Articles

Hvad er databeskyttelse?

On november 5, 2021 by

Databeskyttelse, undertiden også kaldet informationsbeskyttelse, er et område inden for databeskyttelse, der vedrører korrekt håndtering af følsomme data, herunder især personoplysninger, men også andre fortrolige data, såsom visse finansielle data og data om intellektuel ejendomsret, for at opfylde lovmæssige krav samt beskytte dataenes fortrolighed og uforanderlighed.

Databeskyttelse omfatter groft sagt tre brede kategorier, nemlig traditionel databeskyttelse (som f.eks. sikkerhedskopiering og gendannelse af kopier), datasikkerhed og databeskyttelse, som vist i nedenstående figur. Sikring af privatlivets fred for følsomme og personlige data kan betragtes som et resultat af bedste praksis inden for databeskyttelse og datasikkerhed med det overordnede mål at opnå kontinuerlig tilgængelighed og uforanderlighed af kritiske forretningsdata.

Bemærk venligst, at begrebet databeskyttelse indeholder det, som Den Europæiske Union (EU) kalder “databeskyttelse”.

Figur: De tre kategorier af databeskyttelse

Sikkerhed bliver et vigtigt element i beskyttelsen af data mod eksterne og interne trusler, men også når det skal afgøres, hvilke digitalt lagrede data der kan deles og med hvem. I praktisk forstand omhandler databeskyttelse aspekter af kontrolprocessen omkring deling af data med tredjeparter, hvordan og hvor disse data opbevares, og de specifikke regler, der gælder for disse processer.

Næsten alle lande i verden har indført en eller anden form for lovgivning om databeskyttelse som reaktion på behovene i en bestemt branche eller del af befolkningen.

Datasuverænitet

Datasuverænitet henviser til digitale data, der er underlagt lovgivningen i det land, hvor de befinder sig.

Den stigende udbredelse af clouddatatjenester og en opfattet mangel på sikkerhed har fået mange lande til at indføre ny lovgivning, der kræver, at data skal opbevares i det land, hvor kunden er bosat.

Den aktuelle bekymring omkring datasuverænitet er relateret til regeringer, der forsøger at forhindre, at data opbevares uden for oprindelseslandets geografiske grænser. Det kan være kompliceret at sikre, at data kun findes i værtslandet, og det afhænger ofte af detaljerne i serviceniveauaftalen med cloudserviceudbyderen.

Databeskyttelse – Geografiske variationer i vilkårene

I EU anerkendes privatlivets fred som en absolut grundlæggende rettighed, og i nogle dele af verden er privatlivets fred ofte blevet betragtet som et element af frihed, retten til at være fri for indgreb fra statens side. I de fleste geografiske områder er privatlivets fred et juridisk begreb og ikke en teknologi, og det er derfor betegnelsen databeskyttelse, der omhandler de tekniske rammer for at holde dataene sikre og tilgængelige.

Hvorfor er databeskyttelse vigtigt?

Svaret på dette spørgsmål er et spørgsmål om forretningsmæssige nødvendigheder:

  1. Business Asset Management: Data er måske det vigtigste aktiv, som en virksomhed ejer. Vi lever i en dataøkonomi, hvor virksomheder finder enorm værdi i at indsamle, dele og bruge data om kunder eller brugere, især fra sociale medier. Gennemsigtighed i den måde, hvorpå virksomheder anmoder om samtykke til at opbevare personlige data, overholder deres privatlivspolitikker og forvalter de data, de har indsamlet, er afgørende for at opbygge tillid hos kunder, der naturligt forventer privatlivets fred som en menneskeret.
  2. Overholdelse af lovgivningen: Det er nok endnu vigtigere at forvalte data for at sikre overholdelse af lovgivningen. En virksomhed kan være nødt til at opfylde juridiske forpligtelser med hensyn til, hvordan de indsamler, opbevarer og behandler personlige data, og manglende overholdelse kan føre til en stor bøde. Hvis virksomheden bliver offer for et hackerangreb eller ransomware, kan konsekvenserne i form af tabte indtægter og tabt kundetillid være endnu værre.

Databeskyttelse er ikke datasikkerhed

Virksomheder er nogle gange forvirrede over begreberne og tror fejlagtigt, at det at holde personlige og følsomme data sikrede mod hackere betyder, at de automatisk overholder reglerne om databeskyttelse. Dette er ikke tilfældet. Datasikkerhed beskytter data mod kompromittering fra eksterne angribere og ondsindede insidere, mens databeskyttelse regulerer, hvordan dataene indsamles, deles og anvendes.

Differerende juridiske definitioner af databeskyttelse

Hvis der er enighed om vigtigheden af databeskyttelse for en virksomhed, kan den juridiske definition være yderst kompleks.

Ingen af de mest udbredte regler (GDPR, CCPA, HIPAA osv.) definerer præcist, hvad der menes med databeskyttelse, og det er overladt til virksomhederne at afgøre, hvad de anser for bedste praksis i deres egen branche. Lovgivningen henviser ofte til, hvad der betragtes som “rimeligt”, hvilket kan variere fra lov til lov sammen med de respektive bøder.

I praksis betyder det, at virksomheder, der arbejder med følsomme og personlige data, bør overveje at overskride de juridiske parametre for at sikre, at deres datapraksis ligger et godt stykke over dem, der er skitseret i lovgivningen.

Personoplysninger (kendt som Personally Identifiable Information eller PII) betyder enhver information, der kan bruges til at skelne eller spore en persons identitet (f.eks, navn, socialsikringsnummer, biometriske optegnelser osv.) alene eller i kombination med andre personlige eller identificerende oplysninger, som er knyttet eller kan knyttes til en bestemt person (f.eks. fødselsdato og fødested, moderens pigenavn osv.).

Læs mere om databeskyttelse i vores uddannelsesbibliotek

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.