Databeskyttelsesdagen er en dag, der har til formål at øge bevidstheden om vigtigheden af at beskytte oplysninger og forbedre databeskyttelsesprocesserne.
Datafortrolighed har aldrig været vigtigere, især ikke i den nuværende tid, hvor store dele af arbejdsstyrken fortsat arbejder hjemmefra. Cyberangreb har skabt hidtil usete udfordringer for organisationer og understreget behovet for at lægge større vægt på databeskyttelse i disse udfordrende tider.
Databeskyttelsesdagen giver organisationer mulighed for at reflektere over den nuværende lovgivning om databeskyttelse og identificere områder, der kan forbedres.
Hvad er databeskyttelsesdagen?
Databeskyttelsesdagen er et internationalt initiativ, der finder sted hvert år den 28. januar for at fremme bedste praksis for databeskyttelse og øge bevidstheden om vigtigheden af databeskyttelse.
Arrangementet blev oprettet af Europarådet i 2006 og mindes underskrivelsen den 28. januar 1981 af konvention 108, den første juridisk bindende internationale traktat om privatlivets fred og databeskyttelse.
Data Privacy Day opfordrer enkeltpersoner til at "eje deres privatliv" ved at lære mere om, hvordan de kan beskytte deres oplysninger online og på sociale medier, mens virksomheder opfordres til at "respektere privatlivets fred" ved at beskytte forbrugerdata og sikre dem mod uautoriseret adgang.
Vigtigheden af databeskyttelse
Når forbrugerne giver deres personlige oplysninger til virksomheder, betror de dem disse data og forventer, at der træffes de rette foranstaltninger til at beskytte dem. Desværre er dette ikke altid tilfældet, som vi har set i forbindelse med de mange databrud i de seneste år.
En skødesløs misforvaltning af personoplysninger kan have ødelæggende konsekvenser for organisationer, herunder finansielle sanktioner, skade på omdømme og tab af forbrugernes tillid. I en nyere rapport fra PWC sagde 87 % af forbrugerne, at de ville flytte deres forretning andetsteds hen, hvis de mente, at en virksomhed ikke håndterede deres data på en ansvarlig måde. Det er klart, at der er meget på spil, så organisationer skal sikre, at personlige oplysninger er beskyttet.
Virkningerne af bestemmelserne om databeskyttelse
Databeskyttelsesmyndighederne har fastsat de standarder og krav, som organisationer skal overholde for at være sikre og overholde reglerne. Den mest bemærkelsesværdige af alle disse databeskyttelseslove er GDPR. GDPR har haft en massiv indvirkning på det globale privacy-landskab, siden den blev implementeret i maj 2018. Lovgivningen blev indført for at give EU-borgere mere kontrol over deres personlige data og for at holde organisationer ansvarlige for indsamling, håndtering og behandling af kundedata.
Reguleringen har haft en ringe effekt, som har fået mange andre lande til at se nærmere på deres egne sikkerheds- og privatlivets fred-love. I USA trådte California Consumer Privacy Act(CCPA) i kraft den 1. januar 2020 for at regulere, hvordan virksomheder over hele verden håndterer Californiens indbyggeres personlige oplysninger. Loven var stærkt inspireret af GDPR og deler det samme nøgleprincip om at beskytte den enkeltes privatliv.
Brasilien har også fulgt trop, og i august 2020 indførte landet den generelle databeskyttelseslov for Brasilien(LGPD). Ligesom GDPR beskriver LGPD, hvordan organisationer lovligt kan indsamle, behandle, håndtere, sikre og destruere personoplysninger.
Nu hvor der lægges større vægt på databeskyttelse, kan vi forvente, at flere globale databeskyttelseslove træder i kraft, efterhånden som enkeltpersoner kræver større kontrol over, hvordan deres data anvendes og behandles.
Brug Databeskyttelsesdagen til at forbedre databeskyttelsespraksis
Databeskyttelsesdagen er måske nok en enkelt dag, men god databeskyttelsespraksis bør gennemføres hele året rundt. Dagen i dag bør fungere som en rettidig påmindelse om, at organisationer skal have solide metoder og sikkerhedsforanstaltninger på plads for at beskytte data og holde dem sikre. Der er en række skridt, som organisationer kan tage for at sikre, at de er på rette vej:
1. Gennemførelse af regelmæssige revisioner
For at vurdere, om din nuværende datastyringspraksis er i orden, skal du foretage regelmæssige revisioner for at vurdere, om der skal foretages ændringer. Dine revisioner bør se på, hvilke data der opbevares, hvor de opbevares, hvor de stammer fra, hvor længe de opbevares, hvordan de bruges, hvilke adgangsrettigheder de har, og hvordan de deles.
Dette vil være en hjælp til at finde ud af, hvilke passende databeskyttelsesforanstaltninger der skal træffes for at sikre kundernes personligt identificerbare oplysninger. Dine medarbejdere bør også uddannes i databeskyttelse og gøres opmærksom på den vigtige rolle, de spiller i beskyttelsen af personlige oplysninger.
2. Vedtage en ramme for en politik for beskyttelse af privatlivets fred
Hvis din organisation skal overholde flere databeskyttelsesregler, bør du overveje at indføre en ramme for privatlivspolitikken. Disse rammer giver en formel struktur til forvaltning af sikkerheden af personoplysninger og sikrer overholdelse af de relevante love og bestemmelser.
De to vigtigste rammer for beskyttelse af privatlivets fred er ISO27001 og NIST Privacy Framework. ISO27001 fastlægger en tilgang til informationssikkerhedsstyring, der bygger på bedste praksis. Den er udformet til at beskytte datas fortrolighed, integritet og tilgængelighed og identificere risikoområder, der kan bringe din organisations sikkerhed i fare. NIST er også en anden meget respekteret ramme, som bruges af organisationer over hele verden til at standardisere processer, reducere risici og forbedre cybersikkerhedsaktiviteter.
3. Vær gennemsigtig
Bevidstheden og bekymringerne omkring datasikkerhed har aldrig været større end i dag. Forbrugerne er alt for bevidste om, hvordan deres personlige data kan få konsekvenser som identitetstyveri og misbruges i de forkerte hænder. Organisationer skal være proaktive og tage alle de nødvendige skridt til at beskytte disse data og sikre god informationsstyring.
Hvis din organisation kan vise, hvor alvorligt den tager privatlivets fred, kan det resultere i større tillid og gennemsigtighed og skabe en mulighed for at opnå konkurrencefordele.
4. Vær meget opmærksom på tredjepartstjenesteudbydere
I de seneste år er det blevet normen for organisationer at bruge et væld af forskellige tredjepartsleverandører til at understøtte centrale forretningsfunktioner. Disse parter har imidlertid ofte adgang til virksomhedens interne systemer og data, hvilket kan udgøre en stor sikkerheds- og overensstemmelsesrisiko.
For at beskytte følsomme data bør du sikre, at dine eksterne leverandører overholder de rette retningslinjer og opdaterede politikker. I henhold til GDPR og mange af de andre databeskyttelseslove er organisationer retligt forpligtet til at forsikre tilsynsmyndighederne om, at deres tredjepartstjenesteudbydere overholder reglerne ved at have gode cybersikkerheds- og privatlivskontroller på plads.