Databeskyttelse sikrer dine datas privatliv, tilgængelighed og integritet ved at vedtage forskellige databeskyttelsesstrategier og -processer.
Privatliv er afgørende for at skabe forbindelse mellem mennesker og organisationer, men det handler i virkeligheden om at beskytte grundlæggende rettigheder. En god strategi kan hjælpe med at forhindre tab af data, tyveri eller korruption og minimere skader, hvis der opstår et brud eller en katastrofe. En organisation, der håndterer, opbevarer eller indsamler følsomme data, skal udvikle en databeskyttelsesstrategi.
Databeskyttelse bør overvejes i designfasen af ethvert system, service, produkt eller proces og i hele dets levetid.
Personlige oplysninger kan opdeles i forskellige kategorier, som alle kan give anledning til bekymringer om privatlivets fred. Disse er:
Grundlæggende hjælper principperne for databeskyttelse organisationer med at beskytte data og gøre dem let tilgængelige under alle omstændigheder for den enkelte. Databeskyttelse refererer til både datasikkerhedskopiering og forretningskontinuitet/katastrofegendannelse (BCDR), såsom:
Personoplysninger omtales som enhver information, der kan relatere til et identificerbart eller identificeret levende individ. En person kan identificeres ved at sammensætte forskellige informationer, som, når de indsamles sammen, udgør personlige data.
Nogle eksempler på persondata omfatter; fornavne og efternavne, adresser, en identificerbar e-mailadresse (dette kunne være fornavn.efternavn@virksomhed.com), placeringsdata og IP (internet Protocol) adresse.
Organisationer er normalt afhængige af personlige data til daglige aktiviteter.
ICO siger, at:
"I sig selv er navnet John Smith muligvis ikke altid personlige data, fordi der er mange personer med det navn. Men hvor navnet kombineres med andre oplysninger (såsom en adresse, et arbejdssted eller et telefonnummer), vil dette normalt være tilstrækkeligt til klart at identificere én person."
ICO gør også opmærksom på, at navne ikke nødvendigvis er de eneste oplysninger, der kræves for at identificere en person:
"Simpelthen fordi du ikke kender navnet på en person, betyder det ikke, at du ikke kan identificere [dem]. Mange af os kender ikke navnene på alle vores naboer, men vi er stadig i stand til at identificere dem.”
Databeskyttelse refererer til, hvordan følsomme og vigtige data skal indsamles eller håndteres. Personlige helbredsoplysninger (PHI) og Personligt identificerbare oplysninger (PII) er to eksempler på data, der er underlagt databeskyttelseslovgivningen. Denne kategori omfatter økonomiske oplysninger, sygejournaler, person- eller id-numre, navne, fødselsdatoer og kontaktoplysninger.
Følsomme data bør kun være tilgængelige for autoriserede parter, så databeskyttelse er med til at sikre, at kriminelle ikke kan ondsindet bruge data og sikrer, at organisationer opfylder lovkrav.
Størstedelen af onlinebrugere ønsker at kontrollere eller forhindre visse typer indsamling af personlige data, ligesom nogen måske ønsker at udelukke folk fra en privat samtale.
Virksomheder skal gøre databeskyttelse til en topprioritet. Manglende overholdelse af databeskyttelsesforskrifter kan føre til betydelige tab. Tænk på retssager, betydelige økonomiske sanktioner og brandskade.
Alt, hvad du gør med data, betragtes som behandling; at indsamle, opbevare, registrere, analysere, kombinere, afsløre eller slette det, blandt andet.
Enhver handling på data omtales som databehandling. Fordi rådata ikke er klar til analyser, business intelligence, rapportering eller maskinlæring, skal de aggregeres, ændres, beriges, filtreres og renses.
Organisationer skal behandle data for at kunne skabe bedre forretningsstrategier og forbedre deres konkurrencefordel.
"Hvorfor" og "hvordan" personoplysninger behandles bestemmes af dataansvarlig. I sidste ende er dataansvarlige de vigtigste beslutningstagere i at bestemme årsagen til og formålet med dataindsamlingen og metoden og midlerne til enhver databehandling.
Dataansvarlige kunne være:
En databehandler er en person, offentlig myndighed, agentur eller andet organ, der behandler personoplysninger på den dataansvarliges vegne.
A databehandler handler på vegne af den registeransvarlige og under dennes myndighed. Ved at gøre det tjener de den registeransvarliges interesser snarere end deres egne.
I visse situationer kan en enhed være en dataansvarlig, en databehandler eller begge dele.
