close
Share with your friends

Tietoturva ja tietosuojapoikkeamat riskitekijöinä yrityskaupoissa

Tietoturva ja tietosuojapoikkeamat riskitekijöinä

Yrityskauppatransaktiossa ostaja ja myyjä vaihtavat suuren määrän tietoa, jolla voi olla merkitystä kauppahintaan, osapuolten kauppakirjavastuisiin tai jopa yrityskaupan toteutumiseen. Tietoturvapoikkeamat ja tietosuoja käsitellään tyypillisesti yrityskaupoissa vastuukysymyksenä tietosuojan kontekstissa legal due diligencessä ja kauppakirjassa. Ostajan, myyjän ja neuvonantajien yhteistyö ja toimialaosaaminen vaikuttavat ratkaisevasti siihen, millaisen roolin nämä teemat transaktiossa saavat.

Aiheeseen liittyvää sisältöä

Yrityskauppaprosessin tarkoitus on määrittää oikea kauppahinta ja hintaa vastaava riskitasapaino. Piiloon jääneiden epäkohtien pintautuminen tapahtuu viimeistään, kun ostaja jatkaa liiketoimintaa kaupan jälkeen. Riitautuminen vaarantaa sekä ostajan että myyjän position. Piileviä riskejä on mahdollista rajata kauppakirjamekanismeilla. Tämä edellyttää, että yrityskauppaprosessissa on käytetty neuvonantajaa, joka osaa analysoida toimitetun tiedon ja siitä tehtyjen havaintojen merkityksellisyyden.

Ostajan toimialaosaaminen rajoittaa sijoituksen riskien ymmärtämistä

Ostajan tehokas vastuiden ja oikeuksien järjestäminen edellyttää, että ostaja osaa pyytää liiketoiminnan kannalta merkitykselliset tiedot nähtäväksi ennen kaupantekoa. Yrityskauppaprosessissa vaihdetun tiedon tarkoitus ostajalle on, että sen merkitys huomioidaan yrityskauppadokumentaatiossa, ja se jäsennetään ostajan avuksi osana päätöksentekoprosessia. 

Mitä isompi taloudellinen intressi transaktioon liittyy, ja mitä enemmän kohteen riskit vaativat toimialaymmärrystä, sitä perustellumpaa on neuvonantajan käyttäminen. Toimialariskit voivat liittyä esimerkiksi toimialan luonteeseen (toimijat ja niiden väliset toimintatavat), valmisteilla olevaan tai vastikään toimialalle tulleeseen lainsäädäntöön.

Tietosuoja ja tietoturvariskit ovat tavanomaisia riskejä, mutta niiden merkitys liiketoiminnalle korostuu tietyillä toimialoilla, kuten terveydenhuollossa ja finanssisektorilla.

Johdon osaaminen vaikuttaa riskitekijöiden määrittämiseen

Myyjä on velvollinen toimittamaan ostajalle kohdeyhtiön materiaalit. Hän myös joutuu harkitsemaan, onko myyjän oma-aloitteisesti tuotava esiin riskejä tai epäkohtia, joita ostaja ei voi saada tietoonsa tietopyynnön ja sen pohjalta toimitettuun materiaalin tehdyn huolellisen due diligencen perusteella. 

Myyjän voi olla hankala määritellä, minkä tasoisia riskitekijöitä tuoda esille. Ostajan ja myyjän onkin yhdessä määritettävä riskien jakautuminen osapuolten välillä yrityskauppatilanteessa osana prosessiin kuuluvia neuvotteluita. Riskien sivuuttaminen voi nostaa kauppahintaa ja varmistaa kaupan toteutumisen, mutta aiheuttaa jälkikäteen operatiivisesti kestämättömiä riitoja ja mahdollisesti oikeudellisia sekä taloudellisia seuraamuksia myyjälle.  

Juridiset vaatimukset turvapoikkeamien käsittelylle

Tietoturvapoikkeamien havainnointikyvykkyyden järjestäminen ja niihin oikeudellinen reagointi täsmentyi Suomessa 2018 tietosuoja-asetuksen myötä. Sen jälkeen se on tyypillisesti kuulunut osaksi juridista due diligence -prosessia tietosuojan kontekstissa.

Sääntelyuudistuksen myötä poikkeamiin reagoiminenon nykyään useissa yrityksissä ohjeistettu, koska siihen liittyy toimintavelvoitteita ja vastuukysymyksiä. Sääntelyn näkökulmasta on keskeistä muun muassa:

  • Asianmukainen havainnointikyky
  • Poikkeamien analysointi henkilötietojen ja tietotosuojariskin näkökulmasta
  • Asianmukaisten eri ilmoitusten tekeminen riskianalyysin perusteella

Tietosuojakontekstissa keskeiset riskit liittyvät negatiiviseen julkisuuteen ja sen liiketoimintavaikutukseen, hallinnollisiin sanktioihin, tietosuojan rikostunnusmerkistöihin ja vahingonkorvauksiin. Vastuuperusteita voi olla myös muussa sektorikohtaisessa lainsäädännössä, mutta tietosuoja-asetuksen soveltamisala koko yksityisen sektorin kattavana tietoturvanormina tekee siitä merkityksellisen kaikissa transaktioissa.

