Tilbake til bloggen
7 min read

Hva er dataetikk? Hvordan etisk bruk av data styrker din IT-sikkerhet

Gry Myrtveit Gundersen
By: Gry Myrtveit Gundersen Cybersikkerhet | 2 januar

Med tanke på hvor enkelt det er å samle inn data om menneskers atferd på nettet, er det ikke overraskende at mange selskaper ender opp med å samle inn mer data enn de egentlig trenger. Å samle inn unødvendige data kan virke som en ufarlig ting å gjøre. Men det er viktig å huske på de juridiske og etiske forpliktelsene du har når du samler inn og bruker personopplysninger. I dette innlegget ser vi nærmere på hvordan etisk datainnsamling kan hjelpe organisasjonen din med å overholde prinsippene i personvernforordningen, øke datasikkerheten og bygge sterkere relasjoner samtidig som du beskytter menneskers rett til personvern.

 Innhold

Hva er (stor)data?

Data kan defineres som biter av informasjon som finnes og skapes rundt oss, ettersom alt vi gjør på internett genererer data. Når vi snakker om dataetikk, tenker vi oftest på data som stordata (Big Data). Med stordata menes store datamengder som kan analyseres av datamaskiner for å identifisere mønstre og forutsi atferd.

Etiske problemstillinger knyttet til stordata

Du, som mange andre, anser kanskje stordata som et tryggere og mer etisk alternativ til personopplysninger, ettersom stordata ikke kan knyttes til bestemte personer. Men det finnes tilfeller der stordata har blitt sporet tilbake til enkeltpersoner, for eksempel da Netflix publiserte et anonymt dataark som endte med å avsløre brukernes seerhistorikk.

Når stordata analyseres, grupperes flere individuelle datasett sammen, noe som skaper ytterligere problemer knyttet til etikk og personvern. Å kategorisere enkeltpersoner og behandle dem som en del av en gruppe kan gjøre dem til sårbare mål og føre til urettferdig behandling. Dette gjelder spesielt for grupper som allerede blir diskriminert. Disse nye KI-truslene forekommer i mange bransjer, for eksempel i banksektoren, der maskiner programmeres til å gi informasjon om hvem som bør få lån og til hvilken rente. Alt i alt bør selskaper tenke etisk når de samler inn og bruker stordata og personopplysninger.

Hva er dataetikk? 

Dataetikk refererer til ansvarlig og bærekraftig bruk av data. Det handler om å gjøre det som er riktig for mennesker og samfunn. Nå som data er overalt, har organisasjoner en tendens til å behandle data som en hvilken som helst annen ressurs og glemme at de har å gjøre med informasjon om virkelige mennesker. Dataetikk minner organisasjoner og deres ansatte om deres moralske forpliktelser når de samler inn og bruker data.

Det kan virke komplisert å kombinere etikk og informasjonssikkerhet, men det er også nødvendig, for vi trenger etikk for å ta gode valg. Etikk for IT-sikkerhet kan også hjelpe organisasjoner med å etablere grunnleggende verdier som styrer sikkerhetsarbeidet. Noen eksempler på IT-sikkerhetsverdier er rettferdighet, sikkerhet, åpenhet, tillit og kanskje den mest omtalte verdien når det gjelder IT-sikkerhetsetikk: personvern.

Definisjonen av dataetikk: "Dataetikk refererer til ansvarlig og bærekraftig bruk av data. Det handler om å gjøre det som er riktig for mennesker og samfunn."

5 dataetiske prinsipper

De dataetiske prinsippene og retningslinjene er utarbeidet av thinkdotank DataEthics.eu og er utformet for å hjelpe organisasjoner med å anvende dataetikk i databehandlingsaktivitetene sine.

Dataetiske prinsipper

  1. Mennesket i sentrum for databehandlingen
  2. Kontroll over personopplysninger
  3. Transparent databehandling
  4. Ansvarlighet ved behandling av data
  5. Data og likestilling

5 Data Ethics Principle

1. Mennesket i sentrum for databehandlingen

Menneskers interesser bør alltid komme først. Mennesker bør ha høyere status enn programmer og maskiner, og det bør være de som drar nytte av databehandlingen.

