyndigheter en tydlig överblick över beroenden och risker relaterade till ICT-leverantörer.

LÄS OM INFROMATIONSREGISTER→

Informationssäkerhet handlar om att skydda information från obehörig åtkomst, förändring eller radering, oavsett om det är avsiktligt eller oavsiktligt. Det innefattar verktyg och processer för fysisk säkerhet, datakryptering, nätverk, system, testning och revision.

Målet är att säkerställa informationens konfidentialitet, integritet och tillgänglighet.

LÄS OM INFORMATIONSSÄKERHET→

Interna kontroller implementeras för att säkerställa effektiva verksamheter, tillförlitlig rapportering, efterlevnad och skydd av tillgångar. Syftet är att hantera risker, förebygga fel och skapa förtroende för organisationens aktiviteter.

Kontroller kan delas in i olika typer:

• Preventiva kontroller: åtkomsthantering, uppdelning av ansvar och behörigheter som förhindrar fel eller missbruk innan de inträffar.

• Detektiva kontroller: avstämningar, granskning av loggar eller manuella kontroller som identifierar fel eller oegentligheter efter att de har inträffat.

• Automatiserade kontroller: ökar driftens tillförlitlighet och minskar risken för mänskliga fel.

• Manuella kontroller: ger flexibilitet och möjliggör nyanserade bedömningar, men kräver ofta mer resurser.

IKT står för Information och Kommunikationsteknologi och omfattar alla tekniska lösningar och tjänster som möjliggör digital behandling, överföring och delning av information. ICT-tjänster är grunden för digital verksamhet, och fel kan få allvarliga konsekvenser för företagets funktion och säkerhet.

LÄS OM INCIDENTHANTERING→

En ISAE 3000-rapport är en revisionsrapport som dokumenterar att en organisation har implementerat de nödvändiga procedurerna och kontrollerna för att följa dataskyddsförordningen och dess krav på säkerhetsåtgärder.

LÄS MER OM ISAE 3000 →

ISAE 3402 är en internationell standard som används vid revision av IT-förhållandena hos en viss organisation. Rapporten fungerar som dokumentation för att organisationen uppfyller alla gällande lagkrav inom IT-säkerhet och generellt uppvisar god IT-praktik.

LÄS MER OM ISAE 3402 →

ISMS, eller Information Security Management System, är ett strukturerat tillvägagångssätt för hantering av informationssäkerhet som integrerar processer, teknik och personal för att skydda organisationens information genom effektiv riskhantering.

ISO 27001 kan med fördel användas som utgångspunkt för arbetet med informationssäkerhet. Även om standarden inte föreskriver specifika säkerhetsåtgärder, erbjuder den ett ramverk av bästa praxis för att säkerställa data både internt och externt.

LÄS MER OM ISMS →

ISO 14001 är en internationell standard som hjälper organisationer att etablera och förbättra miljöledning. Syftet är att minska miljöpåverkan och säkerställa efterlevnad av lagstiftning.

Standarden stöder identifiering av miljörisker och möjligheter samt säkerställer efterlevnad av relevant miljölagstiftning.

LÄS MER OM ISO 14001 → 

ISO 27001 är en internationell standard som utgör grunden för ett effektivt ledningssystem för informationssäkerhet. Standarden fokuserar på bästa praxis och riktlinjer för hantering av informationssäkerhet både internt och externt.

Syftet med ISO 27001 är att skydda konfidentialitet, integritet och tillgänglighet av organisationens information.

ISO 27002 är en internationell standard som ger vägledning om informationssäkerhetskontroller och bästa praxis för att skydda organisatorisk information.

Standarden innehåller 93 rekommenderade åtgärder som täcker policyer, processer, rutiner, organisationsstrukturer och tekniska lösningar inom organisatorisk, beteendemässig, fysisk och teknisk säkerhet.

ISO 27002 stöder implementeringen av ISO 27001 genom att erbjuda detaljerad vägledning för hur man väljer och implementerar lämpliga informationssäkerhetskontroller. Medan ISO 27001 definierar ramverk och krav för ett ledningssystem för informationssäkerhet, fungerar ISO 27002 som en praktisk verktygslåda för att omsätta dessa krav i konkreta åtgärder och kontroller.