Tietoturvapoikkeamat voivat liittyä myös teollisuusvakoiluun, jolloin niiden taloudelliset ja juridiset implikaatiot toteutuvat eri tavalla kuin tietosuojan kontekstissa.

Tietoturvan ja tietosuojan riskilähtöisyys

Tietoturvan ja tietosuojan luonteeseen kuuluu riskiperusteisuus. Yrityksellä on tyypillisesti aina hallussaan tietoa toimintamalleista tai poikkeamista, joiden osalta yritys on päättänyt olla investoimatta syventävään selvitykseen tai korjaaviin toimenpiteisiin.

Arviointia vaikeuttaa se, että tietosuoja ja tietoturva voidaan järjestää käytännössä hyvin eri tavoilla. Ostajan on osattava hahmottaa, mitkä ovat kriittisiä prosesseja ja mitä osa-alueita valittujen toimintamallien tulee ainakin kattaa. Ostaja voi arvioida itselleen siirtyvän riskin määrän, kunhan myyjä tuo huolellisesti esiin yrityksen toiminnan kannalta merkitykselliset toimintamallit ja poikkeamat.

Riskianalyysin tekeminen tietoturva- ja tietosuoja-aineistosta

Tietoturva- ja tietosuojahavainnot kertovat useista eri asioista: yritysten tietoturvan ja tietosuojan maturiteetista sekä siitä,millainen strateginen painoarvo tällaisella riskillä on operatiiviselle johdolle ollut ja millaisia yksittäisiä riskejä yrityksen toimintaan liittyy.

Kysymys on toisaalta kokonaisriskistä ja toisaalta yksittäisistä “pommeista”, jotka molemmat voivat aiheuttaa yrityskaupan jälkeen merkittäviä investointitarpeita.

Keskeistä vastuun jäsentämisen ja riskinhallinnan näkökulmasta on:

  • Onko tietoturvakyvykkyydet ja prosessit järjestetty lain näkökulmasta riittävällä tasolla
  •  Onko eritasoiset tekniset poikkeamahavainnot arvioitu juridisesti riittävällä tasolla, eli ymmärtääkö johto niiden merkityksen?
  • Onko tietoturva- ja tietosuojapoikkeamat selvitetty riittävästi?  Onko poikkeamien perusteella tehdyt toimenpiteet olleet asianmukaiset? 

Tietoturvapoikkeamien arvioinnin haasteet

Tietoturvapoikkeaman selvittäminen voi tulla kalliiksi, ja myös tietoturvakyvykkyyden rakentaminen voi edellyttää merkittäviä investointeja. Yksittäisen poikkeaman riskimääritykseen vaikuttaa merkittävästi se, millaiset ovat olleet tapahtumahetken tekniset edellytykset ja kuinka kauan tapahtumasta on kulunut (onko siihen liittyvä forensiikkatieto jo pyyhkiytynyt pois).

Toisaalta jos yrityksellä on korkea tietoturva- ja tietosuojamaturiteetti, voi tämä vähentää yksittäisten tutkimattomien poikkeamien riskiä. Arvioinnissa kohdataan vaikeita kysymyksiä, kuten:

  • Kuinka pitkälle tietoturvapoikkeamia on analysoitu? Havaitusta tietoturvapoikkeamasta tai sen epäilystä on välillä hyvin pitkä tie siihen, tiedetäänkö, ovatko yrityksen tiedot oikeasti joutuneet vääriin käsiin.
  •  Tietoturvapoikkeamat havaitaan usein vasta kauan sen jälkeen, kun ne ovat sattuneet. Tässä tilanteessa joutuu toisinaan kysymään, olisiko poikkeamat pitänyt havaita aikaisemmin tai ovatko tietoturvan investoinnit olleet riittäviä lainsäädäntö huomioiden (eli mikä on ollut tietoturvan strateginen rooli yrityksessä);
  • Miten suhtaudutaan, jos yhtiöllä ei ole ”tietoturvahistoriaa” poikkeamista?

Tietosuojaan ja tietoturvaan liittyvien kauppakirjaehtojen näkökulmasta on keskeistä rajata vastuut kohtuulliseksi ajallisesti ja muutoin kaikki edellä esitetty huomioiden. Mukaan on luettava sellaiset poikkeamat, jotka ovat tapahtuneet, mutta joita ei ole havaittu.

Tietoturvaan liittyvästä vastuunjaosta on neuvoteltava. Kohtuullinen tasapaino ostajan ja myyjän välillä liittyy yrityksen yleiseen tietoturvamaturiteettiin ja toisaalta yksittäisiin historiallisiin poikkeamiin.

Tietoturva- ja tietosuojakysymykset yrityskaupoissa ylittävät perinteiset juridiset riskit ja vaativat sekä transaktion osapuolilta että neuvonantajalta syvällistä asiantuntemusta. Riskit ovat erottamaton osa liiketoimintaa, mutta niitä niiden kontrollointi ja minimoiminen on yrityskauppajuristin tehtävä.    

Lisätietoja:

Joonas Aho

+358 40 416 3829

etunimi.sukunimi@kpmg.fi

 

Kira Ahveninen-Kuha 

+358 50 330 3375

etunimi.sukunimi@kpmg.fi

© 2021 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.


For more detail about the structure of the KPMG global organization please visit https://home.kpmg/governance

Ota yhteyttä

 

Kuinka KPMG voi auttaa?

 

loading image Jätä tarjouspyyntö