Konsulentanalyse af kontrol- og tilsynsordninger...1) Overordnet beskrivelse af tilsyns-og kontrol-modeller pba. af erfaringerne fra dataindsamlingen. 2) Dybdegående beskrivelse og

Konsulentanalyse af kontrol- ogtilsynsordninger29. maj 2019

2

Ledelsesresume

Undersøgelsen er udført fra marts til maj 2019. Analysen tager udgangspunkt i syv udvalgte mærker, som blev udvalgt på baggrund af en screening af mere end 20 mærker. Deloitte har udført interviews med repræsen-tanter fra mærkerne og medlemmer af mærkningsordningerne. Herudover har Deloitte udført desk research og indsamlet intern erfaring fra rådgivning og revision af kontrol- og tilsynsarbejde. Analysen er delt op i flere dele

1) Overordnet beskrivelse af tilsyns-og kontrol-modeller pba. af erfaringerne fra dataindsamlingen.

2) Dybdegående beskrivelse og sammenligning af de syv mærker med udgangspunkt i karakteristika, der driver ressourceforbrug samt tillid.

3) Beskrivelse af mulige modeller for kontrol- og tilsyn der kan tages inspiration fra samt en anbefaling af en indfasningsmodel, hvor der tages udgangspunkt i et meget simpelt kontrol og tilsyn som med tiden, hvor mærkningsordningen samt medlemmerne antages at blive mere modne, vil blive mere datadrevet.

4) Beskrivelse af erfaringer omkring finansieringsmodeller.

Industriens Fond, Erhvervsstyrelsen, Dansk Erhverv og Dansk Industri (herefter omtalt Konsortiet) undersøger mulighederne for at etablere en dansk mærkningsordning, som kan indkapsle it-sikkerhed og ansvarlig dataanvendelse og dermed gøre det muligt for virksomheder, og herunder særligt små og mellemstore virksomheder (SMV’er), at signalere over for forbrugere, andre virksomheder og omverdenen, at det er et område, som de arbejder seriøst med. Dermed vil et sådant mærke kunne udgøre et konkurrenceparameter nationalt og internationalt.

Konsortiet har bedt Deloitte om at lave en kortlægningsanalyse af kontrol- og tilsynsordningerne i syv udvalgte mærkningsordninger og derigennem udforme forskellige modeller med beskrivelser af fordele og ulemper samt give en anbefaling til en mulig model.

Den mulige fremtidsmodel, er baseret på en lang række antagelser, herunder hvilke kriterier for cyber- og informationssikkerhed, privacy og dataetik der vælges, samt hvordan brugerbetaling og initiel støtte udmøntes.

Introduktion

Proces

3

Ledelsesresume II

Deloittes overordnede konklusion er, at der ikke findes eksisterende mærkningsordninger, som ”minder” om de ambitioner, som det fremtidige ”Digital Omhu”-mærke lægger op til. Der er en række forudsætninger der skal være tilstede før man kan skabe en mærke, som er bæredygtigt:

• For at et ”Digtalt omhu”-mærke skal være bæredygtigt er det vigtigt at der holistisk kigges på: 1) mærkets tildelingskrav (de kriterier der anvendes for cyber- og informationssikkerhed, privacy og dataetik), 2) mærkets tillidsmodel (den kontrol- og tilsynsmodel der anvendes) og 3) mærkets finansieringsmodel (herunder egen betaling og governance), er tilstede, accepterede og bliver anset for fornuftige af de potentielle anvendere af mærket. Særligt omkring den finansielt bæredygtighed gælder det, at:

− at omkostningerne til at drive mærket skal være i overensstemmelse med den merværdi som medlemmerne opfatter, at mærket giver. En del af merværdien ligger i tilliden til mærket som igen er afhængigt af tilsyn og kontrol som igen er afhængigt af kriterierne til mærket. Det er derfor vigtigt at finde den rigtige balance imellem ressourcetræk, pris og merværdi for medlemmerne af en mærkningsordning.

Deloitte anbefaler derfor at

• der sker en kortlægning af de mulige tildelingskrav, som findes i dag og at disse krav vurderes ud fra en SMART (Specifikt, Målbart, Attraktivt, Realistisk og Tidsbestemt) tilgang i 3 grupperinger: Cyber- og informationssikkerhed, Privacy og Dataetik og hvorvidt de er håndterbare i et data-drevent setup.

• finansieringsmodellen skal være transparent og let forståelig, kontroludførelsen skal udføres af et meget begrænset antal organisationer, kontrollen skal starte med at bygge sit tilsyn på dokumentgennemsyn for at holde omkostningerne nede, der skal være en form for egenkontrol hos medlemmet og kan med fordel struktureres som en erhvervsdrivende fond, med et repræsentantskab bestående af repræsentanter fra både offentlig og privat.

• der som fremtidig model for kontrol- og tilsyn, anvendes en trappemodel med glidende overgang fra simple til komplekse kriterier, samt fra klassisk til datadreven kontrol.

• der bygges en komplet og holistisk forretningsmodel, der sammenstiller de tre komponenter og deres indbyrdes vekselvirkning

Konklusion

4

At drive et økonomisk bæredygtigt mærke er en balancegangFlere ressourcer har generelt set en positiv effekt på tilliden til et mærke, men hvis mærket samtidigt skal være økonomisk bæredygtigt, skal disse to parametre tænkes sammen.

Balancen i en mærkningsordningFiguren ovenfor, illustrerer hvordan omkostningerne til at drive et mærke skal være i overensstemmelse med den merværdi som medlemmerne opfatter, at mærket giver. Hvis ubalancen bliver for stor på omkostningerne, vil mærket være for omkostningstungt for medlemmerne ift. den merværdi, som mærket giver kommercielt. Omvendt kan merværdien blive høj, hvis tilliden til mærket er høj og modtagerne er opmærksomme på mærket. Dette vil dog oftest kræve at mærket, og herunder kriterierne i mærket, opfattes som værende værdiskabende.

MerværdiOmkostninger

Balancen for medlemmerne

Tilsyn og kontrol

Mærkningskriterier

Markedsførings-værdi

af mærket (tillid)

5

Indholdsfortegnelse

Ledelsesresume 2

Indledning 6

Metodebeskrivelse 7

Proces og valg af reference mærker 8

Erfaringer 9

• Klassisk tilsyn og kontrol 11

• Risikobaseret tilsyn og kontrol 12

Sammenligning af de syv mærker 13

• Sammenligningskriterier 14

• Overordnet oversigt af mærkernes hovedkarakteristika 15

• Sammenligning af mærkningsordninger 17

Modeller for kontrol og tilsyn 19

• Klassisk IT-tilsyn 21

• Datadreven model 22

• Fremtidens trappe 23

Vores anbefalinger 24

• Vores anbefalinger til de fem kriterier 26

• Fremtidens trappe 27

Finansieringsmodel 29

• Erfaringer for finansieringsmodel for kontrol og tilsyn 30

Bilag: Tilsyn- og kontrolkarakteristika 31

• Fordele og ulemper ved forskellige tilsyns- og kontrolkarakteristika 32

Yderligere Bilag 36

6

Indledning

Erhvervsstyrelsen, Dansk Erhverv, Dansk Industri og Industriens Fond (herefter omtalt Konsortiet) undersøgermulighederne for at etablere en dansk mærkningsordning indenfor cyber- og informationssikkerhed samtansvarlig dataanvendelse og etik, som vil gøre det muligt for virksomheder, og herunder særligt små ogmellemstore virksomheder (SMV’er), at signalere overfor forbrugere og omverdenen, at det er et område, somde arbejder seriøst med. Dermed vil et sådant mærke kunne udgøre et konkurrenceparameter nationalt oginternationalt.

Der findes allerede flere rammeværk, erklæringsstandarder og best practice retningslinjer, som danskevirksomheder kan anvende til at øge den digitale sikkerhed og ansvarlige dataanvendelse. Flere af disse er dogmeget ressourcekrævende at implementere ift. både tid, kompetencer og omkostninger, og de kræver en højgrad af organisatorisk modenhed. Dette kan i første omgang udgøre en barriere for særligt SMV’er, hvorfor detkan argumenteres, at der mangler et trin på vejen, som kan være med til at løfte det generellesikkerhedsniveau.

Herudover dækker flere af disse forskellige tilgange, f.eks. udelukkende teknisk sikkerhed og ikke governanceog risikostyring, eller de har fokus på særlige områder. Dette kan i sidste ende gøre, at virksomheder er nød tilat implementere retningslinjer fra en række af disse ordninger og standarder for at opnå en bredt dækkendesikkerhedsberedskab og sikre ansvarlig dataanvendelse i organisationen.

Konsortiet har bedt Deloitte om at lave en kortlægningsanalyse af kontrol- og tilsynsordningerne i syv udvalgtemærkningsordninger på andre områder end sikkerhed og derigennem udforme forskellige modeller medbeskrivelser af fordele og ulemper. Derfor er formålet med nærværende analyse at skabe et vidensgrundlag,som kan anvendes i arbejdet med at udforme og udvikle et nyt mærke omkring cybersikkerhed og ansvarligdataanvendelse. Et sådant mærke vil kunne konstituere en konkurrencefordel for de virksomheder, som vælgerat blive mærket ved at signalere et fokus på it-sikkerhed og dataetik til virksomhedens kunder ogsamarbejdspartnere. Samtidig vil et mærke kunne være med til at løfte den generelle cybersikkerhed blandtdanske virksomheder.

