Hvad menes der med begreberne "databeskyttelse" og "datasikkerhed"? Er du klar over forskellene? Vi vil fortælle dig én ting lige fra starten: "Databeskyttelse" og "Datasikkerhed" betyder ikke det samme, selv om de har den fælles rod "data". Derfor bør disse begreber ikke bruges synonymt. Hvorfor er det sådan? Læs videre for at finde ud af det.
Forskelle mellem databeskyttelse og datasikkerhed
Så hvad er egentlig forskellen på databeskyttelse og datasikkerhed, selv om de lyder så ens? Desværre er der ingen standarddefinition af begreberne, og forskellene kan heller ikke udledes af ordene "databeskyttelse" og "datasikkerhed".
Vi starter med, hvad der menes med "databeskyttelse", fordi det også er vigtigt for at forstå datasikkerhed, da datasikkerhed er en del af databeskyttelse.
Hvad betyder "databeskyttelse"?
Forklaring
Databeskyttelse handler om at beskytte personer, hvis personlige data behandles, f.eks. opbevares, af en virksomhed eller en lokal myndighed. Persondata kan være enhver information om en person, som direkte eller indirekte kan identificere personen. Persondata omfatter navne, adresser, erhverv, uddannelses- eller kontonumre, sundhedsdata, politiske meninger eller oplysninger om religiøst tilhørsforhold. Kort sagt fokuserer databeskyttelse på enkeltpersoner. Enkeltpersoner bør beskyttes af databeskyttelseslovgivningen mod at få deres personlige data behandlet vilkårligt af virksomheder eller andre institutioner. Individer bør bevare kontrollen over deres data og ikke blive "gennemsigtige individer".
Juridisk ramme
I Tyskland er der forskellige lovbestemmelser om databeskyttelse. For det første er databeskyttelse en grundlæggende rettighed i Tyskland. Det er måske ikke alment kendt, da der ikke er nogen grundlæggende rettighed, der hedder "databeskyttelse". Men databeskyttelse som "ret til informationel selvbestemmelse" er blevet afledt af den generelle personlighedsret, artikel 2 (1) GG i forbindelse med artikel 1 (1) GG, siden folketællingsdommen i 1983. Ifølge "retten til informationel selvbestemmelse" skal enhver person i princippet selv kunne bestemme, om deres data skal videregives, og være klar over, hvem der behandler deres data, hvornår og hvorfor. I Tyskland er det dog GDPR og BDSG, der er afgørende, når det gælder den konkrete behandling af persondata i den professionelle hverdag (derudover kan der stadig gælde landespecifikke og/eller områdespecifikke regler). På grund af sin lovgivningsmæssige karakter har GDPR generelt forrang for BDSG; BDSG supplerer dog GDPR på visse områder, hvor GDPR ikke indeholder nogen eller ingen specifikke udsagn, f.eks. inden for beskyttelse af medarbejderdata.
Nøgleprincipper for databeskyttelse
For at sikre, at personoplysninger ikke behandles vilkårligt af virksomheder eller andre institutioner, regulerer GDPR "om" og "hvordan" dataene skal behandles. Det afgørende er, at persondata kun må behandles ("om"), hvis et retsgrundlag tillader det, eller hvis de personer, hvis data behandles, har givet deres samtykke, Art. 6 (1) GDPR, såkaldt "forbud med forbehold for samtykke". Derudover fastlægger GDPR visse principper for, "hvordan" persondata skal behandles, Art. 5 I GDPR. F.eks. må personoplysninger kun behandles til formål, der er fastlagt før behandlingen (f.eks. opfyldelse af en kontrakt) og skal reduceres til et minimum (f.eks. ingen indsamling af personoplysninger, der ikke er nødvendige for opfyldelse af kontrakten). Desuden skal databehandling være gennemsigtig, hvilket betyder, at enkeltpersoner skal informeres fuldt ud om behandlingen af deres personlige data, så de kan forstå eller kontrollere behandlingen.
Resumé
Databeskyttelse beskytter enkeltpersoner mod ulovlig behandling af deres personlige data. De juridiske bestemmelser om databeskyttelse, især GDPR, regulerer "om" og "hvordan" personlige data behandles.
Hvad betyder "datasikkerhed"?
Forklaring
"Datasikkerhed" er et delområde af "IT-sikkerhed" ud over "informationssikkerhed". I modsætning til databeskyttelse fokuserer datasikkerhed på selve dataene og ikke på personer. Det fokuserer heller ikke kun på personlige data, men på data generelt, hvilket derfor også inkluderer f.eks. operationelle data (balancer, kildekode), der ikke har nogen personlig reference. Datasikkerhed har til formål at beskytte data mod trusler gennem tekniske og/eller organisatoriske foranstaltninger. Trusler kan f.eks. være hacking, tyveri, malware eller menneskelige fejl.
Juridiske rammer
Datasikkerhed fokuserer på at sikre, at tekniske og/eller organisatoriske foranstaltninger er på plads for at beskytte data. Der findes ingen universelt accepteret lov for nogen virksomhed med hensyn til datasikkerhed. GDPR foreskriver dog i art. 32, at tekniske og/eller organisatoriske foranstaltninger skal være på plads. 32, at der skal anvendes tekniske og/eller organisatoriske foranstaltninger til at beskytte persondata; Art. 32 i GDPR opregner også eksempler på foranstaltninger, såsom kryptering eller pseudonymisering.
For kritiske infrastrukturer, forkortet "CRITIS", som f.eks. sundheds-, finans-, fødevare- eller energisektoren, er der dog særlige lovbestemmelser om informationssikkerhed i almindelighed. Loven om informationssikkerhed gælder for CRITIS. Loven har til formål at sikre, at CRITIS' informationsteknologiske systemer er sikre. Derudover kan virksomheder eller andre institutioner blive certificeret i henhold til bestemte standarder, f.eks. ISO 27001 eller BSI IT-Grundschutz. Disse standarder indeholder visse bestemmelser om, hvordan informationssikkerhed kan implementeres teoretisk og praktisk i en virksomhed eller andre institutioner gennem tekniske og/eller organisatoriske foranstaltninger.
Hovedbeskyttelsesmål for datasikkerhed
Målet med datasikkerhed er at sikre, at data til enhver tid er beskyttet. Datasikkerhed eksisterer bl.a., når de tre væsentlige beskyttelsesmål "fortrolighed", "tilgængelighed" og "integritet" er garanteret eller ikke kompromitteret. Fortrolighed er sikret, når kun autoriserede personer har adgang til dataene; tilgængelighed, når dataene til enhver tid er tilgængelige for autoriserede personer; integritet, når dataene er korrekte og fuldstændige.
Resumé
Datasikkerhed beskytter data af enhver art mod tab, manipulation og andre trusler og kan især opnås ved hjælp af tekniske og/eller organisatoriske foranstaltninger.
Konklusion
Det er vigtigt at bemærke, at selvom databeskyttelse og datasikkerhed ikke er identiske, kan databeskyttelse også kun sikres gennem datasikkerhed. Når alt kommer til alt, nytter det ikke noget, hvis personoplysningerne behandles lovligt, men ikke er tilstrækkeligt beskyttet mod trusler teknisk og/eller organisatorisk.