Alm Brand Groups IT-miljø skal være sikkert og leve op til gældende standarder, herunder efterleve relevante områder fra internationalt anerkendte standarder såsom DORA, ISO 27001, ITIL, SOC 2 og lign., så det er robust og kan modstå bl.a. cyberangreb.
Alm. Brand Group har fokus på at behandle personoplysninger på en sikker og ordentlig måde i overensstemmelse med gældende lovgivning. Vi er transparente i forhold til, hvilke typer af personoplysninger vi indsamler, hvordan vi gør det, til hvilke konkrete formål og på hvilket grundlag dette sker, ligesom, de indsamlede oplysninger alene anvendes til de formål, som de er indsamlet til. Dette er uddybet i privatlivspolitikkerne for hvert juridisk selskab under Alm. Brand Group. Privatlivspolitikkerne indeholder også informationer om, hvilke rettigheder den registrerede har, og hvordan der kan gøres brug af disse, herunder retten til at få indsigt i de oplysninger vi har om dem, sletning, når kundernes oplysninger ikke længere er relevante mv.
Derudover har vi forretningsgange og arbejdsgange, som sikrer, at vi håndterer databrud i tide og i overensstemmelse med reglerne. Dette betyder, at vi indberetter databruddet til Datatilsynet, hvis der består en risiko for den registreredes rettigheder eller frihedsrettigheder, samt at vi orienterer de registrerede, såfremt det vurderes, at databruddet indebærer en høj risiko for den registreredes rettigheder.
Alm. Brand Group behandler og videregiver udelukkende kundeoplysninger til virksomheder, myndigheder eller organisationer, når der foreligger et samtykke, eller vi har anden hjemmel dertil. Alm. Brand Group sælger ikke kundeoplysninger videre.
Hvis behandlingen er baseret på samtykke, sikrer vi ligeledes, at samtykket lever op til betingelserne for et gyldigt samtykke.
Adgange til kundedata og personoplysninger er begrænset via IT brugerrettighedsstyring, så det alene er medarbejdere med et arbejdsbetinget behov, som har adgang til at tilgå kundeoplysninger.
Alm. Brand Group har fokus på at sikre, at alle medarbejdere, kender og trænes i de databeskyttelsesretlige regler, herunder databeskyttelsesforordningen og databeskyttelsesloven. For at tilsikre, at alle medarbejdere besidder den nødvendige viden om korrekt anvendelse af personoplysninger, skal alle medarbejdere og konsulenter i Alm. Brand gennemføre et e-learningskursus i GDPR ved ansættelsens start og løbende på årsbasis.
Alm. Brand Group lægger stor vægt på databeskyttelse og har i forlængelse af dette fokus fastlagt en række dataetiske principper, som er beskrevet i den bestyrelsesgodkendte Politik og retningslinje for dataetik.
Alm. Brand Group har i overensstemmelse med GDPR udpeget en databeskyttelsesrådgiver (”Data Protection Officer”/DPO). DPO’en er en integreret del af anden forsvarslinje og agerer uafhængigt. DPO’en aflægger mindst to gange årligt rapport til bestyrelsen om overholdelse af krav og lovgivning vedrørende databeskyttelse i tillæg til rapportering til Direktionen.
Ovenstående understreger Alm. Brand Groups forpligtelse til at handle ansvarligt i overensstemmelse med vores værdier også vedrørende håndtering af data.
Revision af forretningsetik og anti-korruption
Som led i den bestyrelsesgodkendte, risikobaserede interne revisionsplan gennemfører Intern Revision uafhængig revision af forretningsetik og anti-korruption hvert tredje år på tværs af alle koncernens aktiviteter og brands. Revisionen gennemføres på koncernniveau og vurderer både:
- governance-rammeværket, herunder politikker, kontroller og tilsynsstrukturer, samt
- den praktiske implementering af etiske standarder på tværs af organisationen.
Revisionsresultater, herunder identificerede mangler, rapporteres til direktionen og Revisionsudvalget og er underlagt formel opfølgning gennem handlings- og afhjælpningsplaner.
Den seneste revision blev gennemført i 2024.
Revision af informationssikkerhedssystemer
Virksomhedens anvendelse af IT- og datasystemer er genstand for årlig, uafhængig ekstern revision. Den eksterne revision vurderer generelle IT-kontroller, som vurderes at være væsentlige i forhold til koncernens evne til at aflægge årsregnskab i overensstemmelse med gældende lovgivning. Den eksterne revision omfatter derfor flere centrale IT-systemer på tværs af koncernen, som leverer data til ERP-systemet, der danner grundlag for årsregnskabet.
Revisionen af de generelle IT-kontroller omfatter gennemgang af udvalgte områder inden for følgende:
- IT-anvendelse, herunder IT-organisation, IT-sikkerhedspolitik og IT-beredskabsplan
- Adgang til systemer og data
- Udvikling, vedligeholdelse og implementering af nye IT-systemer
- Drift, overvågning og backup af IT-systemer og data
Revisionen af anvendelsen af IT-systemer er struktureret således, at den kan danne grundlag for vurderingen af, om den samlede system-, data- og driftssikkerhed fungerer pålideligt.
Derudover gennemfører den interne revisionsfunktion, som led i den bestyrelsesgodkendte interne revisionsplan, risikobaserede IT-revisioner på koncernniveau. Revisionerne retter sig mod forskellige områder og omfatter blandt andet informationssikkerhed og cybersikkerhedsaktiviteter på tværs af alle forretningsområder.
Revisionsresultater, herunder identificerede mangler, rapporteres til direktionen og Revisionsudvalget og er underlagt formel opfølgning gennem handlings- og afhjælpningsplaner.
|
Revision af informationssikkerhedssystemer
|
Enhed
|
2025
|
2024
|
|
Uafhængig ekstern revision foretaget af EY
|
Antal
|
1
|
1
|
|
Uafhængige revisioner foretaget af intern revision
|
Antal
|
3
|
5
|