Sikkerhed og compliance: Sådan behandles dine data ved LEI-udstedelse
Når en virksomhed søger om en LEI-kode, handler det ikke kun om at få et nummer til brug ved handel med værdipapirer. Det handler også om, hvordan data bliver indsamlet, kontrolleret, delt og opbevaret undervejs. For mange økonomi- og complianceansvarlige er det et centralt spørgsmål, fordi LEI-registrering ligger tæt på både regulatoriske krav, persondata og forretningskritiske stamdata.
Derfor giver det god mening at se nøgternt på, hvad der faktisk sker med oplysningerne i processen, og hvad man kan kræve af gennemsigtighed fra en LEI-udbyder. En god løsning skal være hurtig og enkel, men også tydelig om roller, databehandling og de sikkerhedsforanstaltninger, der er på plads.
Hvilke data indgår i en LEI-ansøgning?
Ved LEI-udstedelse behandles der typisk både oplysninger om den juridiske enhed og oplysninger om den person, der bestiller eller administrerer ansøgningen. Det er en vigtig skelnen, fordi LEI-systemet i sig selv er bygget til at gøre visse virksomhedsoplysninger offentligt tilgængelige, mens kontakt- og kundedata ikke har samme karakter.
I praksis vil en ansøgning ofte omfatte virksomhedsnavn, registreringsoplysninger, adresse, CVR-data, oplysninger om eksisterende LEI-status og kontaktoplysninger på den person, der handler på virksomhedens vegne. Hvis kontaktpersonen ikke fremgår som tegningsberettiget, kan der også blive behov for dokumentation for bemyndigelse.
Det betyder, at LEI-processen hverken er en ren persondatasag eller en ren virksomhedsregistrering. Den ligger midt imellem, og netop derfor er compliance vigtig.
| Datatype | Typisk formål | Offentlig eller intern behandling |
|---|---|---|
| Virksomhedsnavn og registreringsdata | Identifikation af juridisk enhed | Kan indgå i offentlige LEI-data |
| Adresse og stamdata | Validering mod registre og LEI-system | Kan indgå i offentlige LEI-data |
| Kontaktpersonens navn, e-mail og telefon | Kommunikation, validering og support | Intern behandling |
| Oplysning om bemyndigelse | Bekræftelse af ret til at handle på virksomhedens vegne | Intern behandling |
| Eksisterende LEI-status | Tjek for duplikater og korrekt livscyklus | Delvist via offentlige LEI-kilder |
| Betalingsoplysninger | Gennemførelse af bestilling og fornyelse | Intern behandling via betalingsflow |
Hvilke LEI-oplysninger bliver offentlige?
Det særlige ved LEI er, at en del af dataene netop er tænkt som åbne referenceoplysninger. Global Legal Entity Identifier Foundation, GLEIF, bygger på idéen om, at markedet skal kunne identificere juridiske enheder entydigt og på tværs af landegrænser.
Det betyder, at selve LEI-data om virksomheden ikke bør forveksles med almindelige kundedata i et lukket system.
Oplysninger om den juridiske enhed, dens registrering og i visse tilfælde relationer på koncernniveau kan blive en del af det globale LEI-datasæt. Det er en del af formålet med ordningen.
Kontaktpersonens oplysninger, kundeservicehistorik og interne sagsnoter er noget andet. De bruges til at behandle ansøgningen, håndtere fornyelse og sikre korrekt kommunikation, men de er ikke i sig selv skabt til offentliggørelse i LEI-systemet.
Det er også her, mange virksomheder har brug for et klart svar: Hvilke data er nødvendige for at få udstedt koden, og hvilke data bliver bagefter synlige i den offentlige LEI-infrastruktur?
GDPR og databehandling ved LEI-registrering
En LEI-udbyder skal kunne forklare, hvem der er dataansvarlig, hvilke oplysninger der indsamles, hvorfor de behandles, hvor længe de opbevares, og hvilke rettigheder den registrerede har. Det er grundlæggende GDPR, og det bør være let at finde i en persondatapolitik.
I offentligt tilgængelig dokumentation fra LEI Service fremgår det, at virksomheden optræder som dataansvarlig og beskriver formål, opbevaring, videregivelse og registreredes rettigheder. Det er et vigtigt udgangspunkt, fordi det giver kunderne et synligt grundlag for at vurdere behandlingen. Politikken beskriver også, at registrerede kan gøre brug af rettigheder som indsigt, berigtigelse, sletning, begrænsning, indsigelse og dataportabilitet samt klage til Datatilsynet.
