Den 22. september blev Danmarks nye mærkningsordning for ansvarlig it-sikkerhed og dataanvendelse lanceret. Målet for dette mærke er at give danske virksomheder en konkurrencemæssig fordel, hvis de vel at mærke opfylder de kriterier, der skal til for at få mærket uddelt.
D-mærket, hvad er det?
D-mærket er den første af sin art i verdenen, der forbinder it-sikkerhed og ansvarlig dataanvendelse i ét og samme mærke. Ligesom økologiske varer bliver kvalitetsstemplet med “Ø-mærket”, så skal D-mærket være med til at kvalitetsstemple digitale varer. D-mærket giver altså danske virksomheder en mulighed for at sende et klart signal om, at de prioriterer datasikkerhed, databeskyttelse og dataetik. Det skal være med til at skabe værdi for virksomhederne og tryghed til forbrugere. Man skal leve op til et antal kriterier for, at man som virksomhed kan modtage D-mærket. Kriterierne afhænger af virksomhedens størrelse. Kriterierne sikrer, at virksomhederne prioriteret it-sikkerhed.
D-mærket er for B2C
I dag findes der forskellige måder at vise, at man håndterer persondata ansvarligt. Mange virksomheder bliver certificeret og får lavet revisionserklæringer, som f.eks. ISO27001-certificering eller en ISAE3400-erklæring. Disse ordninger har dog det tilfælles, at de målretter sig B2B. Det er måder, hvorpå virksomheder kan vise andre virksomheder, at de har styr på deres processer.
D-mærket er i stedet rettet mod B2C. Det er en måde, hvorpå forbrugere kan se, om en virksomhed håndterer persondata ansvarligt.
Hvem står bag det
Forskellige institutioner og foreninger står bag D-Mærket, som skal være med til at styrke Danmarks IT og datasikkerhed.
-
Industriens fond
-
Dansk Industri
-
Dansk Erhverv
-
SMVdanmark
-
Forbrugerrådet Tænk
D-mærket støttes desuden af Erhvervsstyrelsen og er en uafhængig privat organisation.
Sammen mener organisationerne at D-mærket har den samme gevinst for alle virksomheder; at gøre dem mere konkurrencedygtige.
D-mærket har 8 kriterier, man skal efterleve
D-mærket har i alt 8 kriterier som skal opfyldes, før man kan tages i betragtning til at få mærket. Hvert kriterie har en række underkriterier og krav, men i denne artikel gennemgår jeg kun de 8 overordnede kriterier. Disse kriterier tildeles på baggrund af virksomhedsgruppen (1,2,3,4) som er baseret på din virksomheds størrelse. Antallet af kriterier, som man skal leve op til, varierer altså.
Kriterie 1. Styring og forankring i ledelsen
Virksomhedsledelse tager aktivt ansvar for arbejde med it-sikkerhed og ansvarlig dataanvendelse
Kriterie 2. Awareness og sikker adfærd
Virksomheden skal sikre at den øverste ledelse og bestyrelse modtager træning i ansvarlig dataanvendelse og it-sikkerhed. Ansatte skal med jævne mellemrum modtage awareness-træning i relation til it-sikkerhed
Kriterie 3. Teknisk it-sikkerhed
Virksomhedens systemer og enheder skal være sikret mod angreb og trusler fra ondsindede aktører.
Kriterie 4. Krav til leverandørernes it-sikkerhed og ansvarlige dataanvendelse
Virksomheden skal have et passende overblik over de leverandører, der håndterer personoplysninger og forretningskritiske data eller på anden måde kan påvirke virksomhedens it-sikkerhed
Kriterie 5. Transparens og kontrol med data
Virksomheden skal leve op til gældende standarder, lovgivning og god praksis for databehandling i forbindelse med eksternt rettede aktiviteter, der indeholder behandling af personoplysninger
Kriterie 6. Privacy & security by design & default
Produkter, ydelser og tjenester skal beskytte brugernes privatliv og personoplysninger bedst muligt
Kriterie 7. Pålidelige algoritmer og AI
En virksomhed skal sikre pålideligt og kvalitetssikret brug af algoritmer og AI
Kriterie 8. Dataetik
En virksomhed skal udvikle ydelser, tjenester og produkter på baggrund af en række etiske principper samt retten til privatlivsbeskyttelse
Hvis du gerne vil vide mere om de 8 kriterier, kan du læse her.