7

Metodebeskrivelse

Undersøgelsen er baseret på kvalitativt input fra interviews med repræsentanter fra de syv udvalgte mærker samt en virksomhed, som er medlem af den givne mærkningsordning. Deloitte har i nærværende analyse udført interviews med repræsentanter og medlemmer for alle mærker udover Cyber Essentials, som i stedet er afdækket igennem desk research og materiale indsamlet af Erhvervsstyrelsen. Mærkerne Svanemærket og Ecolabel er i denne analyse set i sammenhæng som ét mærke pga. det store overlap, og fordi begge mærker administreres af Mærkning Danmark. Deloitte har derfor udført 13 interviews, hvoraf seks er med mærkningsordninger, seks er med medlemmer af mærkningsordninger og et er med en dansk ekspert i mærkningsordninger.

De syv mærker1:

1Ø-mærket dækker hele værdikæden for økologi fra jord til bord. I denne analyse dækkes de områder, som håndteres af Fødevarestyrelsen, hvilken indbefatter slagterier og detailhandel. Spillemyndigheden dækker over en række ressortområder inden for spil, herunder monopolspil, kasino, automater, online kasino og betting. I denne rapport holdes fokus på kontrollen omkring online kasinoer og betting, da kontrollen på disse områder i højere grad minder om cybersikkerhed.Fairtrade certificerer alle led i værdikæden. I nærværende rapport behandles kun de led, som danske virksomheder ligger under. Det gælder handel og forarbejdning (Traders i Fairtrade fagsprog).

Udover interviews, har Deloitte også udført desk research omkring de udvalgte mærker. Dette arbejde har bl.a. indbefattet indsamling af forordninger, forretningsordner og materiale, som har været med til at give et indblik i de enkelte mærkers organisering, finansieringsmodel, governance osv.

Deloitte har i samarbejde med Konsortiet udvalgt de syv mærkningsordninger, som analysen fokuserer på. Mærkningsordningerne er udvalgt med henblik på at få en vis spredning i typer af mærker og fokusområder, mærker med en vis genkendelighed blandt virksomheder og forbrugere og mærker, hvor det er forventet, at der kan hentes inspiration ift. tilsyn og kontrol.

Analysen er udført i perioden marts-maj 2019. På trods af en relativ stram tidsplan, har det været muligt at udføre den relativtstore mængde af interviews, herunder bl.a. fordi Konsortiet har bistået med formidling at kontakt til nogle af de mærker og virksomheder, som indgår i analysen. Analysen er udført af et team med dyb erfaring inden for både cyber-og informationssikkerhed samt dataansvarlighed og tilsyn-og kontrol.

Deloitte har udarbejdet tre forskellige fremtidige modeller og givet et bud på hvordan et tilsyn samt kontroller eventuelt kunne startes og udbygges som tiden går samtidig med at mærket samt virksomhederne bliver mere modne. Modellerne bygger på basis af den indsamlede data, som bl.a. beskriver forskellige fordele og ulemper ved at anvende de forskellige modeller. Modellerne eroplæg til diskussion.

8

Proces og valg af reference mærkerDeloitte undersøgte mere end 20 mærkningsordninger på både nationalt, europæisk og globalt niveau, som blev filtreret i forhold til at få skabt en portefølje af mærker med forskellige og repræsentative modeller for kontrol og tilsyn. Det endte med, at syv mærker blev udvalgt til mål for undersøgelsen, hvoraf 13 interviews er blevet gennemført.

• Geografi

• Ejerskabsstruktur

• Finansieringsmodel

• Kompleksitet

• Tilgængelighed

• Repræsentation

• Genkendelighed

• Udbredelse

7M

ÆR

KER

Deloitte anbefalede mærker

Deloitte-filter

Konsortiet valgte

9

01 Erfaringer

10

Erfaringer med kontrol og tilsyn Deloitte har foretaget i alt 13 interviews. Heraf seks direkte med mærkningsordninger samt af seks medlemmer repræsenteret i de tilsvarende seks mærkninger. Det sidste interview er lavet med en mærkningsekspert*. Oplysninger om Cyber Essentials er afdækket ved hjælp af materiale, herunder interviewnoter leveret af Konsortiet.

2) Risikobaseret tilsyn og kontrol

Karakteristika

Tilsyn og kontrol i forbindelse med optagelse i mærkningsordningen.

Hyppigst tilbagevendende tilsyn med fast tidsinterval (typisk årligt). I nogle tilfælde variabelt afhængigt af historisk regelefterlevelse.

Integreret brug af uanmeldte tilsyn baseret på stikprøver eller kampagnetilsyn af særlige risikoområder.

Brug af datainformeret risikomodel baseret på flere typer af input, herunder f.eks. historisk tilsynsdata, indberetninger, fagspecifik viden og internationale erfaringer.

1) Klassisk tilsyn og kontrol

Karakteristika

Stor vægt på tilsyn og kontrol i forbindelse med optagelse i mærkningsordningen.

Tilbagevendende tilsyn med fast tidsinterval (typisk årligt).

Ingen risikobaseret model til udvælgelse af cases til uanmeldt- eller kampagnetilsyn.

Reaktiv tilgang til information om manglende regelefterlevelse.

I nogle tilfælde udtagelse af tilfældige stikprøver til yderligere kontrol.

* Liste af interviewpersoner, samt interviewguides kan findes i appendiks.

Tilgange til tilsyn og kontrol

Givet det lave antal interviews per mærkningsordning har Deloitte valgt at gengive de anonymiserede erfaringer i to forskellige tilgange der også repræsenterer to forskellige arketyper af tilsyn.Den første tilgang er baseret på fuld gennemgang ved certificering samt en løbende kontrol gerne årligt for alle certificeringer. Den anden tilgang er risikobaseret med fokus på brug af data tilenten at planlægge fremtidige kontroller eller at bruge data til mere dybdegående kontroller. Det bør dog nævnes, at mange af ordningerne bruger elementer af begge tilgange .

1Vi oplever meget stor relation mellem tilliden til mærket og grundigheden af kontrollen. 3

Hvis man vil sikre tilliden til et mærke, så er det klart, at man også skal kon-trollere, om dem, som bruger det, også har ret til det – særligt når det er digitalt.

4Når vi går ind i et mærke, så er det enormt vigtigt, at det er transparent ift. både kontrol, tilsyn og omkostninger. Vilkårene skal være lige for alle medlemmer. 5

Vi bruger enorm meget energi på at sikre, at medlemmerne får den samme oplevelse, uagtet hvilken tilsynsførende som kontrollere, men det er en vanskelig opgave, når nogle områder er subjektive, og man arbejder med mennesker.

6Det er enormt vigtigt at have en god og understøttende tilgang og dialog med medlemmerne.

2Det er en kæmpe fordel for os medlemmer, når kontroller tænkes sammen.

11

1) Klassisk tilsyn og kontrol

2For myndigheds-kontrollerede eksportmarkeder er det en kæmpe fordel at være statskontrolleret.

1Vi laver primært årlige tilsyn, men vi reagerer, hvis vi får henvendelser om, at noget ikke er som det skal være fra f.eks. journalister.

3Tilsyn er ressourcekræv-ende for os, så alt hvad mærkningsord-ningerne kan gøre for at minimere det er en hjælp.

4Vi udtager årligt stikprøver sådan at alle medlem-mer får mindst ét efterkontrolsbe-søg i licensens levetid

BeskrivelseKlassisk tilsyn og kontrol som fremgangsmåde, er primært fokuseret på at føre tilsyn med alle medlemmer med et fast tidsinterval, typisk årlige, når et medlem først er godkendt til at bruge mærket. Godkendelsen til at bruge mærket kan i nogle tilfælde være den ‘tungeste’ del af kontrol-og tilsynsbyrden over perioden, hvor et medlem har mærket, mens presset i andre mærker forbliver konstant over perioden. Egenkontrol eller stikprøver kan også indgå som en komponent i kontrol og tilsynet.

ErfaringerFlere af de adspurgte mærkningsordninger foretager primært tilsyn og kontrol med et fast tidsinterval. Nogle udfører flere tilsyn i løbet af f.eks. et år, som så i sidste ende udgør et totalt gennemsyn af det område, som mærket dækker.

Mærkerne, som anvendte denne tilsyns- og kontrolmodel, lavede typisk ikke flere tilsyn hos medlemmer pba. af en risikovurdering, men nogle udførte stikprøvetilsyn af alle medlemmer over en længere tidsperiode. Flere af mærkningsordningerne gav samtidig udtryk for at handle på eventuelle henvendelser fra interessenter som f.eks. kunder.

Nogle af mærkningsordningerne, som anvendte denne model, anvendte en model med dynamiske kriterier. Dynamiske kriterier er opfyldelseskriterier, som gælder i en vis licensperiode, og som revideres, når perioden er udløbet. Dermed skal den mærkede virksomhed eller produkt generhverve mærket, når kriterierne er revideret. Erfaringerne fra undersøgelsen peger på, at så længe licensperioden var klar for medlemmerne fra start af og kriterierne ikke krævede store forandringer i forhold til kontrollen, havde de dynamiske kriterier ikke en negativ indvirkning for medlemmerne. Til gengæld blev det opfattet, som en vigtig del af mærkets værdi, at det givne mærke holdte sig tidsvarende.