Opbevaringsperioder er også et punkt, mange overser. Her er det positivt, når en udbyder faktisk oplyser en ramme for opbevaring, i stedet for at nøjes med generelle formuleringer. I den offentlige persondatapolitik hos LEI Service fremgår det, at oplysninger som udgangspunkt opbevares indtil sletningsanmodning, hvis der ikke opstår et kundeforhold, og ellers som udgangspunkt i 10 år efter kundeforholdets afslutning.
Det giver ikke svar på alt, men det giver en mere konkret ramme end mange andre standardtekster på nettet.
Efter den type gennemgang er der især fire GDPR-spørgsmål, som er relevante at holde fast i:
- Gennemsigtighed: Er det klart beskrevet, hvilke data der behandles, og hvorfor?
- Rettigheder: Kan kontaktpersonen nemt få indsigt, rettelse eller sletning?
- Opbevaring: Er der en oplyst tidsramme for, hvor længe data gemmes?
- Videregivelse: Fremgår det, hvem data deles med i LEI-kæden?
Datasikkerhed ved LEI-udstedelse: Hvad er offentligt dokumenteret?
Når man vurderer datasikkerhed, er det vigtigt at skelne mellem to ting. Der er det, en udbyder faktisk gør internt. Og så er der det, som er dokumenteret offentligt. De to ting er ikke nødvendigvis identiske.
Hos LEI Service er det offentligt beskrevet, at personoplysninger beskyttes med tekniske og organisatoriske foranstaltninger mod utilsigtet eller ulovlig tilintetgørelse, tab, ændring og uautoriseret adgang eller videregivelse. Det er en relevant og forventelig formulering i en persondatapolitik.
Det, man ikke kan bekræfte ud fra åbne kilder, er de konkrete tekniske detaljer. Der er ikke offentlig dokumentation, der præcist beskriver kryptering, rollebaseret adgangsstyring, multifaktorlogin, audit logs, SIEM, nøglehåndtering eller detaljerede incident-processer. Det betyder ikke, at sådanne kontroller ikke findes. Det betyder kun, at de ikke er dokumenteret offentligt på det materiale, man kan læse som kunde.
Det er en vigtig forskel, især hvis virksomheden selv arbejder med intern due diligence eller leverandørvurdering. Her bør man undgå at gætte.
Der er altså et godt overordnet signal om sikkerhed, men ikke en detaljeret offentlig sikkerhedsarkitektur.
Det billede kan opsummeres ret enkelt:
- Offentligt beskrevet: tekniske og organisatoriske foranstaltninger
- Offentligt beskrevet: persondatapolitik med rettigheder og opbevaring
- Ikke offentligt specificeret: krypteringsmetoder
- Ikke offentligt specificeret: MFA, adgangsroller og adgangsreviews
- Ikke offentligt specificeret: detaljeret procedure ved persondatasikkerhedsbrud
Offentlig dokumentation om sikkerhed er ikke det samme som manglende sikkerhed
Mange virksomheder falder i den fælde, at de enten accepterer generelle formuleringer ukritisk eller afviser en leverandør, fordi alle detaljer ikke ligger åbent fremme. Ingen af delene er særlig præcise tilgange.
En mere brugbar metode er at se på, om der er troværdig basisdokumentation, om rollen i LEI-systemet er legitim, og om udbyderen kan supplere med svar, hvis man stiller konkrete spørgsmål. Ved LEI Service er der netop offentlig dokumentation for den formelle rolle i LEI-økosystemet, mens mange sikkerhedsdetaljer må afklares direkte, hvis ens egen compliancefunktion kræver det.
LEI-compliance i praksis: Hvem gør hvad i processen?
LEI-udstedelse sker ikke i et tomrum. Der er flere led i kæden, og compliance afhænger af, at rollerne hænger korrekt sammen. En registreringsagent hjælper kunden gennem ansøgning og validering, men selve udstedelsen er knyttet til den globale LEI-struktur med GLEIF og akkrediterede udstedere, de såkaldte LOU’er.
LEI Service oplyser offentligt, at virksomheden er officiel registreringsagent via RapidLEI, som er knyttet til Ubisecure. Samtidig er det vigtigt at holde fast i, at en registreringsagent ikke er det samme som en selvstændig LEI-udsteder. I GLEIF-systemet ligger det endelige ansvar i udstedelseslaget hos den relevante LEI Issuer eller LOU.
Det er faktisk et stærkt compliancepunkt, fordi LEI-systemet ikke er et frit marked uden styring. Der findes en governance-ramme for registreringsagenter, og den rolle er formelt indlejret i systemet.