2. Kontroll over personopplysninger

Mennesker skal ha den primære kontrollen over egne data. Selvbestemmelse bør prioriteres i alle dataprosesser, og du bør behandle personopplysninger som noe du låner.

3. Transparent databehandling

Databehandling må være fullstendig transparent og forklarbar - du skal kunne forklare datainnsamlingsaktivitetene dine og de sosiale, etiske og samfunnsmessige konsekvensene av dem. Kan du for eksempel fortelle hvor dataene lagres, hvilke tredjeparter som har tilgang til dataene du samler inn, og hvordan du bruker data til å påvirke atferd?

4. Ansvarlighet ved behandling av data 

For å sikre at personopplysningene dine er beskyttet, bør du ta ansvar for alle databehandlingsaktiviteter. Det kan for eksempel dreie seg om å anonymisere personopplysninger, håndtere deling av data med tredjeparter eller etablere en praksis for etisk håndtering av data. Organisasjonens ansvar bør også gjelde for underleverandører og samarbeidspartnere.

5. Data og likestilling

Bærekraftig databehandling er basert på bevissthet om de etiske problemstillingene knyttet til stordata og datasystemer: De skadelige effektene av brukerprofilering, dens innvirkning på selvbestemmelse, og diskriminering på grunn av økonomiske, sosiale eller helsemessige forhold. Likestilling i dataetikken innebærer også å aktivt redusere skjevheter i algoritmer.

Hvordan etisk bruk av data kan være til nytte for organisasjonen din

Vi vet at organisasjoner allerede har et stort ansvar når det gjelder IT-sikkerhet, GDPR og sikker håndtering av data. Så hvorfor bør dere prioritere eller overhodet vurdere å legge dataetikk til listen? For å si det enkelt: Å beskytte data betyr å beskytte mennesker. Hvis du bryr deg om kunder, ansatte og mennesker generelt, bør du ta dataetikk på alvor.

Fordelene med dataetikk:

  • Øk etikken rundt personvern
  • Reduser risikoen for dataangrep  
  • Overhold prinsippene i personvernforordningen
  • Skap sterke relasjoner
Øk etikken rundt personvern

Personvernforordningen (GDPR) krever at alle organisasjoner beskytter dataene sine mot å bli stjålet, ødelagt eller tilintetgjort. For å gjøre dette må du ha systemer og prosesser på plass som beskytter dataene dine. Du kan øke datasikkerhetsnivået på mange måter, f.eks. ved å gi de ansatte opplæring eller ha strenge retningslinjer for IT-sikkerhet. Vi kommer tilbake til disse og andre metoder senere i artikkelen.

Etisk bruk av data reduserer risikoen for dataangrep

Visste du at det skjer et dataangrep hvert ellevte sekund? Siden 2009 har IT-angrep skjedd tre ganger så ofte som før, og det forventes at det vil bli enda vanligere i fremtiden. Organisasjoner som blir utsatt for et angrep, risikerer både økonomiske konsekvenser og svekket omdømme. Dette gjør det vanskelig å komme seg etter et dataangrep, særlig for små bedrifter. 60% av de små bedriftene som blir utsatt for angrep, blir tvunget til å legge ned.

Den gode nyheten er at når de ansatte vet hvordan de skal håndtere data på en etisk forsvarlig måte, reduseres organisasjonens risiko for å bli utsatt for datainnbrudd.

Dataetikk hjelper deg med å overholde personvernforordningen

Riktig datahåndtering er ikke frivillig, og hvis du ikke følger personvernforordningen, kan du risikere store bøter. Du kan trygt si at du får mye mer igjen for å investere i opplæring av ansatte og andre typer sikkerhetstiltak enn å vente på at et datainnbrudd skal skje.

Dataetikk skaper sterke relasjoner

Personvern og etikk handler ikke bare om å ikke avsløre informasjon. Det handler også om hvem vi velger å stole på når det gjelder å holde informasjonen vår privat. Når kunder eller ansatte gir deg informasjon om seg selv, er det et tegn på at de stoler på at du holder informasjonen trygg. Hvis du behandler personopplysninger som noe du har til låns, sikrer du at du beholder kundenes tillit og innfrir deres forventninger til hvordan du håndterer opplysningene deres.

Etisk datainnsamling og personvernforordningen

La oss se på hvordan etisk innsamling og bruk av data er i tråd med prinsippene i personvernforordningen.