Flere af de adspurgte medlemsvirksomheder af mærkningsordninger, som anvendte denne model, mente, at det faste tilsyn til tider kan blive tungt, da det ikke tager højde for lang-varig regelefterlevelse. Flere af medlemsvirksomhederne fremhævede i den sammenhæng, at mærkningsordningen derfor burde arbejde på at slå faste tilsyn sammen med tilsyn fra andre mærkningsordninger af relevante fagområder, for dermed at minimere antallet af kontrolbesøg mest muligt. Dette blev begrundet med at mange medlemmer har en kvalitetsafdeling, der dækker flere operationelle aspekter. Der ses tæt samarbejde mellem bland andet Bedre Dyrevelfærd, Ø-mærket, Nøglehullet samt FairTrade, UTZ og Rainforrest Alliance.

12

2) Risikobaseret kontrol og tilsyn

Vi laver kampagnetilsyns-planer hvert år pba. vores fagspecifikke viden, viden fra vores internationale samarbejdspartnere, udvikling i markedet og indberetninger.

1

Vi laver kontrol ved indmeldelse og efterfølgende årlig uanmeldt kontrol. Samtidig laver vi en kampagne årligt.

3

2

Vi ser i øjeblikket på mulighederne for at gøre dele af vores kontrol mere automatiserede med algoritmer.

4Nogle typer af medlemmer bliver tjekket flere gange årligt, mens andre går fri i flere år. Det vurderer vi ud fra vores branche-kendskab.

Beskrivelse

Risikobaseret kontrol og tilsyn bygger i praksis oftest videre på klassisk tilsyn og kontrol ved stadig at have tilsyn med faste tidsintervaller. Alt afhængig af styrken i risikomodellen vil det faste tilsyn kunne minimeres og ikke nødvendigvis længere være årligt. Viderebygningen ligger dog også i, at der samtidig også vil blive ført en anden og ofte meget dybere kontrol pba. af en risikomodel, som bruges til at udvælge medlemmer, områder, produkter eller lignende til yderligere kontrol i form af uanmeldte- eller kampagnetilsyn. Med kampagnetilsyn forstås, at et specifikt område eller gruppe af medlemmer udvælges til yderligere kontrol pba. fagspecifik viden, indberetninger, historisk tilsynsdata eller lignende.

Erfaringer

Flere mærkningsordninger anvendte denne fremgangsmåde, dog med varierende systematik. Det vil sige, at nogle havde en klar strategi om at lave kampagnetilsyn og mål for hvor mange, mens andre lavede det mere ad hoc pba. af erfaring og markedsudvikling.

Ingen af de adspurgte mærkningsordninger havde en proaktiv datadreven risikomodel, hvor der på baggrund af strukturerede dataanalyser, ofte i realtid, bliver lagt en samlet plan for tilsynet, men byggede deres uanmeldte- eller kampagnetilsynsarbejde på en række forskellige kilder, som f.eks. fagspecifik viden, information fra samarbejdspartnere, historisk tilsynsdata, kundeindberetninger o. lign., på en mere ad hoc baseret måde.

Flere af mærkerne arbejdede dog på at automatisere denne proces for dermed bedre at kunne opdage højrisikoområder.

13

02 Sammenligning af de syv mærker

14

Sammenligningskriterierne

Finansieringsmodel: Finansieringsmodellen danner grundlaget for mærkningsordningens økonomi. Nogle mærker er finansieret fra en enkelt kilde (statsfinansiering), mens de fleste mærkningsordninger bruger en kombination af kilder. Dette kunne f.eks. være medlemsgebyr og gebyr for opstartstilsyn. Generelt kan man sige, at jo flere forskellige kilder af finansiering et mærke anvender, jo mindre transparent er prismodel.

Kontroltype: I denne rapport differentieres der mellem 1) fysisk tilsyn forstået som fysiske besøg hos medlemmet, 2) dokumenttilsyn

forstået som kontrol af dokumentation rekvireret og leveret af medlemmet og 3) databaseret tilsyn, hvilket også dækker kontrol af data

leveret af medlemmet uden at have været behandlet, inden det er tilgængeligt for kontroludføreren.

Kontroludfører: Man kan overordnet set vælge imellem tre måder at udfører kontrol på: 1) internt, 2) internt og med tredjeparter og

3) udelukkende tredjeparter. At udfører kontroller internt kan give en større mulighed for at sikre ensartethed i kontroludførelsen, men

det er samtidig en mindre skalerbar løsning og kan være fordyrende. Hvis man vælger at lade kontrollen udfører af tredjeparter, typisk

akkrediterede kontrolvirksomheder, vil man modsat få en stor grad af skalerbarhed, men det kræver samtidig et øget fokus på

ensartethed. Med en kombineret løsning får man groft sagt en middelvej.

Governance: Dette drejer sig primært om, hvem ejeren af et mærke er, og hvilket mandat et mærke agere på baggrund af. Overordnet

set kan man karakterisere tre modeller: 1) statskontrolleret, 2) blandet som for eksempel en erhvervsdrivende fond med både statslig

og privat indblanding og 3) privat. Governance og styring generelt spiller en stor rolle ift., hvilken legitimitet et mærke automatisk får.

En generel betragtning er, at statskontrollerede mærker oftest nyder en højere tillid, også selvom de er nye. Mærker med en blandet

eller privat governance-struktur kan godt opnå tillid på samme niveau, men dette vil oftest tage længere tid at opbygge.

Egenkontrol: De fleste mærkningsordninger bygger på en udefrakommende kontrol, men supplerer denne med egenkontrol i den ene

eller anden form. Egenkontrol danner et godt grundlag for tilsyn og kan gøre kontroludførelsen lettere. Det er dog vigtigt at holde for

øje, at hvis der ikke følges op på egenkontrollen fra kontroludføreren, så er der en risiko for snyd.

Hvordan skal sammenligningskriterierne forstås?

For at kunne sammenligne de syv mærknings-ordninger, har Deloitte udvalgt fem karakteri-stika, som ordningerne sammenlignes på.

De fem karakteristika er underinddelt i kriterier. Disse kriterier er alle baseret på analysen af de syv mærkningsordninger. Kriterier er på det følgende slide præsenteret i et kontinuum, hvor fordele og ulemper ved dem er præsenteret. De kriterier, som logisk ligger længst fra hinanden, er præsenteret længst fra hinanden i tabellen. Det er dog vigtigt at understrege, at de fleste mærkningsordninger ikke er baserest på enkelte kriterier, men oftest vil bruge en kombination af flere kriterier. Dette er særligt tilfældet omkring finansieringsmodellen, hvor alle mærknings-ordningerne, udover Ø-mærket og Spillemyndig-hedens mærke, er baseret på flere indkomstkilder.

Det er derfor vigtigt at understrege at sammen-ligningerne af mærkningsordningerne på bag-grund af enkelte kriterier oftest vil være en oversimplificering, som bør tage flere faktorer, herunder hvad der mærkes, med i betragtning.

15

Primær tilgang til kontrol og tilsyn

Risikobaseret Klassisk Klassisk Klassisk Risikobaseret Risikobaseret Klassisk

Finansieringsmodel Statsfinansieret Gebyr for opstartsstartkontrol og løbende kontrol

Betaling for opstartskontrol,løbende kontrol, licensbetaling og medlemskabs-betaling

Stasligt tilskud og medlemsbetaling for betaling for opstartskontrol, løbende kontrol og licensbetaling

Licensbetaling Betaling for opstartskontrol og medlemskab

Betaling for opstartskontrol

Primære kontroltyper

Dokumentations-kontrol og fysiske tilsyn

Fysiske kontrolbesøg



Dokumentations-og datakontrol

Datakontrol Dokumentations-kontrol

Primære kontroludførere

Internt og akkrediterede tredjeparter

Internt og akkrediterede tredjeparter

FLOCERT (delvist medejet tredjepart)

Internt Internt Internt Akkrediterede tredjeparter

Governance Statskontrolleret afFødevarestyrelsen og Landbrugsstyrelsen

Statskontrolleret.Involvering af markedsdeltagerne i Partnerskabet

Fairtrade DK er en demokratisk organisation ogherudover selvstændigt medlem af Fairtrade international.

Svanemærket og Ecolabel er administreret af Miljømærkning Danmark.

Statskontrolleret af Spillemyndigheden

Selvejende institution

Statskontrolleret af National Cyber Security Centre i England

Element af egenkontrol

Ja Ja Ingen krav om egenkontrol for sælgere og distributører

Ja Ja Nej Vides ikke

Overordnet oversigt af mærkernes hovedkarakteristika (1)

Mærke

16

Vejledning og awareness

Vejledningertilgængelige på hjemmeside. Der har tidligere været markedsføringskampager for Ø-mærket, men kendskabet er meget højt.

Vejledningerhjemmeside på internettet. Mærketfik ifm. med etableringen DKK 17 mio. primært til informationskampagner.

Fairtrade DK yder implementeringsbistand til medlemmer. Herudover laver de også informationskampagnearbejde målrettet forbrugere.

Vejledningertilgængelige på hjemmesiden samt inspirations-materiale, som kan bruges i markedsførings-sammenhæng

Spillemyndigheden ligger stor vægt på at have en dialogbaseret tilgang til tilsyn-og kontrol ift. implementering. For eksempel holdes der halvårlige kontaktmøder med alle medlemmerne.

Vejledning om implementering ved kontakt og ifm. indmeldelse i ordningen.

Vejledningtilgængelig på hjemmeside. Påkrævet mærkning ifm. bud på offentlige kontrakter, som behandler personfølsomme oplysninger.