ISO 27701 – standarden för dataskydd – är en förlängning av ISO 27001 som introducerar specifika arbetsprocesser och åtgärder för att stärka dataskyddet inom en organisation. Med fokus på aspekter som dataklassificering, åtkomstkontroll, riskbedömning och incidenthantering, fungerar ISO 27701 som ett praktiskt verktyg för att främja efterlevnad av GDPR.

ISO 9001 är en internationell standard för kvalitetsledning som hjälper organisationer att förbättra effektiviteten och säkerställa att produkter och tjänster uppfyller kundens förväntningar. Standarden bygger på en strukturerad metod för planering, kontroll och kontinuerlig förbättring av processer för att minska fel och höja kvaliteten.

Den bygger på sju principer, inklusive kundfokus, ledarskap, medarbetarengagemang, processeffektivisering och kontinuerlig förbättring – alla som stärker organisationens förmåga att leverera hög kvalitet och förbli konkurrenskraftig.

LÄS OM ISO 9001 → 

ISO 45001 är en internationell standard för arbetsmiljö och säkerhet som hjälper företag att förebygga olyckor och sjukdomar på arbetsplatsen. Den ger ett strukturerat ramverk för att minska risker, förbättra medarbetarnas välbefinnande och öka säkerheten på arbetsplatsen.

ISO-standarder är internationella standarder som erbjuder organisationer en praktisk ram för olika områden, inklusive ekonomi, socialt ansvar och miljö. Att implementera en ISO-standard i en organisation innebär att standardisera processer och procedurer, vilket säkerställer enhetlighet och kvalitet i utförandet av uppgifter.

LÄS OM ISO-STANDARDER →

IT-säkerhetspolicy är grunden för organisationens övergripande säkerhetsarbete. Den fastställer tydliga riktlinjer, procedurer och säkerhetsåtgärder för att skydda organisationens tillgångar och information.

Policyn omfattar teknik, beteende och organisatoriska initiativ samt definierar ansvar så att alla medarbetare är engagerade i att uppnå organisationens IT-säkerhetsmål.

Kontraktshantering - eller contract management som det heter på engelska – är den övergripande processen att administrera en organisations kontrakt från början till slut. Detta innefattar bland annat upprättande av kontrakt, förhandling, uppfyllande av kontraktsenliga förpliktelser, omförhandling och avslutning av de juridiskt bindande dokumenten. Målet är att optimera hanteringen och öka värdeskapandet så att organisationens kontrakt är i linje med dess verksamhet och mål.

LIA står för Legitimate Interests Assessment. En LIA utförs för att dokumentera den avvägning som en organisation är skyldig att göra när den önskar behandla personuppgifter baserat på intresseavvägningsregeln.

NFRD står för Non-Financial Reporting Directive och var ett EU-direktiv som krävde att större EU-företag med över 500 anställda – inklusive börsnoterade företag, försäkringsbolag och banker – offentliggjorde icke-finansiell information och mångfaldsdata relaterad till ESG (miljö, socialt ansvar och god bolagsstyrning).

NFRD har sedan dess ersatts av CSRD (Corporate Sustainability Reporting Directive), som förändrar och skärper de nuvarande kraven för företags hållbarhetsrapportering.

LÄS MER OM NFRD →

NIS2 är en uppdaterad version av det ursprungliga NIS-direktivet (även kallat nät- och informationssäkerhetsdirektivet). Med fokus på att förbättra cybersäkerheten och skydda viktiga infrastrukturer och tjänster, utvidgar NIS2 tillämpningsområdet för att inkludera ett bredare spektrum av sektorer och företag.

NIS2 ålägger både offentliga myndigheter och privata företag att implementera tekniska, operationella och organisatoriska säkerhetsåtgärder för att säkerställa en effektiv hantering av de risker som hotar deras informationssystem och nätverk.

LÄS MER OM NIS2 →

NSIS står för National Standard for Identiteters Sikringsniveauer. NSIS är den danska implementeringen av den europeiska eIDAS-förordningen, som är designad för att säkerställa att medborgare i EU kan få tillgång till offentliga system över landsgränser. NSIS spelar en viktig roll för identitetslösningar som MitID, MitID Erhverv och NemLog-in samt för en rad decentraliserade lösningar.