Maskiner, der behandler data, såsom lommeregnere eller computere, betragtes som databehandlere. Cloud-tjenesteudbydere er også nu kategoriseret som databehandlere. En tredjeparts databehandler ejer eller kontrollerer ikke de data, de behandler. Dataene kan ikke ændres for at ændre det formål, de bruges til. Hvis du behandler personoplysninger, vil du være databehandler.
En person, der er genstand for bestemte personoplysninger, omtales som et eller flere registrerede.
Der er ingen enkelt løsning, der fungerer for enhver virksomhed. Databeskyttelsesforordninger sætter ikke mange strenge regler; i stedet tager de en risikobaseret tilgang, der overholder nogle nøgleprincipper. Den er alsidig og kan bruges i en række forskellige organisationer og situationer; derfor hæmmer det ikke innovative tilgange.
Denne fleksibilitet betyder dog, at du skal overveje – og være ansvarlig for – hvordan du bruger personlige oplysninger. Der er ofte flere tilgange til at opfylde dine forpligtelser, afhængigt af præcis hvorfor og hvordan du bruger dataene.
Du kan bestemme, hvilke svar der er bedst for din organisation, men du skal være i stand til at begrunde dem. Ansvarlighedsprincippet i databeskyttelseslovgivningen er et kritisk aspekt.
Vi er omkostningseffektive og hurtige
Organisationer, virksomheder og regeringen skal overholde Databeskyttelsesloven af 2018 ved håndtering af personoplysninger. Data Protection Act 2018 erstattede og opdaterede Data Protection Act 1998 og trådte i kraft den 25. maj 2018.
DPA er Storbritanniens forankring af den generelle databeskyttelsesforordning (mere om GDPR længere nede i artiklen nedenfor) i britisk lovgivning. For at sige det enkelt:
Strenge regler kaldet 'principper for databeskyttelse' styrer, hvordan personlige oplysninger bruges. De, der er involveret i indsamling og brug af data, skal overholde følgende strenge regler:
Jo mere følsom information, jo mere juridisk beskyttelse er der. Disse oplysninger vil være; race, etnicitet, politisk overbevisning, religiøs overbevisning, medlemskab af fagforening, genetik, biometri til identifikation, sundhedsstatus og seksuel orientering.
Generel databeskyttelsesforordning (GDPR) er verdens strengeste regulering af privatliv og datasikkerhed. Selvom det er udviklet og godkendt af Den Europæiske Union (EU), skal organisationer verden over overholde, hvis de indsamler eller bruger data om EU-beboere.
GDPR trådte i kraft den 25. maj 2018. De, der ikke overholder de privatlivs- og sikkerhedsstandarder, der er fastsat af GDPR, kan risikere betydelige bøder.
GDPR erstatter EU's databeskyttelsesdirektiv fra 1995. Ifølge det nye direktiv skal virksomheder være mere gennemsigtige og give de registrerede en større beskyttelse af privatlivets fred. Når der er sket et alvorligt databrud, skal virksomheden underrette alle berørte parter og tilsynsmyndigheden inden for 72 timer.
Selvom GDPR er nedfældet i britisk lovgivning som DPA, siden bruddet fra EU, er UK-GDPR og EU-GDPR separate og særskilte regler. Mens reglerne i øjeblikket er identiske, siden Brexit, står Storbritannien frit for at ændre UK-GDPR-forordningen, som Parlamentet finder det nødvendigt.
En dataansvarlig eller databehandler baseret uden for Storbritannien skal overholde UK GDPR, hvis deres behandling vedrører enkeltpersoner i Storbritannien.
ISO 27701 er en udvidelse af ISO 27001 (mere om det nedenfor), den seneste opdatering i internationale standarder for privatliv og informationsstyring.
Formålet med både GDPR og ISO 27701 er at etablere etiske databeskyttelsesstandarder for at beskytte forbrugerne. De arbejder sammen og supplerer hinanden for at nå de samme mål.
Her er en oversigt over, hvad de har til fælles:
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Vi kan ikke komme i tanke om nogen virksomhed, hvis service kan holde et lys til ISMS.online.
Forskellige databeskyttelseslove og data fra hele kloden findes i tabellen nedenfor.
| Love | Jurisdiktionsområde |
|---|---|
| Generel persondatalovgivning (også kendt som LGPD og Lei Geral de Proteção de Dados Pessoais) | Brasilien |
| California Consumer Privacy Act (CCPA) | Californien |
| Lov om beskyttelse af personlige oplysninger | Canada |
| Lov om beskyttelse af personlige oplysninger 1988 | Australien |
| Lov om beskyttelse af persondata fra 2019 | Indien |
| Kinas lov om cybersikkerhed (CCSL) | Kina |
| Lov om beskyttelse af personlige oplysninger (PIPL) | Kina |
| