Vad menas med begreppen "dataskydd" och "datasäkerhet"? Är du medveten om skillnaderna? Vi ska berätta en sak för dig redan från början: "Dataskydd" och "Datasäkerhet" betyder inte samma sak, även om de har den gemensamma roten "data". Därför bör dessa termer inte användas synonymt. Varför är det så? Fortsätt läsa för att ta reda på det.
Skillnader mellan dataskydd och datasäkerhet
Så vad är egentligen skillnaderna mellan dataskydd och datasäkerhet, trots att de låter så lika? Tyvärr finns det ingen standarddefinition för begreppen, och skillnaderna kan inte heller härledas från orden "dataskydd" och "datasäkerhet".
Vi börjar först med vad som menas med "dataskydd" eftersom detta också är viktigt för att förstå datasäkerhet eftersom datasäkerhet är en komponent i dataskydd.
Vad betyder "dataskydd"?
Förklaring
Dataskydd handlar om att skydda individer vars personuppgifter behandlas, t.ex. lagras, av ett företag eller en lokal myndighet. Personuppgifter kan vara all information om en person som direkt eller indirekt kan identifiera den personen. Personuppgifter inkluderar namn, adress, yrke, utbildning eller kontonummer, hälsouppgifter, politiska åsikter eller information om religiös tillhörighet. Kort sagt, dataskydd fokuserar på individer. Individer bör skyddas av dataskyddslagstiftningen från att få sina personuppgifter behandlade godtyckligt av företag eller andra institutioner. Individer bör behålla kontrollen över sina uppgifter och inte bli "transparenta individer".
Rättslig ram
I Tyskland finns det olika rättsliga bestämmelser om dataskydd. För det första är dataskydd en grundläggande rättighet i Tyskland. Detta är ibland inte allmänt känt, eftersom det inte finns någon grundläggande rättighet som heter "dataskydd". Dataskydd som "rätt till informationellt självbestämmande" har dock härletts från den allmänna personlighetsrätten, artikel 2 (1) GG i kombination med artikel 1 (1) GG, sedan folkräkningsbeslutet 1983. Enligt "rätten till informellt självbestämmande" ska varje person i princip själv kunna bestämma om han eller hon vill lämna ut sina uppgifter och vara medveten om vem som behandlar hans eller hennes uppgifter, när och varför. I Tyskland är dock GDPR och BDSG avgörande när det gäller den konkreta behandlingen av personuppgifter i det dagliga yrkeslivet (dessutom kan lands- och/eller områdesspecifika bestämmelser fortfarande gälla). BDSG kompletterar dock GDPR på vissa områden där GDPR inte innehåller några eller inga specifika uttalanden, t.ex. inom området för skydd av anställdas personuppgifter.
Huvudprinciper för dataskydd
För att säkerställa att personuppgifter inte behandlas godtyckligt av företag eller andra institutioner, reglerar GDPR "om" och "hur" uppgifterna ska behandlas. Det avgörande är att personuppgifter endast får behandlas ("om") om en rättslig grund tillåter detta eller om de personer vars uppgifter behandlas har gett sitt samtycke, Art. 6 (1) GDPR, så kallat "förbud med förbehåll för samtycke". Dessutom fastställer GDPR vissa principer för "hur" personuppgifter ska behandlas, art. 5 GDPR. Till exempel får personuppgifter endast behandlas för ändamål som fastställts före behandlingen (t.ex. fullgörande av ett avtal) och måste reduceras till ett minimum (t.ex. ingen insamling av personuppgifter som inte är nödvändiga för fullgörandet av avtalet). Dessutom måste databehandlingen vara transparent, vilket innebär att individer måste vara fullt informerade om behandlingen av deras personuppgifter så att de kan förstå eller kontrollera behandlingen.
Sammanfattning
Dataskydd skyddar individer från olaglig behandling av deras personuppgifter. De rättsliga bestämmelserna om dataskydd, särskilt GDPR, reglerar "om" och "hur" personuppgifter behandlas.
Vad innebär "datasäkerhet"?
Förklaring
"Datasäkerhet" är förutom "informationssäkerhet" ett delområde inom "IT-säkerhet". I motsats till dataskydd fokuserar datasäkerhet på själva uppgifterna och inte på personer. Det fokuserar inte heller bara på personuppgifter utan på data i allmänhet, vilket därför också inkluderar till exempel operativa data (balansräkningar, källkod) som inte har någon personlig referens. Datasäkerhet syftar till att skydda uppgifter från hot genom tekniska och/eller organisatoriska åtgärder. Hoten kan till exempel vara hackning, stöld, skadlig kod eller mänskliga misstag.
Rättslig ram
Datasäkerhet fokuserar på att säkerställa att tekniska och/eller organisatoriska åtgärder finns på plats för att skydda data. Det finns ingen allmänt accepterad lag för något företag när det gäller datasäkerhet. GDPR föreskriver dock i art. 32 att tekniska och/eller organisatoriska åtgärder måste användas för att skydda personuppgifter; Art. 32 i GDPR listar också exempel på åtgärder, såsom kryptering eller pseudonymisering.
För kritisk infrastruktur, förkortat "CRITIS", såsom hälso-, finans-, livsmedels- eller energisektorerna, finns det dock särskilda rättsliga bestämmelser om informationssäkerhet i allmänhet. Informationssäkerhetslagen gäller för CRITIS. Lagen syftar till att säkerställa att CRITIS informationstekniska system är säkra. Dessutom kan företag eller andra institutioner certifieras enligt vissa standarder, t.ex. ISO 27001 eller BSI IT-Grundschutz. Dessa standarder innehåller vissa bestämmelser om hur informationssäkerhet kan implementeras teoretiskt och praktiskt i ett företag eller andra institutioner genom tekniska och/eller organisatoriska åtgärder.
Huvudsakliga skyddsmål för datasäkerhet
Målet med datasäkerhet är att säkerställa att data alltid är skyddade. Datasäkerhet föreligger bl.a. när de tre grundläggande skyddsmålen "konfidentialitet", "tillgänglighet" och "integritet" garanteras eller inte äventyras. Konfidentialitet garanteras när endast behöriga personer har tillgång till uppgifterna, tillgänglighet när uppgifterna alltid är tillgängliga för behöriga personer och integritet när uppgifterna är korrekta och fullständiga.
Sammanfattning
Datasäkerhet skyddar data av alla slag mot förlust, manipulation och andra hot och kan uppnås särskilt genom tekniska och/eller organisatoriska åtgärder.
Slutsats
Det är viktigt att notera att även om dataskydd och datasäkerhet inte är identiska, kan dataskydd också endast säkerställas genom datasäkerhet. Det är ju ingen idé om personuppgifterna behandlas lagligt men inte är tillräckligt skyddade mot hot tekniskt och/eller organisatoriskt.