I den daglige drift handler LEI-compliance ofte om helt konkrete kontroller:
- CVR-opslag og datavalidering: Stamdata hentes og kontrolleres op mod registrerede kilder.
- Tjek for eksisterende LEI: Risikoen for dobbeltregistrering bliver mindre.
- Kontrol af bemyndigelse: Kontaktpersonen skal kunne handle på enhedens vegne.
- Fornyelsesstyring: LEI skal holdes aktiv og opdateret, hvis den skal bruges i regulerede transaktioner.
Den type kontroller er ikke spektakulære, men de er helt centrale. Det er netop dem, der gør forskellen mellem en hurtig bestilling og en korrekt registrering.
Hvor stærk er den offentlige compliance-dokumentation?
På informationssiden står dokumentationen relativt stærkt. Der er synlig persondatapolitik, handelsbetingelser, oplysninger om registreredes rettigheder og beskrivelse af den overordnede proces. Det gør det lettere for kunden at vurdere, hvordan data behandles.
På sikkerheds- og governance-siden er dokumentationen mere overordnet. Det gælder især tekniske kontroller, adgangsstyring, medarbejdertræning, detaljeret incident management og eksterne sikkerhedscertificeringer. Der er ikke offentlig dokumentation for ISO 27001, SOC 2 eller tilsvarende certificering specifikt for LEI Service ApS på det materiale, der er tilgængeligt. Hvis en kunde har krav om den type assurance, bør det afklares direkte.
Et andet punkt er aktualitet. Når en persondatapolitik ikke fremstår nyligt opdateret, kan det give spørgsmål i en governancevurdering, selv hvis de faktiske processer internt er i orden. Det handler ikke kun om jura, men også om tillid og dokumentstyring.
Her er den praktiske tommelfingerregel enkel: Brug den offentlige dokumentation som første filter, og brug konkrete spørgsmål som andet filter.
Sådan vurderer du en LEI-udbyders datahåndtering før du bestiller
Hvis din virksomhed skal vælge udbyder, er det fornuftigt at tænke som både indkøber og complianceansvarlig. Pris og hastighed betyder noget, men det gør gennemsigtighed også. Hos mange virksomheder er LEI en lille administrativ opgave, lige indtil en bank, revisor eller intern kontrolfunktion stiller spørgsmål.
En god start er at kontrollere, om udbyderen tydeligt beskriver sin rolle, sine vilkår og sin persondatapolitik. Det bør være let at finde. Det bør også være let at forstå, om prisen er fuldt oplyst, om GLEIF-gebyr er inkluderet, og hvordan fornyelse håndteres.
Hvis virksomheden har højere krav til dokumentation, kan man stille mere præcise spørgsmål til supporten. Det er ofte her, forskellen viser sig mellem en ren salgsflade og en reel driftsmodel med styr på processerne.
Relevante spørgsmål kan være:
- Dataroller: Hvem er dataansvarlig, og hvem er databehandler eller samarbejdspartner i kæden?
- Tredjelande: Overføres data uden for EU/EØS, og på hvilket grundlag?
- Adgang: Hvordan begrænses medarbejderes adgang til kundedata?
- Hændelser: Hvordan håndteres persondatasikkerhedsbrud?
- Opbevaring: Hvad slettes hvornår, og hvad bevares af hensyn til lovkrav og dokumentation?
Hvis svarene er klare, konkrete og hænger sammen med de offentlige vilkår, står man allerede langt stærkere som kunde.
Praktiske forhold ved LEI Service og den løbende drift
For virksomheder, der ønsker en enkel proces, er der også en praktisk side af sagen. LEI Service arbejder med CVR-baseret ansøgningsflow, dansk kundeservice og mulighed for automatisk fornyelse. Det gør ikke i sig selv løsningen mere compliant, men det kan gøre det lettere at holde data opdateret og undgå, at en LEI udløber uden varsel.
Det er især relevant for virksomheder, fonde, foreninger og finansielle aktører, der bruger LEI som adgangsbillet til bestemte handler eller rapporteringskrav. Her bliver god drift hurtigt en compliancefaktor.
Har man behov for en hurtig udstedelse, lav pris og en tydelig dansk kontaktflade, bør man samtidig bruge et par minutter på at gennemgå persondatapolitik, handelsbetingelser og rollefordeling i LEI-kæden. Det er en lille indsats sammenlignet med værdien af at vide, hvordan virksomhedens data faktisk bliver behandlet.