Mandat Dansk og EU-lovgivning

Dansk lovgivning Internt udviklede krav godkendt af ISEAL

Dansk og EU-lovgivning

Dansk lovgivning Internt udviklede krav

Internt udviklede krav

Antal medlemmer Fødevarestyrelsen er ansvarlig for ca. 2.000 virksomheder

200svinebesætninger og 30 kyllingebesætninger. Herudover udføres der kontrol hos en række større slagterier og en stor del af detailhandlen (tal ikke specificeret af Fødevarestyrelsen)

1.400 produkter er Fairtrade mærket på det danske marked. Antallet af virksomheder, som har en certificering er ikke kendt.

Svanemærket har 868 licenshavere med ca. 14.500 produkter/services. EU-blomsten har 132 licenshavere med ca. 4.000 produkter.

Spillemyndigheden fører kontrol og tilsyn med 40 udbydere af online kasino og væddemål på det danske marked.

Ca. 2.400medlemmer

Mere end 6.000virksomheder havde certifikatet i marts 2017

Overordnet oversigt af mærkernes hovedkarakteristika – (2)

Mærke

17

Sammenligning af mærkningsordninger

Note: Vurderingerne i denne figur er subjektive og udelukkende baseret på den information, som er tilvejebragt i forbindelse med denne undersøgelse. Samtidig er det vigtigt at understrege, at den repræsenterer en simplificering af de mærker, som er scoret. Formålet med modellen er at give et overblik, som bør bruges som oplæg til diskussion.De steder hvor der er noteret N/A, har det ikke været muligt at finde en entydig beskrivelse, som har kunne gøre det muligt at vurdere egenkontrollen.

Finansieringsmodel Kontroltype Kontroludfører Governance EgenkontrolSamlet

RessourcetrækSamletTillid

Ø-mærket

Dyrevelfærdsmærket

Fairtrade N/A

Svanen/EU-Blomsten

Spillemyndighedens mærke

e-mærket

Cyber Essentials N/A

Kuglerne i nedenstående tabel skal forstås således at jo mere fyldte kuglerne er, jo større ressourcetræk er der bag selve mærkningen, og jo større er den

forventede opfattede tillid til mærket. Dette gælder for både medlemmerne og organisationen bag mærket. En fyldt blå kugle betyder således, at der er et stort

ressourcetræk for mærkningsorganisationen, mens en fyldt grøn kugle betyder, at denne løsning giver en høj forventet opfattet tillid blandt interessenter

(medlemmerne eller deres interessenter – der kan være en forskel). Det er i denne undersøgelse værd at bemærke, at de udvalgte mærkningsordninger generelt

set nyder en stor tillid.

Af ovenstående tabel kan det aflæses at tre mærker giver fuldt samlet ressourcetræk og tillid. Det drejer sig om mærkerne; Ø-mærket, Dyrevelfærdsmærket

og Svanen/EU-Blomsten. Et fælles træk for de tre ordninger er, at kontrollen har et element af fysik, som gør at mærkets kontrollører er tæt på medlemmerne,

og de bliver dermed relativt ressourcetunge. Men samtidig viser erfaringerne at kontroludføreren og finansieringsmodellen for disse ordninger ikke giver grobund

for mistillid til mærket.

Erfaringerne viser også at Cyber Essentials er blevet designet til at have et let og markedsdrevet kontrol og tilsyn, dele af designet har formegentligt været

medvirkende til mindre tillid til mærket. Især finansieringsmodellen og kontroludføreren giver incitamenter for tredjeparter til at suboptimere på egne veje.

To ordninger står ud med en fordelagtig balance mellem ressourcetræk og tillid, det drejer sig om mærkerne; e-mærket og Spillemyndighedens mærke. Her

gælder dog nogle helt specielle ordninger. For e-mærket gælder at kriterierne er enormt simple og uniforme overfor medlemmerne, dette gør at kontrollen og

tilsynet kan designes meget let og effektivt. For Spillemyndigheden gælder, at deres mærke har en meget stor markedsværdi for medlemmerne, og de kan derfor

stille store krav til medlemmerne via hjemmel i lovgivningen, som gør at medlemmerne skal levere store mængder data uniformt, der kan analyseres på.

18

Sammenligning af mærkningsordninger - fortsat

Note: Vurderingerne i denne figur er subjektive og udelukkende baseret på den information, som er tilvejebragt i forbindelse med denne undersøgelse. Samtidig er det vigtigt at understrege, at den repræsenterer en simplificering af de mærker, som er scoret. Formålet med modellen er at give et overblik, som bør bruges som oplæg til diskussion.De steder hvor der er noteret N/A, har det ikke været muligt at finde en entydig beskrivelse, som har kunne gøre det muligt at vurdere egenkontrollen.

Ø-mærket: Kendetegnet ved stort ressourcetræk og masser af tillid, idet

mærket har tung kontrol med dele af dokumentation og fysisk kontrol. Yderligere

er det statskontrolleret som bidrager til tilliden til mærket især på

eksportmarkeder der er delvist statsstyret. Yderst simpel finansieringsmodel.

Dyrevelfærdsmærket: Kendetegnet ved stort ressourcetræk og masser af

tillid. Meget samme tilsyn og kontrol som Ø-mærket, dog kan kontrollen også

foretages af en tredjepart, hvorfor finansieringsmodellen er en anelse mere

kompleks.

FairTrade: Kendetegnet ved mellem ressourcetræk og tillid, idet dybden af

kontrollerne ikke er ligeså store som for Ø-mærket da der her ikke også er fokus

på fremstillingsprocessen. Dog har mærket en oplevet uigennemsigtigt

finansieringsmodel, der trækker ned i forhold til tillid.

Svanen/Blomsten: Kendetegnet ved stort ressourcetræk og masser af tillid,

idet mærket har meget tung kontrol og samtidig er dens governance

tillidsvækkende. Yderligere er ordningens krav dynamiske som den løser ved at

give en licensperiode per produkt.

Spillemyndigheden: Kendetegnet ved meget tillid og mindre ressourcetræk. I

forhold til det overordnede ressourcetræk er det især kontroltypen som afviger

fra resten og giver en noget lettere ordning, da meget store dele foregår digitalt.

E-mærket: Kendetegnet ved meget lavt ressource træk og meget tillid, dette

opnås primært via kontroltypen, governance og egenkontrol er ressourcelette

samtidig med at der stadig er fuld tillid til mærket.

Cyber Essentials: Kendetegnet ved lavt ressourcetræk og medium tillid idet

finansieringsmodellen, kontroltypen og kontroludfører ikke giver voldsomt meget

tillid i forhold til de andre ordninger.

19

03 Modeller for kontrol og tilsyn

20

Modeller for kontrol og tilsynNedenfor er illustreret to mulige yderpunkter og arketyper for et fremtidigt kontrol og tilsyn, samt en mulig hybrid. Det er Deloittes vurdering at en fremtidigt vellykket kontrol og tilsyn vil lægge indenfor dette spektrum af muligheder. De enkelte modeller er yderligere uddybet på de næste sider.

•Modellen lægger tæt op ad den klassiske tilgang til tilsyn og kontrol beskrevet tidligere i rapporten. Med det menes, at modellen tager udgangspunkt i traditionelle tilsyn, hvor noget specifikt defineret gøres til genstand for kontrol og tilsyn. Dette kunne f.eks. vedrøre fysisk sikkerhed af servere, backups, gennemgang af procedure og arbejdsgange, samt mere tekniske aspekter som firewall og adgangskontrol.

Klassisk IT Tilsyn

•Modellen lægger op til en øget automatisering af kontrol og tilsyn hvor der i højere grad fokuseres på den tekniske (datamæssige) del af cyber-og informationssikkerhed og ansvarlig dataanvendelse og at der anvendes en robust risikobaseret model.

Datadrevenmodel

•Modellen er en lettere og mindre ressourcekrævende model i forhold til tilsyn og kontrol sammenlignet med de to øvrige modeller. Den ligger op til, at der fortsat føres kontrol og tilsyn med en fast kadence, som i den klassiske IT-tilsynsmodel, men i et mindre omfang og herunder en øget andel af egenkontrol og databaseret tilsyn, hvor indsendt materiale gennemses.

Fremtidenstrappe

21

A. Klassisk IT-tilsynEn model, som lægger sig tæt op ad den klassiske model, men er tilpasset cyber-og informationsikkerhed og ansvarlig dataanvendelse/etik

Finansieringsmodel Kontroltype Kontroludfører Governance Egenkontrol Ressourcetræk Tillid

Klassisk IT-tilsyn

Fordele Modellen er transparent og kendt fra andre

mærkningsordninger, hvilket vil bidrage til at skabe tillid og tiltrække medlemmer.

Modellen vil med stor sandsynlighed kunne blive ‘selvkørende’ efter en opstartsinvestering og indledende løbende økonomisk støtte, da modellen vil kunne finansieres af opstartstilsyn, løbende tilsyn og medlemsgebyr.

Ulemper Modellen vil formentligt være ressource-

krævende, hvis man vil opnå en model, som er effektiv og har høj tillid.