Hvorfor er det vigtigt?
Ifølge Tim Sloth Jørgensen, som er chef for Industriens Fonds cyberprogram og dermed en af folkene bag mærket, så er det vigtigt fordi:
“Denne mærkningsordning vil ikke kun give bedre indsigt i, hvem der arbejder seriøst og målrettet med it-sikkerhed og datahåndtering. Den vil også være en løftestang til de mange virksomheder, der gerne vil øge deres cybersikkerhed men har brug for retningslinjer og hjælp til at komme i gang og i mål”
Før D-mærkets officielle lancering har over 50 virksomheder allerede gennemført processen med at blive godkendt til D-mærket. Det kan indikere, at der er efterspørgsel på D-mærket. Der er mange firmaer, som gerne vil vise, at de har styr på deres datahåndtering. Det kan D-mærket være med til at signalere og underbygge endnu mere.
D-mærket skal gøre det nemmere for forbrugerne at gennemskue, hvilke virksomheder de kan stole på. Desuden er D-mærket baseret på internationale rammeværker og nationale råd, hvilket vil sige at mærket kan udbredes på europæisk plan og dermed i større grad til internationalt orienterede virksomheder.
D-mærkets succes afhænger af flere faktorer
D-mærket er kommet godt fra start, men dens succes afhænger dog af om flere virksomheder vil tage mærket til sig, og om D-mærket kommer til at være noget som forbrugere aktivt kigger efter.
Her hos CyberPilot ser vi nogle forskellige potentielle scenarier, der kan udspille sig
Scenarie 1. Virksomheder tager D-mærket til sig, og forbrugere kigger aktivt efter det
Det ønskede scenarie er, at virksomheder gerne vil have D-mærket og købere kigger efter det. De sørger derfor for at leve op til kravene, og mærket kommer til at blive set som et kvalitetsstempel, som forbrugerne aktivt vil kigge efter.
Scenarie 2. D-mærket bliver ikke aktivt brugt af virksomheder
D-mærket bliver ikke taget til sig af virksomheder. Virksomheder gider ikke bruge penge på mærket, og det bliver dermed ikke udbredt. Hvis det kun er en lille andel af virksomheder, der tager mærket til sig, så vil dets værdi forsvinde. Mærket er afhængigt af, at virksomheder kan se værdi i det.
Scenarie 3. D-mærket øger it-sikkerhed, ikke konkurrence
Virksomheder vil gerne have D-mærket og sørger derfor for at leve op til kravene for at få mærket, hvilket hjælper deres IT-sikkerhed og datahåndtering. D-mærket kommer dog ikke til at være noget som forbrugerne rent faktisk kigger efter. Hermed vil noget af værdien også forsvinde fra mærket, da mærket kun kan være en succes, hvis købere kigger efter det. Det vil formentlig betyde, at virksomheder stopper med at abonnere på mærket.
For tidligt at sige, om D-mærket bliver en succes
D-mærkets fremtid afhænger altså af, om D-mærket bliver et reelt konkurrenceparameter, som danske virksomheder kan konkurrere på, og om forbrugerne går op i det. Hvis forbrugere kigger efter mærket, så vil virksomheder højest sandsynligvis også være villige til at betale det årlige abonnement for at have mærket.
Skal din virksomhed have D-mærket?
D-mærket giver altså din virksomhed en mulighed for at vise jeres kunder, at I tager IT-sikkerhed alvorligt, ved at prioritere ansvarlig dataanvendelse, databeskyttelse og etik, og dermed skabe tryghed for jeres forbrugere. D-mærket giver dermed din virksomhed nogle væsentlige fordele i en mere og mere digitaliseret verden. God dataetik kan dermed ses som en konkurrenceparameter – kan du vise at du har styr på det, ja så kan det godt være at en kunde vælger dig fremfor en anden.
Hvis du vil vide mere om D-mærket og tage en selvevalueringstest af din virksomhed, så gå ind og læs om D-mærket her.
Det er gratis for din virksomhed at blive evalueret, men der forekommer en årlig betaling af selve mærket, som afhænger af din virksomheds størrelse og dens anvendelse af it og data.
