Contact us: +45 32 67 26 26

Hvad er databeskyttelse?

Mary-Ann Eriksson
By: Mary-Ann Eriksson GDPR | 23 juni

Med brugen af internettet følger en stigende bekymring om, hvordan man skal beskytte sit data, da mange virksomheder har adgang til og gør brug af personoplysninger. I dette blogindlæg vil vi se på, hvorfor databeskyttelse er vigtig, og introducere nogle eksisterende love omkring databeskyttelse. Vi vil også give nogle nyttige tips til, hvordan du kan forbedre din egen databeskyttelse - hvad enten det er privat eller som en organisation.

Hvad er databeskyttelse? 

Der findes desværre ingen generel accepteret definition af databeskyttelse. Dette skyldes, at databeskyttelse er et meget komplekst emne. Databeskyttelse relateret til korrekt håndtering af personfølsomme oplysninger. Databeskyttelse fokuserer normalt på personoplysninger, hvilket omfatter alle oplysninger, som kan være med til at identificere en person. Det kan for eksempel være alt fra dit navn og personnummer til data om din placering eller endda fysiske karakteristika. Databeskyttelse kan også omfatte data fra fortrolige oplysninger eller immaterialretten. I praksis er databeskyttelse centreret omkring tre forhold:

  • Hvorvidt eller hvordan data deles med en eventuel tredjepart
  • Hvordan data indsamles og opbevares
  • Hvordan man overholder databeskyttelsesloven (f.eks. GDPR)

Det er godt at huske på, at databeskyttelse er baseret på den tro, at enkeltpersoner har ret til at være privat og have kontrol over:

  • Hvordan deres personlige oplysninger indsamles
  • Hvor meget af deres personlige oplysninger bliver indsamlet
  • Hvordan deres personlige oplysninger bliver brugt

Ligesom du måske ikke ønsker at nogen overhører din private samtale, ønsker mange ikke, at visse oplysninger indsamles om dem eller deles med ukendte tredjeparter. Det er derfor vigtigt at forstå, hvilke persondata, der er i orden at indsamle, og hvem der bør have adgang til personoplysningerne.

Hvorfor er databeskyttelse vigtigt for din orginasation?  

Mange steder betragtes privatlivets fred som en menneskeret, og mange lande behandler i dag privatlivets fred som en juridisk ret. Hvilket også er grunden til, at databeskyttelsesloven blev indført. Databeskyttelseslove har til formål at beskytte retten til privatlivets fred og hjælpe enkeltpersoner med at bevare kontrollen over deres personoplysninger.

Men udover at privatlivets fred betragtes som en menneskelig og juridisk rettighed, har de fleste personer også deres egne forventninger til, hvordan deres privatliv skal respekteres. Selvfølgelig vil disse forventninger variere fra person til person, men alle kan forholde sig til, at nogle personlige oplysninger skal forblive private og ikke være offentligt tilgængelige. Det kan f.eks. være oplysninger om dit politiske synspunkt eller din personlige helbredshistorik.

Gennemsigtighed i, hvordan din organisation indsamler og administrerer data og overholder jeres privatlivspolitikker, er derfor afgørende for at opbygge tillid hos kunderne og sikre, at kundens personlige oplysninger forbliver sikre. Vidste du for eksempel, at en af de største omkostninger ved et databrud for organisationer er tab af omsætning? Forståeligt nok skyldes det, at mange kunder mister tilliden til en organisation efter et databrud.

Billede af Risiko-analyse skabelon

Hvordan kan du balancere det hele?

Det kan være udfordrende for organisationer at balancere deres eget ønske om at bruge personoplysninger, samtidig med at skulle leve op til den enkeltes forventninger til, hvordan deres oplysninger behandles. Det er derfor meget vigtigt for din organisation at udarbejde jeres egne politikker om acceptabel anvendelse og aktivt arbejde med databeskyttelse for at finde den rette balance. Et godt udgangspunkt for dette, er at overveje databeskyttelseslove.