Når man tager kompleksiteten af cyber- og informationssikkerhed samt ansvarlig dataanvendelse og etik i betragtning, bør man forvente, at medlemmer, og herunder særligt SMV’er, vil have behov for en betydelig mængde råd og vejledning, da det forventede kontrolpres på virksomhederne antages at være højt i denne model

Der er en stor risiko for, at særligt SMV’er vil blive skræmt væk, hvis der sættes meget ‘faste’ krav til regelefterlevelse, når kompleksiteten af cyber-og informationssikkerhed samt ansvarlig dataanvendelse og etik tages i betragtning

Beskrivelse

Modellen klassisk IT-tilsyn lægger tæt op ad den klassiske tilgang til tilsyn og kontrol beskrevet tidligere i rapporten. Med det

menes, at modellen tager udgangspunkt i traditionelle tilsyn, hvor noget specifikt defineret gøres til genstand for kontrol og

tilsyn. Dette kunne f.eks. vedrøre fysisk sikkerhed af servere, backups, gennemgang af procedure og arbejdsgange, samt

mere tekniske aspekter som firewall og adgangskontrol. Modellen er dermed i høj grad afhængig af, at der kan udvikles klare

kriterier, som kan opfylde et fuldstændighedsprincip set ud fra et revisionsmæssigt perspektiv. Her kunne et mere ambitiøst

udgangspunkt være CIS20 rammeværket eller ”The GNI Principles”* for dataetik med relevante supplementer.

Denne model vil relativt nemt kunne udformes med forbehold for, hvad de præcise kriterier for mærket bliver, da det er en

allerede anvendt og testet model, med betydelig erfaring fra andre mærkningsordninger. Samtidig er det en model, som

formentligt vil være relativt ressourcekrævende at implementere, da den stadig vil kræve en betydelig mængde kontrol og

tilsyn, og herunder også fysisk eller som minimum dokumentbaseret tilsyn. Der er en risiko for, at denne tilsyns-og

kontrolmodel bliver omstændig at lave kravs ændringer i, da dette potentielt kan kræve procesændringer hos

virksomhederne. Herudover er der en risiko for at modellen ikke vil være omstillingsparat nok til den store udvikling, som

sker inden for cyber- og informationssikkerhed samt ansvarlig dataanvendelse og etik.

Hvis modellen udrulles i sin fulde form, må den forventes at kræve en betydelig andel af opstartskapital og løbende

økonomisk støtte i de første år, da omkostningerne ellers kan forventes at blive for høje til at tiltrække nye og herunder

særligt mindre virksomheder. Dette skyldes, at fysiske tilsyn som udgangspunkt er en omkostningstung kontrolform at

udføre. Såfremt man vælger at udføre fysiske tilsyn, kan denne opgave med fordel helt eller delvist udliciteres for at reducere

de faste omkostninger for mærkningsordningen.

Denne model ville både kunne fungere som en statsstøttet eller mere halvoffentlig løsning (f.eks. erhvervsdrivende fond, med

en bred gruppe af interessenter). Det vanskelige ved en fuldstændig statsstøttet/ejet model er, at en sådan model oftest vil

kræve et juridisk mandat, hvorimod en halvoffentlig i højere grad legitimt vil kunne fungere uden. I begge tilfælde vil det dog

formentligt være nødvendigt med en relativt stærk og stor organisation, som kan håndtere al tilsynsdata.

*https://globalnetworkinitiative.org/gni-principles/

22

B. Datadreven model (delvist automatiseret)Øget fokus på datakontrol og co-creation med mærkets medlemmer


Datadreven

Fordele På sigt kan medlemmerne opleve et lavere

kontrolpres generelt, hvilket kan gøre det attraktivt at komme ind i mærket

Bedre samlet overblik over medlemmernes cyber- og informationssikkerhed samt ansvarlig dataanvendelse og etik, som kan bruges til at forbedre niveauet på tværs

Medlemmer og interessenter vil føle, at mærket er mindre officielt og dermed mere åbent for co-creation.

Ulemper Indledningsvis ressourcekrævende model, som

vil kræve stor opstartskapital at søsætte. Automatiseringen af tilsyn vil være tids-og

omkostningskrævende at udvikle. Derfor kræver denne del en langvarig og gradvis udvikling for at kunne realiseres indenfor en rimelig økonomisk ramme.

Nogle medlemmer kan på længere sigt føle manglende værdi, hvis de ikke mærker tilsynet.

Det kan være vanskeligt at få medlemmerne til at dele data, hvis de mener at det er følsomt for deres forretning.

Beskrivelse

Denne model lægger på sigt op til en øget automatisering af kontrol og tilsyn hvor der i højere grad fokuseres på den

tekniske (datamæssige) del af cyber-og informationssikkerhed og ansvarlig dataanvendelse og at der anvendes en robust

risikobaseret model. Til sammenligning med den klassiske IT-tilsynsmodel, vil denne model være mindre kendt og afprøvet,

hvilket kan have en negativ indflydelse på tilliden til mærket. Man bør derfor overveje, at indfase denne model med tiden og

starte med en model som bygger på fysisk og dokumentbaseret tilsyn, som gradvist reduceres og skiftes ud med en mere

risiko-og databaseret tilgang.

Hvis kontrol og tilsyn på sigt automatiseres og der implementeres en datadreven risikomodel, så er det forventningen, at de

marginale omkostninger til tilsyn vil falde jo flere medlemmer som mærket får. For at denne forventning kan indfries, kræver

det dog at tilsynet i høj grad automatiseres, da omkostningerne til at udvikle et system, som kan automatisere tilsynet må

forventes at være høje. Denne investering skal enten finansieres igennem en opstartsinvestering udefra eller løbende

gennem betalinger fra medlemmerne. Når modellen er fuldt ud automatiseret og datadreven vil den kunne finansieres

igennem opstartstilsyn og medlemsgebyrer, som det også er tilfældet i e-mærket. Før dette bør finansieringsmodellen i

højere grad minde om den som er i det klassiske IT-tilsyn.

Hvis tilsynet skal automatiseres vil det i høj grad kræve, at den data som leveres fra virksomhederne er af høj kvalitet, og at

der opsættes automatiserede rapporteringskanaler. Dermed må det forventes, at den bagvedliggende organisation

nødvendigvis skal være mere IT-teknisk, for at kunne kontrollere og udvikle det automatiserede tilsyn, samt for at yde

support til medlemmerne, som må forventes at være nødvendigt. Hele eller dele af denne opgave ville med fordel kunne

håndteres af eksterne for at sikre et nødvendigt kompetenceniveau. Dermed vil den bagvedliggende organisation også kunne

være mindre end tilfældet for den forrige præsenterede model. Hvis denne model vælges, kan den med fordel etableres som

en erhvervsdrivende fond, med et repræsentantskab med medlemmer fra både den offentlige og private sektor, da dette i

højere grad vil give et indtryk af en agil organisation. Herudover bør man ligge op til øget brugerinvolvering blandt

medlemmerne for at skabe et fællesskab omkring mærket.

23

C. Fremtidens trappeEn lettere tilsyns-og kontrolmodel med fokus på medlemsengagement

Fordele Modellen vil formentligt være mindre

ressourcekrævende sammenlignet med de to øvrige præsenterede modeller

Det øgede engagement grundet egenkontrol vil på sigt øge videns- og kompetenceniveauet blandt mærkningens medlemmer

Den trinvise inddeling kan være med til at sikre at flere virksomheder kommer med, da dem som på nuværende tidspunkt ligger lavt på cyber- og informationssikkerhed samt ansvarlig dataanvendelse og etik vil have mulighed for at komme med på rejsen.

Ulemper Tilsyn og kontrol som i højere grad baserer sig på

egenkontrol, vil formentligt have svært ved at opnå en høj grad af tillid og regelefterlevelse. Dermed kan mærket i værste fald hurtigt blive værdiløst.

Såfremt mærkets tilsyn og kontrol baseres på kontrolbesøg, databaseret/digitaliseret kontrol og egenkontrol er der en risiko for at modellen bliver mindre transparent for potentielle nye medlemmer, da kontroltrykket kan være sværere at gennemskue.

Beskrivelse

Modellen er en lettere og mindre ressourcekrævende model i forhold til tilsyn og kontrol sammenlignet med de to øvrige

modeller. Den ligger op til, at der fortsat føres kontrol og tilsyn med en fast kadence, som i den klassiske IT-tilsynsmodel,

men i et mindre omfang og herunder en øget andel af egenkontrol og databaseret tilsyn, hvor indsendt materiale gennemses.

I forhold til egenkontrol, kunne man udføre fysiske stikprøvetilsyn for dermed at spare ressourcer.

Såfremt denne model vælges, kunne man med fordel have en differentieret tilgang til kriterierne i mærkningsordningen. Her

gøres en del af kriterierne obligatoriske, mens andre kriterier skal implementeres over en defineret tidshorisont. Dette kunne

særligt være relevant for SMV’er. Hermed skabes en trappe hvormed medlemmerne forbedre deres cyber-og

informationssikkerhed løbende. Dette kan gøre det lettere at tiltrække nye medlemmer og øge engagementet blandt

medlemmerne. Differentieringen behøver ikke nødvendigvis være synlig for modtagerne af mærket. Alternativt kan der

anvendes et ‘under udvikling’ logo.

Denne model kan med fordel struktureres som en erhvervsdrivende fond, med en bred gruppe af interessenter. Hermed kan

mærket hurtigere blive selvdrivende og fremstå mere dynamisk. Samtidig vil en bred gruppe af velkendte interessenter være

med til at skabe øget legitimitet og dermed tillid til mærket. Såfremt medlemmerne skal betale medlemsgebyr bør man

særligt overveje at tilbyde yderligere service såsom for eksempel vejledning til forbedringer af modenhed, for dermed at vise

kontinuerlig værdiskabelse. Dette kan være særligt vigtigt i denne model, da der ligges op til en længere udviklingsrejse,

hvor virksomheder som allerede har et vist niveau af cyber- og informationssikkerhed samt ansvarlig dataanvendelse og etik

ikke ønsker at være med alene for mærket.

