Informationssikkerhed vs. databeskyttelse
Er dette et problem for vores ISO eller vores DPO, eller er det stort set det samme i begge tilfælde? Hvem er egentlig ansvarlig for denne hændelse, og er der overhovedet behov for at rapportere den? For at kunne diskutere ligheder og forskelle mellem informationssikkerhed og databeskyttelse, er det første skridt at definere de to områder.
Den europæiske databeskyttelseslovgivning beskytter principielt kun fysiske personer og har til formål at beskytte mod uautoriseret behandling af persondata. Dette går tilbage til retten til informationel selvbestemmelse, som er blevet beskyttet endnu stærkere siden indførelsen af den generelle databeskyttelsesforordning og den omgivende lovgivning. Som følge heraf kan man sige, at behandling af personoplysninger grundlæggende er forbudt, medmindre behandlingen er tilladt i henhold til lovbestemmelser eller samtykke.
På den anden side kan informationssikkerhed sammenlignes med bilaget til vores ordrebehandlingsaftaler, TOM'erne, nemlig de tekniske og organisatoriske foranstaltninger til beskyttelse af data. Informationssikkerhed drejer sig om beskyttelse af forskellige beskyttelsesmål, f.eks:
- Fortrolighed,
- Integritet,
- Tilgængelighed.
For at opfylde de strenge krav i forskellige love og databeskyttelse skal virksomheder implementere de mest robuste tekniske og organisatoriske foranstaltninger for at forhindre brud på databeskyttelsen og cyberangreb.
Forskellene ligger i motivationen
Mens implementeringen af databeskyttelsesforanstaltninger for det meste følger lovkrav, er implementeringen af informationssikkerhed i virksomheder ikke så stærkt reguleret. Der er forskellige standarder og specifikationer, men der er ingen forpligtelse inden for informationssikkerhed, som f.eks. forpligtelsen under databeskyttelseslove til at udpege en repræsentant over en vis størrelse. Forskellene ligger altså i motivationen. Mens informationssikkerhed bør implementeres ud fra alle virksomheders egeninteresse, er implementeringen af databeskyttelseskrav reguleret ved lov og, i det mindste i den private sektor, sikret ved sanktionsforanstaltninger.
Konflikter mellem de to områder
Der kan opstå konflikter, især når det drejer sig om opbevaring af personlige data. For eksempel opstår denne konflikt, når vi gemmer sikkerhedskopier af vores kunders databaser for at sikre beskyttelsesmålet om tilgængelighed. Men når vi gør det, handler vi potentielt imod databeskyttelsesprincipperne. Hvad sker der egentlig, hvis en kunde indsender en anmodning, og vi skal slette alle personlige data? En udfordring i praksis er oprydningen af backup-generationer for netop disse anmodninger fra registrerede. Fra et sikkerhedsmæssigt synspunkt ønsker vi at beholde backups i tilfælde af en nødsituation; fra et databeskyttelsessynspunkt er vi nødt til at slette dele af dataene og opfylde vores forpligtelser over for de registrerede. Et andet eksempel er logfiler. Ved at overvåge forbindelseslogfiler kan vi kontrollere, hvilke brugere der har foretaget hvilke handlinger. På den måde sikrer vi integriteten og kan bevise, når noget går galt. Fra et databeskyttelsessynspunkt er lagring af data dog forbudt indtil videre, medmindre vi modtager samtykke, eller der er et retsgrundlag.
Sammenfattende kan man sige, at databeskyttelse og informationssikkerhed er emner, der bør betragtes holistisk. Der er dog potentiale for konflikt på grund af de forskellige mål for disse områder. Hos Increase Your Skills har vi gjort det til vores opgave at uddanne folk inden for begge områder på den bedst mulige måde og dermed sikre et effektivt sikkerhedsniveau og også databeskyttelse.