Omnibuspaketet (The Omnibus Package) är ett EU-lagstiftningspaket från 2025 som samlar och justerar befintliga hållbarhetsregler som CSRD, CSDDD, taxonomiförordningen och ESRS. Syftet är att göra kraven mer praktiska och minska den administrativa bördan, särskilt för mindre företag. Paketet förändrar inte EU:s övergripande hållbarhetsmål men förenklar rapportering, due diligence och tekniska standarder, vilket gör det lättare för företag att följa reglerna.

Lagstiftningspaketet syftar till att:

• Förenkla och harmonisera kraven i befintliga hållbarhetsregler

• Skjuta upp rapporteringsskyldigheter för vissa typer av företag

• Minska dubbelarbete vid datainsamling och rapportering

• Göra tekniska standarder mer praktiska och användbara

• Samordna kraven mellan CSRD, CSDDD och taxonomiförordningen

OHS, eller Occupational Health and Safety, refererar till praxis och policyer som syftar till att säkerställa en säker och hälsosam arbetsmiljö för anställda genom att förebygga arbetsrelaterade skador och sjukdomar.

Personuppgiftsansvarig (Data Controller) är den person eller organisation som har det primära ansvaret för de personuppgifter som samlas in och behandlas. Det innebär att den personuppgiftsansvarige ansvarar för att säkerställa att behandlingen sker i enlighet med GDPR.

Den personuppgiftsansvarige bestämmer bland annat:

• Syftet med att personuppgifter samlas in och används

• Hur uppgifterna behandlas i praktiken

• Vem som har tillgång att behandla uppgifterna

• Om en registrerad vill utöva sina rättigheter, såsom rätt till tillgång eller radering, riktas begäran till den personuppgiftsansvarige

LÄS MER OM PERSONUPPGIFTSANSVARIG →

Ett personuppgiftsbiträdesavtal är ett juridiskt kontrakt mellan en personuppgiftsansvarig och en personuppgiftsbiträde som fastställer villkor och bestämmelser för behandling av personuppgifter. Avtalet är utformat för att säkerställa att båda parter förstår sina respektive roller och ansvar i samband med behandling av personuppgifter och följer gällande dataskyddslagstiftning.

LÄS MER OM PERSONUPPGIFTSBITRÄDESAVTAL →

Policy management är processen att skapa, upprätthålla och säkerställa efterlevnad av riktlinjer och regler inom en organisation. Syftet är att säkerställa att verksamheten följer organisationens värderingar, mål, lagkrav och branschstandarder.

LÄS MER OM POLICY MANAGEMENT →

Privacy by Design är ett angreppssätt där skyddet av personuppgifter beaktas från början i system, processer och policyer. Målet är att göra dataskydd till en integrerad del av organisationens kultur och verksamhet.

Privacy by Design är ett kärnkrav enligt GDPR och förpliktar organisationer att skydda personuppgifter proaktivt och systematiskt.

LÄS MER OM PRIVACY BY DESIGN →

Påverkansväsentlighet är en del av den bredare ESG-ansatsen som beaktar organisationens påverkan på en rad områden, inklusive klimatförändringar, mänskliga rättigheter, arbetstagares rättigheter, korruption och många fler.

LÄS MER OM PÅVERKANSVÄSENTLIGHET →

En raderingspolicy är ett set av riktlinjer och procedurer som ska följas varje gång personuppgifter samlas in. Redan när personuppgifterna görs tillgängliga bör organisationen ha en plan för när de ska raderas, samt hur det ska göras och bekräftas i systemet.

LÄS OM RADERINGSPOLICY →

Riskaptit beskriver den mängd risk en organisation är villig att acceptera för att uppnå sina mål. Begreppet används inom riskhantering för att definiera ramverk för beslutsfattande, riskhantering och kontrollaktiviteter, vilket gör det möjligt för organisationen att balansera möjligheter och risker på ett strukturerat sätt.

En riskbedömning är en process där organisationer kan identifiera, analysera och bedöma risker kopplade till deras verksamhet eller en specifik aktivitet. Syftet med att granska riskerna är att utvärdera sannolikheten för att oönskade händelser inträffar och identifiera vilka konsekvenser det skulle få om organisationen inte kan undvika dem.

