Hvad menes der med begreberne "databeskyttelse" og "datasikkerhed"? Er du klar over forskellene? Vi vil fortælle dig én ting lige fra starten: "Databeskyttelse" og "Datasikkerhed" betyder ikke det samme, selv om de har den fælles rod "data". Derfor bør disse begreber ikke bruges synonymt. Hvorfor er det sådan? Læs videre for at finde ud af det.
Forskelle mellem databeskyttelse og datasikkerhed
Så hvad er egentlig forskellen på databeskyttelse og datasikkerhed, selv om de lyder så ens? Desværre er der ingen standarddefinition af begreberne, og forskellene kan heller ikke udledes af ordene "databeskyttelse" og "datasikkerhed".
Vi starter med, hvad der menes med "databeskyttelse", fordi det også er vigtigt for at forstå datasikkerhed, da datasikkerhed er en del af databeskyttelse.
Hvad betyder "databeskyttelse"?
Forklaring af databeskyttelse
Databeskyttelse handler om at beskytte personer, hvis personlige data behandles, f.eks. opbevares, af en virksomhed eller en lokal myndighed. Personlige data kan være enhver information om en person, der direkte eller indirekte kan identificere denne person. Persondata omfatter navne, adresser, erhverv, uddannelses- eller kontonumre, sundhedsdata, politiske meninger eller oplysninger om religiøst tilhørsforhold. Kort sagt fokuserer databeskyttelse på enkeltpersoner. Enkeltpersoner bør beskyttes af databeskyttelseslovgivningen mod, at deres personlige data behandles vilkårligt af virksomheder eller andre institutioner. Enkeltpersoner skal bevare kontrollen over deres data og ikke blive "gennemsigtige personer".
Juridiske rammer for databeskyttelse
I Storbritannien er databeskyttelse reguleret af Data Protection Act 2018 (DPA 2018), som inkorporerer General Data Protection Regulation (GDPR). GDPR fastsætter regler for håndtering af persondata, som håndhæves af Information Commissioner's Office (ICO). De vigtigste aspekter omfatter databeskyttelsesprincipper, individuelle rettigheder og krav til dataoverførsler og meddelelser om brud på datasikkerheden. Overholdelse er afgørende for at beskytte enkeltpersoners privatliv og undgå sanktioner.
Nøgleprincipper for databeskyttelse
For at sikre, at persondata ikke behandles vilkårligt af virksomheder eller andre institutioner, regulerer GDPR "om" og "hvordan" data skal behandles. Den afgørende faktor er, at personoplysninger kun må behandles ("om"), hvis et retsgrundlag tillader det, eller hvis de personer, hvis data behandles, har givet deres samtykke, Art. 6 (1) GDPR, såkaldt "forbud med forbehold for samtykke". Derudover fastlægger GDPR visse principper for, "hvordan" personoplysninger skal behandles, art. 5 I GDPR. For eksempel må personoplysninger kun behandles til formål, der er fastlagt inden behandlingen (f.eks. opfyldelse af en kontrakt), og skal reduceres til et minimum (f.eks. ingen indsamling af personoplysninger, der ikke er nødvendige for opfyldelse af kontrakten). Desuden skal databehandling være gennemsigtig, hvilket betyder, at enkeltpersoner skal være fuldt informeret om behandlingen af deres personoplysninger, så de kan forstå eller kontrollere behandlingen.
Resumé om databeskyttelse
Databeskyttelse beskytter enkeltpersoner mod ulovlig behandling af deres personlige data. De juridiske bestemmelser om databeskyttelse, især GDPR, regulerer "om" og "hvordan" personlige data behandles.
Læs mere her: Regler for beskyttelse af persondata i og uden for EU
Hvad betyder "datasikkerhed"?
Forklaring af datasikkerhed
"Datasikkerhed" er et underområde af "IT-sikkerhed" ud over "informationssikkerhed". I modsætning til databeskyttelse fokuserer datasikkerhed på selve dataene og ikke på personer. Det fokuserer heller ikke kun på persondata, men på data generelt, som derfor også omfatter f.eks. driftsdata (balancer, kildekode), der ikke har nogen personlig reference. Datasikkerhed har til formål at beskytte data mod trusler gennem tekniske og/eller organisatoriske foranstaltninger. Trusler kan f.eks. være hacking, tyveri, malware eller menneskelige fejl.
Juridiske rammer for datasikkerhed
Datasikkerhed fokuserer på at sikre, at tekniske og/eller organisatoriske foranstaltninger er på plads for at beskytte data. Der er ingen universelt accepteret lov for nogen virksomhed med hensyn til datasikkerhed. GDPR fastsætter dog i art. 32, at der skal anvendes tekniske og/eller organisatoriske foranstaltninger til at beskytte persondata; art. 32 i GDPR opregner også eksempler på foranstaltninger, som f.eks. kryptering eller pseudonymisering.
For kritiske infrastrukturer, forkortet "KRITIS", som f.eks. sundheds-, finans-, fødevare- eller energisektoren, er der desuden særlige lovbestemmelser om informationssikkerhed generelt. Informationssikkerhedsloven gælder for CRITIS. Loven har til formål at sikre, at CRITIS' informationsteknologiske systemer gøres sikre. Derudover kan virksomheder eller andre institutioner blive certificeret i henhold til visse standarder, f.eks. ISO 27001. Disse standarder indeholder visse bestemmelser om, hvordan informationssikkerhed kan implementeres teoretisk og praktisk i en virksomhed eller andre institutioner gennem tekniske og/eller organisatoriske foranstaltninger.
De vigtigste beskyttelsesmål for datasikkerhed
Målet med datasikkerhed er at sikre, at data til enhver tid er beskyttet. Datasikkerhed eksisterer blandt andet, når de tre væsentlige beskyttelsesmål "fortrolighed", "tilgængelighed" og "integritet" er garanteret eller ikke kompromitteret. Fortrolighed er sikret, når kun autoriserede personer har adgang til dataene; tilgængelighed, når dataene til enhver tid er tilgængelige for autoriserede personer; integritet, når dataene er korrekte og fuldstændige.
Resumé om datasikkerhed
Datasikkerhed beskytter data af enhver art mod tab, manipulation og andre trusler og kan især opnås ved hjælp af tekniske og/eller organisatoriske foranstaltninger.
Konklusion om forskellene mellem databeskyttelse og datasikkerhed
Det er vigtigt at bemærke, at selvom databeskyttelse og datasikkerhed ikke er identiske, kan databeskyttelse også kun sikres gennem datasikkerhed. Når alt kommer til alt, nytter det ikke noget, hvis personoplysningerne behandles lovligt, men ikke er tilstrækkeligt beskyttet mod trusler teknisk og/eller organisatorisk.
Læs mere om dette: Styrk din databeskyttelse med avanceret software til håndtering af databeskyttelse