Denne model må forventes at være mindre tillidsskabende en de to øvrige modeller. Dette skyldes at alt andet lige, vil en

øget andel af egenkontrol og stikprøvetilsyn være mindre tillidsvækkende. Samtidig ligger modellen op til, at kravene til

mærkning vil starte på et relativt lavere niveau, hvilket kan give indtryk af en mindre troværdig model, som kan medvirke til

at virksomheder ikke ønsker at være medlem, da værdien af selve mærket i markedsføringssammenhæng er marginal.


Fremtidens trappe

24

04 Vores anbefalinger

25

Vores anbefalinger

•Det anbefales at Konsortiet detaljeret kortlægger alle de mulige kriterier, som kan bringes i anvendelse som grundlag for mærkningsordningen. Man bør anvende en SMART (Specifikt, Målbart, Attraktivt, Realistisk og Tidsbestemt) tilgang i 3 grupperinger: Cyber- og informationssikkerhed, Privacy og Dataetik og hvorvidt de er håndterbare i et data-drevent setup.

Kriterier

•Det anbefales, at anvende en kombinationsmodel mellem den klassiske kontrol- og tilsynsmodel og den datadrevne model, som over tid skifter fra den klassiske model til den data-drevne. Det er samtidig afgørende vigtigt, at man fokusere på at skabe tillid til mærket hos aftagerne og at skabe tillid blandt mærkets brugere, herunder at sikre, at det er veldokumenteret hvordan mærket kan bibringe dem forretningsmæssig værdi.

Tillid

•Det anbefales, at der udarbejdes en samlet business case for hele økosystemet, således at man kan vurdere såvel den værdiskabelse som øget cyber- og informationssikkerhed, privacy og dataetik, medfører for mærkets brugere, sammenholdt med ønsket om at mærket over tid skal være selvfinansierende. En forudsætning for at man kan modellere en holistisk business case er, at man har kriterierne defineret og at man har lagt sig fast på en kontrol- og tilsynsmodel.

Finansiering

Deloittes anbefalinger tager udgangspunkt i de konklusioner, som interviews og analyse har fremdrevet. Samtidig har vi i vores dialog med konsortiet fået en klar forståelse af hvad der politisk som administrativt er målbilledet, og i den optik har vi tillige forsøgt at opstille en fremtidig model, som – baseret på en række forudsætninger – kan visualisere hvordan en fremtidig kontrol- og tilsynsmodel kan se ud. Vi har kaldt denne model for ”Fremtidens trappe”.

26

Vores anbefalinger til de fem kriterierAnbefalingerne tager udgangspunkt i observationerne af de 7 mærkningsordninger. Anbefalingerne er ment som et oplæg til diskussion.

Finansieringsmodellen skal være transparent for med-lemmerne og størrelsen på mærkningsordningens bidrag (pris for mærket) spiller envæsentlig faktor for særligt SMV’er. Man bør derfor overveje en løsning, hvor adgangs-barrieren ikke er for høj, eller hvor udgifterne erspredt ud. Fællesnævneren for de fleste af de analyserede finansieringsmodeller er, at de med tiden er blevet selvkørende, med undtagelseaf de statsfinansierede, efter en indledende investering fra mærkets parter i forbindelse med etableringen. Hvis mærket starter ud uden enmærkbar og langsigtet investering, vil det være vanskeligt, da det i så fald vil kunne fremstå kommercielt i jagten på medlemmer, hvilketikke vil virke tillidsvækkende for medlemmer.

Egenkontrol er ofte et vigtigt redskab iden samlede kontrol, for at undgå point-in-time kontroller. Samtidig er detnødvendigt at følge op på disse ofte, hvisman anvender stikprøver, ellers vil devirke utroværdige. Ingen af mærkerne,udover Cyber Essentials brugteudelukkende egenkontrol og dettefrarådes, da effekten på mærkets tillid erfor negativ.

Kontroludføreren kan både være intern ogekstern og en blanding derimellem. Hvis manvælger en intern løsning, skal man dog gøresig klart, at dette vil være økonomisk ogorganisatorisk ressourcekrævende og mindreskalerbart, mens man med en ekstern udførerkan tilpasse aktiviteterne efter udviklingen ogsikre et nødvendigt kompetenceniveau –særligt inden for meget tekniske områder. Dogskal det bemærkes at ensartethed bedst opnåsved færre kontroludfører.

Governance, mandat og ejerskab spilleren central rolle i at skabe tillid til etmærke. Modtagerene af et mærke vilikke altid gå ind i de tekniske detaljer afet mærke, men snarere bedømme det udfra troværdigheden af de parter, som stårbag, og hvordan kravene er udformet. Enstatsejet model har vist sig megettillidsfuld, selv på kort tid, men den kansamtidig nemt fremstå meget officielt,forstået som noget man som medlem imindre grad bør engagere sig i. Enløsning, for eksempel enerhvervsdrivende fond med etrepræsentantskab med medlemmer frabåde fra offentlige som private eller enselvejende fond, vil modsat fremstå meredynamisk, men samtidig troværdig, hvisparterne bag den er det.

Kontroltypen spiller naturligvis en stor rolle i, hvor troværdigt et mærke er. Generelt ermodtagerne af mærkerne dog ikke meget interesseret i dette, blot mærket fremstårtillidsfuldt. Medlemmer af mærker er villige til at acceptere et højt kontrolpres, blot de er sikrepå, at deres konkurrenter er udsat for det samme. Derfor bør man sikre dette. Samtidig er detvigtigt at sikre, at formålet, med hvad der skal kontrolleres, er klart, så man ikke kontrollerermere, end hvad der virker nødvendigt.

27

Fremtidens trappe INedenstående model er et bud på hvordan en samlet model kan se ud – og hvad det har som konsekvens for såvel de deltagende virksomheder som for modellens bæredygtighed. Det er vigtigt at understrege, at Deloitte alene har vurderet mulige modeller for kontrol- og tilsyn, hvorfor en total analyse af den samlede model er udenfor scope. For at illustrere hvad det fremtidige set-up kræver i samspil med mærkets vurderingskriterier, har vi sat ord på en mulig model.

Fordele Modellen vil formentligt være mindre

ressourcekrævende sammenlignet med modellen klassisk IT-tilsyn

Det øgede engagement grundet egenkontrol vil på sigt øge videns- og kompetenceniveauet blandt mærkningens medlemmer

Ulemper Tilsyn og kontrol som i højere grad baserer sig på

egenkontrol, vil formentligt have svært ved at opnå en høj grad af tillid og regelefterlevelse. Dermed kan mærket i værste fald komme til at virke tandløst.

Såfremt mærkets tilsyn og kontrol baseres på kontrolbesøg, databaseret/digitaliseret kontrol og egenkontrol er der en risiko for at modellen bliver mindre transparent.

Antagelser om kriterier for modellen: Det antages at man opfylder flere af nedenstående kriterier(*) for hvert af de 3 områder, for at kunne få mærket:

Model principper:

Kriterier: Der skal fastlægges 3-5 kriterier, som rammer cyber, dataetik og privacy. Man bør lave en analyse af mulige kriterier og så udvælge dem som er mest automatiseringsparate.

Kontrol- og tilsyn: Valg af model er betinget af hvad det er man ønsker at kontrollere (kriterierne). Finansieringsmodel: Administration og udvikling af modellen skal være selvfinansierende efter 5-10 år.

Cyber

•Ansattes kompetencer: >80% af de ansatte har gennemgået et cyber-hygiejne kursus(**)

• Sikkerhedsdokumentation: at man har afprøvet sin cyber- og informationssikkerhed (beredskabsøvelse, spear phishing, penetrationstest)

•Ledelsesfokus: At ledelsen / bestyrelsen har gennemgået dedikeret uddannelse

•At der sker formaliseret rapportering til ledelsen omkring sikkerhedshændelser.

•At man kan dokumentere at man løbende opdaterer programmer og operativsystemer.

Privacy

•Ansattes kompetencer: >80% af de ansatte har gennemgået et privacy-kursus(**).

•Ledelses fokus: At ledelsen / bestyrelsen har gennemgået dedikeret uddannelse

•At der sker formaliseret rapportering til ledelsen omkring sikkerhedshændelser.

• Organisatorisk forankring: At man har en DPM (Data Protection Manager eller DPO).

• At man har en politk (påhjemmesiden) der beskriver hvordanpersondata beskyttes.

Dataetik

•Ansattes kompetencer: >80% af de ansatte har gennemgået et dataetisk-kursus(**).

• Målbilleder: At man har endefineret politik (på hjemmesiden) for hvilke dataetiske overvejelsermed har gjort sig.

•

(*): Deloitte anbefaler, at det i detaljer kortlægges hvilke mulige kriterier der findes for de 3 indsatsområder, idet der her alene er tale om illustrative bud på kriterier.(**): Man vil med fordel kunne slå de 3 indsatsområders træning / awareness raising sammen og bruge digitale mekanismer til at undervise medarbejderne.

28

Fremtidens trappe IIDenne trappemodel vil kræve, at der skabes engagement blandt de deltagende omkring cyber-og informationssikkerhed, privacy og ansvarlig dataanvendelse. Medlemmerne vil i høj grad selv være med til at drive udviklingen og overholdelse indenfor mærket. Det vil være nemmere at snyde sig til mærket, når den traditionelle kontrol reduceres. En løsning på dette kunne på sigt derfor være at implementere en ‘name and shame’ ordning, sådan at snydere offentliggøres. En anden løsning kunne være at etablere et ambassadørkorps af virksomheder, som står i front for mærket, og som andre kan relaterer til.