4 databeskyttelseslove, som du bør kende til

I nyere tid har regeringer over hele verden vedtaget love, der regulerer, hvilke data der må indsamles, og hvordan de må bruges, gemmes og deles. Og det er sandsynligt, at der vil blive indført endnu flere i fremtiden. Men hvad er de vigtigste at være opmærksomme på?

  • Generel forordning om databeskyttelse (GDPR) er en databeskyttelseslov, som er vedtaget af EU. Dette er den mest omfattende lov om databeskyttelse, der findes. GDPR regulerer, hvordan data fra indbyggere i EU-lande må indsamles, opbevares og behandles. GDPR giver forbrugerne visse rettigheder over deres data, samtidig med at de placerer et sikkerhedsansvar på virksomheder, der har indsamlet data.  
  • California Consumer Privacy Act (CCPA) er en lov om beskyttelse af personlige oplysninger, der beskytter indbyggerne i staten Californien i USA. CCPA kræver, at forbrugerne bliver gjort opmærksom på, hvilke personoplysninger der indsamles om dem. CCPA giver også forbrugerne kontrol over deres personoplysninger.
  • Nationale databeskyttelseslove er meget almindelige. Mange lande rundt om i verden har deres egen databeskyttelseslov, for eksempel Brasiliens generelle lov om beskyttelse af personoplysninger og Storbritanniens databeskyttelseslov. Nogle af disse nationale love ligner GDPR.
  • Branchespecifikke love om beskyttelse af personlige oplysninger findes også i nogle lande. Et eksempel på dette er Health Insurance Portability and Accountability Act (HIPAA) i USA.

Ingen af de love, der er nævnt her, giver en klar definition af, hvad de mener med databeskyttelse. Så hvad betyder det for din organisation? Grundlæggende bør du overveje at gå ud over forventningerne i lovene for at sikre, at din forvaltning af data overholder dem.

Hvad er konsekvenserne for ikke at overholde lovene?  

Manglende overholdelse af databeskyttelseslovgivning kan have alvorlige konsekvenser for din organisation. De fleste databeskyttelseslove kræver, at organisationer betaler enorme bøder eller sanktioner, hvis de håndterer følsomme data forkert. Manglende overholdelse af GDPR kan for eksempel koste din organisation op til 4% af jeres årlige omsætning.

Men udover de potentielle store omkostninger kan manglende overholdelse, også have en negativ indvirkning på din organisations omdømme og jeres evne til at fastholde jeres kunders tillid. Husk, at kunder normalt har deres egne forventninger til, hvordan deres personlige data skal behandles, og manglende overholdelse af databeskyttelsesloven, vil være et er et sikkert tegn på, at disse forventninger ikke vil blive opfyldt.

Selvom det er meget vigtigt at være opmærksom på love om beskyttelse af personlige oplysninger, bør organisationer også vide, hvad der tæller som databeskyttelse, og hvad der ikke gør.

Forstå forskellen - Datasikkerhed vs privatliv

For at hjælpe med at forstå forskellen, vil vi besvare et almindeligt tvivlsspørgsmål om databeskyttelse og datasikkerhed. Det er ikke mærkeligt, at mange forveksler beskyttelse af privatliv med sikkerhed. Men selvom datasikkerhed og databeskyttelse kan virke meget ens, er de to udtryk ikke det samme og bør ikke bruges i flæng. For bedre at forstå hvorfor, bruger vi et par linjer på at definere de to udtryk for at finde ud af, hvad forskellen er.

Definition af databeskyttelse

Databeskyttelse fokuserer på enkeltpersoners rettigheder vedrørende deres personoplysninger. Det handler om de politikker og procedurer, din organisation anvender, når den håndterer personoplysninger. Dette omfatter indsamling og lagring af data, at undgå uautoriseret adgang til data og overholdelse af databeskyttelseslove. Hvordan sørger din organisation for eksempel for, at I kun indsamler data, I har en lomæssig ret til? Og hvordan håndterer I disse data, når de er i organisationen?