Dataetikk innebærer å være åpen om dataene du samler inn

Åpenhet er en del av det første GDPR-prinsippet, og det er også et prinsipp du bør følge for å samle inn personopplysninger på en etisk måte. Åpenhet rundt datainnsamlingen betyr at du kommuniserer tydelig hva, hvordan og hvorfor du behandler data, fra informasjonskapslene nettstedet ditt bruker til hvordan du tar opp videomøter.

Bruk folks data i samsvar med deres samtykke 

For å overholde det andre GDPR-prinsippet skal du aldri bruke personopplysninger til andre formål enn det du har innhentet samtykke til. Dette prinsippet stemmer godt overens med verdiene åpenhet, rettferdighet og tillit i forbindelse med etisk datainnsamling.

Samle inn og lagre bare det du trenger

For å overholde personvernprinsipp tre og fem bør organisasjoner ikke samle inn mer data enn de trenger, og de må ha en sikker praksis for å destruere dem når de ikke lenger er nødvendige. Å samle inn og oppbevare unødvendig informasjon er ikke bare en krenkelse av personvernet, men utgjør også en ekstra sikkerhetsrisiko i tilfelle et sikkerhetsbrudd. Lagring og destruksjon av ubrukte data innebærer også sløsing med bedriftens ressurser.

Dataetikk er avhengig av integritet, konfidensialitet og ansvarlighet

De to siste GDPR-prinsippene dekker de mest grunnleggende IT-sikkerhetsbehovene. Mens konfidensialitet handler om å begrense tilgangen til personopplysninger, fokuserer integritet på personvern og innsamling av pålitelige og nøyaktige data. Ansvarlighet handler om organisasjonens ansvar for å håndtere data etisk og i samsvar med personvernforordningen.

Spørsmål du kan stille deg selv for å øke datetikken din

  • Er vi åpne om hvordan og hvorfor vi samler inn data?

  • Trenger vi virkelig alle dataene vi samler inn?

  • Hvem har tilgang til dataene våre (inkludert ansatte)?

  • Lagrer vi data på en sikker måte?

  • Har vi en prosess for sikker sletting av data?

Slik sikrer du at organisasjonen håndterer data på en etisk forsvarlig måte

De fleste brudd på IT-sikkerheten skyldes menneskelige feil. Likevel er det mange bedrifter som ikke ser at de ansatte er den viktigste delen av IT-sikkerhetsstrategien. Her er noen tips til hvordan du kan sørge for at de ansatte i bedriften blir bevisst sitt ansvar for å håndtere data etisk og unngå sikkerhetsbrudd.

1. Sørg for at de ansatte har grunnleggende kunnskap om IT-sikkerhet og GDPR

Etikk knyttet til IT-sikkerhet bør involvere alle i organisasjonen. Motstridende oppfatninger av IT-sikkerhetskonsepter som stordata, GDPR og personvern kan gjøre det vanskelig for bedrifter å innføre nye rutiner for IT-sikkerhet.

Opplæring er en god måte å sikre at de ansatte deler den samme grunnleggende kunnskapen og har en oppdatert forståelse av relevante emner. Når du starter med bevissthetsopplæring, bør du begynne med kurs i nøkkelkonsepter som legger et godt grunnlag. Når de ansatte har den samme kunnskapsbasen, kan du introdusere mer dyptgående emner, for eksempel dataetikk.

Temaer vi anbefaler å starte med:

  • Introduksjon til bevissthetsopplæring
  • Phishing
  • Passord
  • Personopplysninger

2. Opprett etiske retningslinjer for IT-sikkerhet 

Etiske retningslinjer for IT-sikkerhet minner de ansatte på at det finnes eksisterende retningslinjer for hvordan de skal opptre når det gjelder IT-sikkerhet. IT-sikkerhetsretningslinjer gir organisasjonen et overordnet rammeverk for hvordan man skal opptre i samsvar med organisasjonens mål, og kan hjelpe deg med å kommunisere de etiske målene, delegere ansvar og rapportere om fremdriften.

For å lage effektive retningslinjer må du få de ansatte til å forstå hvorfor det er viktig å beskytte data. Dataetikk kan hjelpe deg med å argumentere for hvorfor det å følge retningslinjer for IT-sikkerhet, som GDPR, ikke bare beskytter organisasjonen, men også mennesker generelt.