År 2-5 Mærket ekspanderer gennem brug af ambassadører og brancheforeninger. Kriterierne for at opnå mærketøges gradvist og gøres mere parate til digital kontrol og tilsyn. Der investeres i datadrevne tilgange.

År 0-1 Konsoriets deltagere udpeger en række virksomheder, som bliver afprøvningsprototyper. De fårlejlighed til at komme med bud på hvor byrdefuldt dokumentationsarbejdet er og hvilkeinvesteringer der kræves. Der fastlægges mærke-logo og governance for mærket fastlægges.

År 5-10 Mærket har en høj genkendelsesgrad og virksomhederne ser det som et adelsmærke for god skik omkring cyber, data-etik og privacy. Mærket koster 5.000 – 10.000kr i mærke-bidrag, da kontrol og tilsyn er automatiseret. Provenuet brugestil mærkeudvikling og indrullering af flere medlemmer, hvorved enhedsomkostningerne falder.

3

1

2

Deloittes anbefaling: Over tid vil der blive bedre og bedre mulighed for at de deltagende virksomheder kan indberette standardiserede

informationer om de data-punkter som udgør fundamentet for tildelingen af mærket (kriterierne). Herved vil man gradvist kunne skifte fra en

egentlig traditionel / klassisk kontrol- og tilsynsmodel til en mere data-dreven tilsynsmodel. Som beskrevet tidligere er det vores vurdering, at

en ren data-dreven model for nuværende ikke er moden nok til at kunne realiseres, samtidig med at den ikke vurderes lige så tillidsskabende

som den klassiske model – men efter en årrække vil man gradvist blive mere og mere data-drevne, hvorved enhedsomkostningerne per

kontrol- og tilsyn vil falde markant.

29

04 Finansieringsmodel

30

Erfaringer for finansieringsmodel for kontrol og tilsynNedenstående erfaringer viser at selv for de simpleste kriterier er det svært at holde prisen under 10.000 kr. uden at gå meget på kompromis med enten kriterierne eller kontroludførslen. For e-mærket gælder det blandt andet, at det er et utroligt simpelt kriterie, som i og for sig er en fil med handelsbetingelser, hvilket gør at omkostningen for det mindste medlem er ca. 8.000kr. om året. Yderligere bør det noteres at e-mærket har et stort antal medlemmer for en dansk mærkningsordning.

For Spillemyndigheden gælder der at en del af prisen er en form for afgift der er indarbejdet, samt at det ikke nødvendigvis er et mærke der drives på samme markedsvilkår som de øvrige. Her er tale om at opnå tilladelse til at udbyde online serviceydelser, der statistisk set giver et overskud.

For at kunne opnå en bedre skalerbarhed i mærkningsordningen anbefales det at overgå til en mere datadrevet model for at opnå skalerbarhed og dermed kunne gøre mærkningsordningen gennemsnitligt billigere.

Pris per kontrol besøg eller certificering (estimat pba. interviewerfaring og offentligt tilgængeligt materiale)

Lavt Højt

E-mærket 8.000 kr. 18.000 kr. per virksomhed

Cyber Essentials 4.500 kr. 30.000 kr. per virksomhed

Svanemærket 10.000 kr. 28.000 kr. per produkt

Spillemyndigheden 280.000 kr. 400.000 kr. per virksomhed

Erfaringer

Samlet betaling (estimat pba. interviewerfaring og offentligt tilgængeligt materiale)

"Omsætning" Note #Medlemmer

E-mærket 12.000.000 kr. Bruttofortjeneste Ca. 2300

Fairtrade DK 7.000.000 kr. Alene licens i Danmark -

Dyrevelfærd 4.500.000 kr. -

Spillemyndigheden 11.200.000 kr. 16.000.000 kr. Ca. 40

Offentligt tilgængeligt kildemateriale:

Cyber Essentials pris og oversigt over akkrediterede bureauer (https://www.cyberessentials.ncsc.gov.uk/)

Fairtrade Danmark 2017 årsregnskab (http://fairtrade-maerket.dk/~/media/Fairtrade%20Denmark/Files/Aarsrapporter/Fairtrade%20Mærket%20Årsrapport%202017.pdf)

Fødevarestyrelsen oversigt over gebyrer 2019 (https://www.foedevarestyrelsen.dk/SiteCollectionDocuments/Oekonomi/Gebyrer/Foedevarestyrelsens_prisliste_2019.pdf)

Svanemærket gebyroversigt for kosmetik (https://www.ecolabel.dk/da/virksomheder/kriterier/vis-produktgruppe?produktgruppeid=090&projektgruppe=Svanen#,tab:gebyrer)

Politisk aftale bag Dyrevelfærdsmærket (https://mfvm.dk/fileadmin/user_upload/FVM.dk/Dokumenter/Landbrug/Indsatser/Foedevare-_og_landbrugspakke/Aftale_om_foedevare-_og_landbrugspakken.pdf)

Spillemyndigheden: Gebyr på væddemål og onlinekasino (https://www.spillemyndigheden.dk/gebyr-pa-vaeddemal-og-onlinekasino)

DatadrevenCIS-gennemsyn

Illustration af omkostning per kontrol

#Medlemmer

https://www.cyberessentials.ncsc.gov.uk/

http://fairtrade-maerket.dk/~/media/Fairtrade%20Denmark/Files/Aarsrapporter/Fairtrade%20Mærket%20Årsrapport%202017.pdf

https://www.foedevarestyrelsen.dk/SiteCollectionDocuments/Oekonomi/Gebyrer/Foedevarestyrelsens_prisliste_2019.pdf

https://www.ecolabel.dk/da/virksomheder/kriterier/vis-produktgruppe?produktgruppeid=090&projektgruppe=Svanen#,tab:gebyrer

https://mfvm.dk/fileadmin/user_upload/FVM.dk/Dokumenter/Landbrug/Indsatser/Foedevare-_og_landbrugspakke/Aftale_om_foedevare-_og_landbrugspakken.pdf

https://www.spillemyndigheden.dk/gebyr-pa-vaeddemal-og-onlinekasino

31

Bilag: Tilsyn- og kontrolkarakteristika

32

Fordele og ulemper ved forskellige tilsyns- og kontrolkarakteristikaTabellen visualiserer et kontinuum, hvor de største forskelle ligger længst fra hinanden. Under de enkelte overskrifter er der indsat fordele og ulemper ved netop den pågældende overskrift baseret på de udførte interviews.

Fin

ansie

ringsm

odel

Statsfinansieret Opstartskontrol Medlemsgebyr Løbende kontrol Licensfinansiering

Stærkt incitament blandt potentielle medlemmer pga. pris

Politisk betinget

Tydelig værdi for medlemmerne Kan være indgangsbarriere

Fast indtægtskilde Nødvendigt at vise løbende

værdiskabelse for medlemmerne

Kan bruges som måde til at sikre regeloverholdelse, fordi ekstra tilsyn koster.

Omkostningstungt for medlemmerne Risiko for forskudt incitamentstruktur,

hvis tredjepartstilsyn vælges

Kræver høj grad af transparens Kræver monitorering og rapportering

Prim

ære

kontr

oltype Fysiske kontrolbesøg Dokumentationstilsyn Datakontrol

Nemt og sikkert at kontrollere Visuelt for medlemmer og omverden Ressourcetungt

Risiko for manipulation Mindre ressourcekrævende

Skalerbart Teknologisk funderet Stor forhåndsinvestering

Prim

ære

kontr

olu

dfø

rer Interne kontroludfører Blandet Tredjepartskontroludfører

Konsistent Monopol Intern vejledning

Risiko for divergens mellem mærke og tredjepart Muligt at have interne kompetencer og skalere

Skalerbart Markedsudsat Armslængde Risiko for forkert incitament, hvis løbende kontrol er primær

indtægtskilde Mindre ensartethed

Govern

ance Offentligt/statsligt ejet

Blandet(OPP, selvejende fond med involvering af staten ol.)

Privatejet

Legitimt blandt forbrugere og i eksport Politisk styret Sanktioneringsmuligheder

Fastholdelse af legitimitet uden politisk styring Kræver langsigtet engagement fra alle parter Flere parter at trække på i usikre situationer

Kan få et kommercielt udtryk Finansielt usikkert Agilt/entreprenant

Egenkontr

ol

Minimal egenkontrol Maksimal egenkontrol



33

Fin

ansie

ringsm

odel

Statsfinansieret Opstartskontrol Medlemsgebyr Løbende kontrol Licensfinansiering

Stærkt incitament blandt potentielle medlemmer pga. pris

Politisk betinget

Tydelig værdi for medlemmerne Kan være indgangsbarriere

Fast indtægtskilde Nødvendigt at vise løbende

værdiskabelse for medlemmerne

Kan bruges som måde til at sikre regeloverholdelse, fordi ekstra tilsyn koster.

Omkostningstungt for medlemmerne Risiko for forskudt incitamentstruktur,

hvis tredjepartstilsyn vælges

Kræver høj grad af transparens Kræver monitorering og rapportering


Finansieringsmodel:

Finansieringsmodel dækker over måden, hvorpå mærkningsordningen finansierer sig selv. Dette kan være alt lige fra Statsfinansieret over modeller baseret på

opstartskontrol og/eller medlemsgebyr samt betaling for løbende kontrol til licensfinansiering efter aktiviteter. Ofte vil modeller også være et miks af de forskellige

elementer.

