Due diligence

Due diligence er en systematisk undersøgelse af en virksomhed, leverandør eller partner, som du gennemfører, før du træffer en beslutning om samarbejde, opkøb eller kontraktindgåelse. Formålet er at afdække risici, verificere oplysninger og sikre, at du overholder gældende lovgivning.

Tilbage til ordbog

Hvad er due diligence?

Due diligence betyder direkte oversat "tilbørlig omhu". I en compliance-kontekst handler det om at undersøge en modpart grundigt, før du indgår en aftale. Du vil vide, om leverandøren håndterer persondata forsvarligt, om partneren overholder regulatoriske krav, og om der er skjulte risici, du skal tage stilling til.

Begrebet stammer fra den finansielle verden, hvor due diligence traditionelt bruges ved virksomhedsopkøb. I dag er det et centralt redskab i compliance management, fordi lovgivningen i stigende grad kræver, at du kender dine samarbejdspartnere og kan dokumentere, at du har undersøgt dem.

Due diligence er tæt forbundet med tredjepartsrisikostyring. Hvor tredjepartsrisiko er det overordnede risikobillede, er due diligence den konkrete undersøgelse, du gennemfører for at vurdere og reducere den risiko.

Typer af due diligence

Due diligence kan tage mange former afhængigt af konteksten:

Databeskyttelses-due diligence: Undersøgelse af, hvordan en databehandler håndterer personoplysninger. Du vurderer deres tekniske og organisatoriske foranstaltninger, herunder kryptering, adgangsstyring og brudprocedurer.
Sikkerhedsmæssig due diligence: Vurdering af en leverandørs informationssikkerhed. Har de et ISMS? Er de certificeret efter ISO 27001? Hvilke kontroller har de på plads?
Regulatorisk due diligence: Afdækning af, om modparten overholder relevante reguleringer som GDPR, NIS2 eller DORA.
Finansiel due diligence: Gennemgang af regnskaber, gæld, aktiver og finansiel sundhed, typisk ved opkøb.
Juridisk due diligence: Undersøgelse af kontrakter, tvister, immaterielle rettigheder og juridiske forpligtelser.

I praksis kombinerer du ofte flere typer i samme proces. En leverandørvurdering dækker typisk både databeskyttelse, sikkerhed og regulatorisk overholdelse.

Due diligence og compliance-krav

GDPR artikel 28 kræver, at du som dataansvarlig kun bruger databehandlere, der kan stille "tilstrækkelige garantier" for passende foranstaltninger. Det er i praksis et krav om due diligence. Du skal kunne dokumentere, at du har vurderet databehandleren, før du overlader personoplysninger til dem.

NIS2 stiller krav om, at væsentlige og vigtige enheder vurderer sikkerheden i deres forsyningskæde. Det betyder due diligence af leverandører, der leverer kritiske tjenester.

DORA går endnu længere for finansielle virksomheder og kræver detaljeret risikovurdering af IKT-tredjepartsleverandører, herunder exit-strategier og løbende overvågning.

ISO 27001 adresserer leverandørsikkerhed i Annex A og kræver, at du har en politik for informationssikkerhed i leverandørrelationer. Due diligence er den praktiske udmøntning af den politik.

Sådan gennemfører du due diligence

En struktureret due diligence-proces følger typisk disse trin:

Scope: Definer, hvad du undersøger, og hvorfor. Hvad er risikoen ved samarbejdet? Hvilke data er involveret?
Informationsindsamling: Send spørgeskemaer, indhent certifikater, gennemgå politikker og auditeringsrapporter. Bed om dokumentation for deres informationssikkerhedspolitik og eventuelle certificeringer.
Vurdering: Analysér svarene mod dine krav og acceptable risikoniveauer. Brug din risikovurdering som grundlag.
Beslutning: Godkend, afvis eller godkend med vilkår. Dokumentér beslutningen.
Løbende opfølgning: Gentag vurderingen regelmæssigt. Kritiske leverandører bør vurderes årligt.

Dokumentér hele processen i din registerfortegnelse eller leverandørregister. Det gør det lettere at svare tilsynsmyndigheder og vise, at du har handlet med tilbørlig omhu.

Ofte stillede spørgsmål om due diligence

Hvad er forskellen på due diligence og en risikovurdering?

Due diligence er en undersøgelse af en specifik modpart (leverandør, opkøbsmål, partner), mens en risikovurdering er en bredere analyse af organisationens samlede risikobillede. Due diligence er ofte en del af den samlede risikostyringsproces.

Hvornår skal man gennemføre due diligence?

Due diligence bør gennemføres inden du indgår kontrakter med nye leverandører, før virksomhedsopkøb, ved valg af databehandlere og ved indgåelse af strategiske partnerskaber. Under GDPR er det et krav at vurdere databehandlere, før du overlader personoplysninger til dem.

Kræver GDPR due diligence af leverandører?

Ja, GDPR artikel 28 kræver, at du som dataansvarlig kun bruger databehandlere, der kan stille tilstrækkelige garantier for passende tekniske og organisatoriske foranstaltninger. Det forudsætter en due diligence-proces.

Hvor ofte skal due diligence gentages?

Due diligence er ikke en engangsøvelse. Du bør gentage vurderingen regelmæssigt, typisk årligt for kritiske leverandører, og når der sker væsentlige ændringer i leverandørens organisation, tjenester eller risikoniveau.