3. Gjør personvern håndgripelig med designprinsipper

De fleste organisasjoner sliter med å integrere personvern i praksis. Dette er noe man ikke bør ta lett på, ettersom personvern bør være et av hovedmålene for arbeidet med IT-sikkerhet. Mange organisasjoner bruker prinsippene for innebygd personvern for å gjøre personvernet mer håndgripelig og enklere å jobbe med. Prinsippene sikrer en proaktiv tilnærming, slik at de ansatte kan ta hensyn til personvernet allerede i starten av nye prosjekter og unngå å vente til det oppstår et problem - noe som ofte er tilfellet med personvern.

Dette er de 7 prinsippene for innebygd personvern:

  • Proaktiv, ikke reaktiv
  • Personvern som standardinnstilling
  • Personvern som en integrert del av designet
  • Full funksjonalitet - positiv sum, ikke nullsum
  • Sikkerhet fra ende til annen - full beskyttelse gjennom hele livssyklusen
  • Synlighet og åpenhet - hold det åpent
  • Respekt for brukernes personvern - hold brukeren i sentrum

Uansett om du velger å følge disse prinsippene eller ikke, er det viktig å huske at målet med arbeidet med personvern alltid bør være å sikre at det ikke blir brutt i utgangspunktet.

4. Vurder og kartlegg de største datasikkerhetsrisikoene

Ikke alle medarbeiderne dine håndterer samme mengde og type data, noe som betyr at noen områder i organisasjonen kan være mer utsatt enn andre. En risikovurdering hjelper deg med å identifisere hvor truslene ligger og hvor du bør sette inn ressurser. Deretter kan du bruke prinsippene for innebygd personvern eller retningslinjene for IT-sikkerhet til å etablere rutiner som bidrar til å løse de mest relevante problemene eller problemene med størst risiko. 

En risikovurdering er også en konkret måte å vise at organisasjonen er proaktiv når det gjelder å overholde personvernforordningen på. For å hjelpe deg i gang har vi laget en gratis mal for risikovurdering. Malen er enkel å bruke, men hvis du ønsker veiledning, kan du følge denne trinnvise veiledningen for risikovurdering.

Smart CTA Risk NO

Dataetikk kan og bør kombineres med informasjonssikkerhet

Vi vet at det er vanskelig å endre ansattes vaner og atferd, men det blir mye enklere når de kan resonnere med og forstå verdien av å gjøre noe annerledes. Jeg håper at dette innlegget har vist at det er viktig å tenke etisk rundt hvordan du samler inn og bruker personopplysninger, ikke bare for å overholde GDPR, men også av hensyn til dine ansattes, kunders og samarbeidspartneres rett til personvern.

Hvis du vil lære mer om dataetikk eller andre IT-sikkerhetsrelaterte emner, kan du ta en titt på vår opplæring i sikkerhetsbevissthet. Nøl ikke med å kontakte oss hvis du har noen tanker eller kommentarer til artikkelen eller noe annet IT-sikkerhetsrelatert.
Back to blog
Recent articles
Cybersikkerhet Den Ultimate Guiden Til En Sterk Sikkerhetskultur

En sterk sikkerhetskultur er grunnlaget for en sikker organisasjon. Få de beste tipsene til hvordan du utvikler en sterk sikkerhetskultur i din bedrift.

Sarah Hofmann 14 min read - By Sarah Hofmann
Cybersikkerhet Hva er NIS2-direktivet og hvordan påvirker det organisasjonen din?

NIS2 styrker IT-sikkerhetskravene for bedrifter i hele EU. Det etablerer et rammeverk og utgjør et utgangspunkt for fremtidig IT-sikkerhet.

Sarah Hofmann 11 min read - By Sarah Hofmann
Cybersikkerhet Hvordan Lage Retningslinjer For IT-Bruk Eksempel Med Gratis Mal

Få en gratismal og les vår guide på hvordan å lage egne retningslinjer for IT-bruk. AUP (acceptable user policy) hjelper selskapet ditt med IT-sikkerhet.

Anders Bryde Thornild 9 min read - By Anders Bryde Thornild