For ressourcetræk gælder, at jo mere kompliceret en betaling medlemmer skal betale, jo flere ressourcer går der til for både mærket samt medlemmet.

For tillid gælder, at jo mere transparent finansieringsmodellen er jo mere tillid har medlemmer til at den ikke er konkurrenceforvridende, ergo at nogen betaler mere end

andre for samme mærke indenfor samme industri.

Prim

ære

kontr

oltype Fysiske kontrolbesøg Dokumentationstilsyn Datakontrol



Skalerbart Teknologisk funderet Stor forhåndsinvestering

Primær kontroltype:

Primær kontroltype dækker over måden hvorpå den primære kontrol udføres. Dette gøres oftest ud fra 3 arketyper af kontrol, fra fysiske besøg over gennemgang af

dokumenter til central datakontrol. Igen gælder det at mange tilsyn ofte er en kombination af disse samt at alle former for kontrol kan være mere eller mindre

omfangsrige.

For ressourcetræk gælder, at fysiske kontroller helt klart har det højeste træk af ressourcer, herefter følger dokumentationskontrol og datakontrol.

For tillid gælder, at jo mere synlige og grundige kontrollerne er jo mere tillid oplever medlemmerne.

34


Prim

ære

kontr

olu

dfø

rer Interne kontroludfører Blandet Tredjepartskontroludfører

Konsistent Monopol Intern vejledning

Risiko for divergens mellem mærke og tredjepart Muligt at have interne kompetencer og skalere

Skalerbart Markedsudsat Armslængde Risiko for forkert incitament, hvis løbende kontrol er primær

indtægtskilde Mindre ensartethed

Primær kontroludfører:

Primær kontroludfører dækker over hvem der udfører kontrollen udføres. Dette kan enten gøres internt i mærket eller med en eller flere tredjeparter. Der eksisterer også

blandede modeller, hvor der både er et internt organ samt en tredjepart.

For ressourcetræk gælder, at der ikke er den store forskel for medlemmerne, men for mærket er det mest ressourceeffektivt med tredjeparter som kontroludførere, da der

i denne model opnås fuld skalerbarhed.

For tillid gælder, at jo færre der udfører kontrol jo større er oplevelsen af ensartethed og dermed tillid til at alle bliver behandlet ens.

Govern

ance Offentligt/statsligt ejet

Blandet(OPP, selvejende fond med involvering af staten ol.)

Privatejet

Legitimt blandt forbrugere og i eksport Politisk styret Sanktioneringsmuligheder

Fastholdelse af legitimitet uden politisk styring Kræver langsigtet engagement fra alle parter Flere parter at trække på i usikre situationer

Kan få et kommercielt udtryk Finansielt usikkert Agilt/entreprenant

Governance:

Governance dækker over, hvordan mærkningsordningen er ejet og drevet. Her ses modeller fra fuldt offentligt eller statsligt ejede og styrede over blandede ejerskaber til

privatejede modeller.

For ressourcetræk gælder, at oplevelsen for mærket er mere fleksibel styring for privatejede mærker og dermed et mindre ressourcetræk.

For tillid gælder, at offentlige/statslige mærker opleves som mere tillidsfulde.

35


Egenkontr

ol

Minimal egenkontrol Maksimal egenkontrol

Nemt og sikkert at kontrollere Mindre ressourcekrævende Point-in-time revision med risiko for manipulation

Risiko for manipulation Ressourcetungt for medlemmer Bedre forankring hos medlemmer

Egenkontrol:

Egenkontrol er den kontrol det enkelte medlem er pålagt af mærket, og giver god mulighed for forankring og forståelse af kriterier.

For ressourcetræk gælder, at jo mere egenkontrol medlemmerne skal udføre jo større ressourcetræk.

For tillid gælder, at øget egenkontrol er godt, men der skal passes på vægten af egenkontrol i tilsynet da der dermed opstår mulighed for manipulation.

36

Yderligere bilag

37

Begrebsoversigt

Begreber Beskrivelse

CISCIS står for Cyber-og Informationssikkerhed, som er en bredt dækkende betegnelse anvendt til at beskrive cybersikkerhed. Betegnelsen dækker over fysiske, processuelle og tekniske aspekter af IT-sikkerhed.

CIS20-rammeværkCIS20-rammeværket er udviklet af den international non-profit organisation Center for Internet Security. Virksomheder kan ikke opnå en officiel certificering indenfor CIS20. Rammeværket består af 20 prioriterede kontroller, som vurderes at have stor effekt for virksomheder at implementere.

DatakontrolHelt eller delvist automatiseret kontrol, hvor al data inden for fokusområdet eller dele af det kontrolleres. En sådan type kontrol vil kræve høj datakvalitet og en rapporteringskanal til kontrolinstansen.

DokumentationskontrolDokumentationskontrol kan udføres centralt eller hos medlemmet. Dokumentation kan udgøre procesbeskrivelser, udskrifter fra it-systemer o. lign.

Fysisk kontrolbesøgFysiske kontrolbesøg udføres fysisk hos den kontrollerede. Dette kunne f.eks. være på fabrikken, i stalden, på hovedkontoret eller lignende afhængigt af, hvad der kontrolleres.

ISEALISEAL er en global alliance af mærkningsordninger med fokus på bæredygtighed. ISEAL godkender mærkningsordninger som Fairtrade, FSC, Rainforest Alliance og andre mærkers mærkningskrav for dermed at sikre, at niveauet i standarderne er tilstrækkeligt.

KampagnetilsynKampagnetilsyn er en form for risikobaseret tilsyn. Her udvælges typer af virksomheder, produkter, brancher eller lignende til yderligere kontrol. Kampagnetilsyn vil oftest være planlagt og baseret på en risikovurdering.

LicensbetalingLicensbetaling er en finansieringsmodel, som anvendes af nogle mærkningsordninger. Her betales en licens pr. solgt produkt, pr. produceret enhed, pr. medarbejder eller lignende.

Løbende kontrolLøbende kontrol er den faste kontrol, som mange mærker udfører med fast tidsinterval. Denne står i kontrast til opstartskontrollen, men kan i realiteten ofte minde om den, særligt for mærker, hvor brugsretten til mærket skal generhverves hvert år.

OPPOPP står for Offentligt-Privat-Partnerskab. Dette er et begreb, som anvendes til at beskrive forskelligt udformede samarbejdsmodeller, hvor både offentlige og private aktører samarbejder om et givent projekt. Den præcise organisering af partnerskabet kan tage forskellige former, men et eksempel kunne være en selvstændig erhvervsdrivende fond.

OpstartskontrolOpstartskontrol er den kontrol, som en mærkningsordning laver i forbindelse med, at en ny virksomhed eller et nyt produkt søger om at blive mærket. For størstedelen af mærkerne udgør det den største kontrolhandling.

Navn Organisation Relateret mærke Mærke/medlem eller ekspert

Else Enemark & Christina Nygaard Veterinærchef/konsulent Fødevarestyrelsen Dyrevelfærdsmærket

Jakob Lamm Zeuthen Miljøpolitisk chef Dansk Erhverv Ekspert i mærkningsordninger

Jesper Arp-Hansen Direktør e-mærket e-mærket

Mads Juhl Kristensen Ejer Hyggeonkel.dk e-mærket

Andreas P.R. Hansen Souschef & Produktchef Fair Trade Fairtrade

Eva Eriksson Quality & Sustainability Director Löfbergs Coffee Group Fairtrade

Jan Madsen Kontorchef for Væddemål og Onlinekasino Spillemyndigheden Spillemyndighedens mærke

Kate Jacquerot Juridisk direktør Danske Spil Spillemyndighedens mærke

Kristian Fribo Senior Sourcing Manager Stark Svanemærket / EU-Blomst

Lisbeth Engel Hansen Dansk kriterieudviklingschef Mærkning Danmark Svanemærket / EU-Blomst

Jane Østergaard NorskDirector, Trade Policy and Food Regulatory Affairs

Arla Foods Ø-mærket

Robert Lind Specialkonsulent Fødevarestyrelsen Ø-mærket

Carina Jensen Group Director - Quality Salling GroupØ-mærket / Fairtrade / Svanemærket / EU Blomst

Om DeloitteDeloitte leverer ydelser indenfor revision, consulting, financial advisory, risikostyring, skat og dertil knyttede ydelser til både offentlige og private kunder i en lang række brancher. Deloitte betjener fire ud af fem virksomheder på listen over verdens største selskaber, Fortune Global 500®, gennem et globalt forbundet netværk af medlemsfirmaer i over 150 lande, der leverer kompetencer og viden i verdensklasse og service af høj kvalitet til at håndtere kundernes mest komplekse forretningsmæssige udfordringer. Vil du vide mere om, hvordan Deloittes omkring 286.000 medarbejdere gør en forskel, der betyder noget, så besøg os på Facebook, LinkedIn eller Twitter.

Deloitte Touche Tohmatsu LimitedDeloitte er en betegnelse for en eller flere af Deloitte Touche Tohmatsu Limited (”DTTL”), dets netværk af medlemsfirmaer og deres tilknyttede virksomheder. DTTL (der også omtales som ”Deloitte Global”) og alle dets medlemsfirmaer udgør separate og uafhængige juridiske enheder. DTTL leverer ikke ydelser til kunderne. Vi henviser til www.deloitte.com/about for nærmere oplysninger.

© 2019 Deloitte Statsautoriseret Revisionspartnerselskab. Medlem af Deloitte Touche Tohmatsu Limited