Informationssäkerhet vs dataskydd
Är detta en fråga för vår ISO eller vår DPO, eller är det ungefär samma sak i båda fallen? Vem exakt är ansvarig för denna incident, och finns det något behov av att rapportera den överhuvudtaget? För att kunna diskutera likheterna och skillnaderna mellan informationssäkerhet och dataskydd är det första steget att definiera de två områdena.
Den europeiska dataskyddslagstiftningen skyddar i princip endast fysiska personer och är avsedd att skydda mot obehörig behandling av personuppgifter. Detta går tillbaka till rätten till informellt självbestämmande, som har skyddats ännu starkare sedan införandet av den allmänna dataskyddsförordningen och omgivande lagstiftning. Som ett resultat kan man säga att behandling av personuppgifter i princip är förbjuden om inte behandlingen är tillåten enligt lagbestämmelser eller samtycke.
Å andra sidan är informationssäkerhet jämförbart med bilagan till våra orderhanteringsavtal, TOM, nämligen de tekniska och organisatoriska åtgärderna för att skydda uppgifter. Informationssäkerhet handlar om skydd av olika skyddsmål, t.ex:
- Konfidentialitet,
- Integritet,
- Tillgänglighet.
För att uppfylla de stränga kraven i olika lagar och dataskydd måste företag implementera de mest robusta tekniska och organisatoriska åtgärderna för att förhindra dataskyddsbrott och cyberattacker.
Skillnaderna ligger i motivationen
Medan genomförandet av åtgärder för dataskydd oftast följer rättsliga krav, är genomförandet av informationssäkerhet i företag inte lika starkt reglerat. Det finns olika standarder och specifikationer, men det finns ingen skyldighet i informationssäkerhet, såsom skyldigheten enligt dataskyddslagar att utse en representant över en viss storlek. Skillnaderna ligger alltså i motivationen. Medan informationssäkerhet bör genomföras av egenintresse för alla företag, är genomförandet av dataskyddskrav reglerat i lag och, åtminstone inom den privata sektorn, säkrat genom sanktionsåtgärder.
Konflikter mellan de två områdena
Konflikter kan uppstå, särskilt när det gäller lagring av personuppgifter. Denna konflikt uppstår till exempel när vi lagrar säkerhetskopior av våra kunders databaser för att säkerställa skyddsmålet om tillgänglighet. Genom att göra detta agerar vi dock potentiellt mot principerna för dataskydd. Vad händer egentligen om en kund lämnar in en begäran från en registrerad och vi måste radera alla personuppgifter? Ett utmanande fall i praktiken är rensningen av backup-generationer för just dessa förfrågningar från registrerade. Ur säkerhetssynpunkt vill vi behålla säkerhetskopiorna i händelse av en nödsituation; ur dataskyddssynpunkt måste vi radera delar av uppgifterna och uppfylla våra skyldigheter gentemot de registrerade. Ett annat exempel är loggfiler. Genom att övervaka anslutningsloggar kan vi kontrollera vilka användare som har vidtagit vilken åtgärd. På så sätt säkerställer vi integriteten och kan bevisa när något går fel. Ur dataskyddssynpunkt är dock lagring av uppgifter för närvarande förbjuden om vi inte får samtycke eller det finns en rättslig grund.
Sammanfattningsvis kan man säga att dataskydd och informationssäkerhet är ämnen som bör betraktas holistiskt. Det finns dock potential för konflikter på grund av de olika målen för dessa områden. Vi på Increase Your Skills har gjort det till vår uppgift att utbilda människor inom båda områdena på bästa möjliga sätt och därmed säkerställa en effektiv säkerhetsnivå och även dataskydd.