Riskhantering handlar om att upptäcka risker, utvärdera deras potential och bestämma hur de bäst hanteras av organisationen. Detta utrustar organisationen med strategier för att balansera risktagning mot riskreduktion, med det övergripande målet att förebygga eller minimera potentiella händelser som skulle kunna minska intäkter, leda till konkurs eller skada organisationens rykte.

LÄS OM RISKHANTERIN →

Rättsliga grunder för behandling är de lagliga grunder en organisation kan förlita sig på när den behandlar personuppgifter enligt GDPR. För att databehandling ska vara laglig måste åtminstone en giltig rättslig grund tillämpas och passa den specifika behandlingsaktiviteten.

GDPR definierar sex huvudsakliga rättsliga grunder för behandling:

• Samtycke

• Avtal

• Rättslig förpliktelse

• Vitala intressen

• Allmänt intresse eller myndighetsutövning

• Berättigade intressen

Security by Design innebär att säkerhet integreras från början som en grundläggande aspekt av systemdesign, arbetsflöden och beslutsfattande. Detta omfattar allt från IT-systemutveckling till åtkomstkontroll och riskbedömningar.

LÄS OM SECURITY BY DESIGN →

SFDR står för Sustainable Finance Disclosure Regulation och är en EU-förordning som innehåller specifika riktlinjer för finansmarknadsaktörer och finansiella rådgivares informationsskyldigheter i samband med integrering av miljömässiga, sociala och styrningsrelaterade faktorer (ESG).

Informationskraven ska hjälpa investerare att förstå hur finansiella institutioner arbetar med hållbarhet, för att säkerställa ett starkare beslutsunderlag inför investeringar.

LÄS OM SFDR →

EU:s Sustainable Finance Package (SFP) är ett paket av åtgärder som syftar till att stödja hållbar finansiering och investeringar i Europa. SFP är en integrerad del av EU:s strategi för att nå sina klimatmål och bör ses som ett steg mot att omvandla den finansiella sektorn till en central drivkraft för tillväxt inom den hållbara ekonomin i EU.

LÄS OM SFP →

SoA betyder "Statement of Applicability" och är en integrerad och avgörande del av ISO 27001-standarden för informationssäkerhet. SoA-dokumentet utgör en obligatorisk lista över kontrollåtgärder som specificeras i standarden. SoA fungerar som en länk mellan riskbedömning och riskhantering genom att dokumentera organisationens aktiva informationssäkerhetsnivå samt de val och undantag som har gjorts i processen.

LÄS MER OM SOA →

Styrning, eller corporate governance, refererar till de regler, strukturer, processer och riktlinjer som är grundläggande för ett företags drift och ledning. Det omfattar principer för etik, riskhantering, regelefterlevnad och effektiv förvaltning, med målet att säkerställa ansvarsfullt beslutsfattande, ansvarstagande och transparens inom organisationen.

LÄS OM STYRNING →

TIA står för Transfer Impact Assessment. I praktiken är det en bedömning som måste göras av parterna vid en överföring av personuppgifter från ett land inom EU/EES till ett land utanför EU/EES. Parterna kallas dataimportör och dataexportör.

Third Party Risk Management (TPRM) är en integrerad del av organisationens övergripande riskhanteringsstrategi och bidrar till leveranskedjans säkerhet. Denna process fokuserar på att identifiera, utvärdera och hantera de risker som är förknippade med att ingå affärsrelationer med tredje part, såsom leverantörer, distributörer, underleverantörer, tjänsteleverantörer och partners.

LÄS OM SÄKERHET I LEVERANSKEDJAN→

​VSME står för "Voluntary Sustainability Reporting Standard for SMEs" och är en frivillig standard för hållbarhetsrapportering, särskilt utformad för små och medelstora företag. Den utvecklades av EFRAG för att hjälpa företag att dokumentera sina hållbarhetsinsatser, förbättra ESG-prestationer och anpassa sig till framtida regleringar. VSME erbjuder ett strukturerat men flexibelt ramverk som underlättar rapportering utan att skapa en orimlig administrativ börda.

LÄS OM VSME→