Definition af datasikkerhed

Kernen i datasikkerhed er de metoder, din organisation bruger til at beskytte den personfølsomme data, som I allerede er i besiddelse af. Kort sagt, er det de foranstaltninger, der træffes for at forhindre et ondsindede angreb eller uautoriseret adgang til digitale data fra en tredjepart. Det handler også om, hvordan din organisation forhindrer at data bliver udnyttet, når de først er stjålet.

Hvilken er vigtigst at huske på? 

Både datasikkerhed og databeskyttelse er vigtigt for organisationer. For at sikre databeskyttelse skal du også have en sund tilgang til sikkerhed, for ellers vil du ikke være i stand til at etablere den bedst mulige håndtering af følsomme data. Kort sagt er databeskyttelse ikke mulig uden datasikkerhed.

Selvom datasikkerhed teknisk set ikke er afhængig af databeskyttelse, er det stadig i din organisations bedste interesse at sikre, at de data, I beskytter, er indsamlet på lovlig vis og ikke er i strid med databeskyttelseslovgivningen.

Af disse grunde er det svært at sige, at det ene er vigtigere end det andet. De er snarere som to brikker i et puslespil, der tilsammen skaber et stærkere fundament for beskyttelse og håndtering af data.

5 gode råd til at forbedre jeres datasikkerhed  

Nu hvor vi ved, at databeskyttelse kan ses som en persons ret, og at databeskyttelse er en af de vigtigste overvejelser for din organisation i vellykket håndtering af data, kan vi se på nogle nyttige råd og teknologier, du kan bruge til at forbedre databeskyttelse.

  • Uddannelse af medarbejdere i databeskyttelse.
    Dette trin er vigtigt for at sikre, at alle medarbejdere i din organisation er opmærksomme på bekymringer om databeskyttelse og beskyttelse af personlige oplysninger. Dette kan opnås gennem bevidsthedstræning. bevidsthedstræning vil give din organisation en stærk IT-sikkerhedskultur, der sikrer den bedste måde at håndtere følsomme data.
  • Forebyggelse af datatab (DLP).
    Dette er løsninger, der normalt inkluderer værktøjer, som hjælper dig med at undgå, at data bliver stjålet, mistes eller slettes ved et uheld. Kort sagt hjælper DLP personfølsomme oplysninger med at blive, hvor de skal være.
  • To-faktor-godkendelse.
    Denne teknologi er fantastisk til almindelige brugere såvel som organisationer. Det gør det meget sværere for cyberkriminelle, at få adgang til personlige konti.
  • Krypterede lagerløsninger, VPN'er og adgangskodeadministratorer.
    Dette er alle værktøjer, der er let tilgængelige og enkle at bruge for både enkeltpersoner og organisationer. De kan gøre en stor forskel i dit forsvar mod cyberangreb.

Konklusion 

I dette blogindlæg gennemgår vi, hvorfor databeskyttelse er vigtig og præsenteret nogle vigtige databeskyttelseslove, som du skal være opmærksom på. Vi har også givet en kort forklaring på forskellen mellem datasikkerhed og privatliv, så du ved, hvordan du i fremtiden holder de to udtryk adskilt. Endelig har vi givet dig nogle nyttige tips til, hvordan du kan arbejde med databeskyttelse for at sikre, at du respekterer enkeltpersoners ret til privatlivets fred, samtidig med at du overholder lovgivningen om beskyttelse af personlige oplysninger.

CyberPilot udgiver en masse indhold om GDPR, bevidsthedstræning og cybersikkerhed. Hvis du er nysgerrig efter at læse mere om, hvordan din organisation kan arbejde hen imod at overholde GDPR, opbygge en stærkere kultur omkring IT-sikkerhed eller aktivt arbejde med bevidsthedstræning, har CyberPilot mange nyttige artikler på vores blogside.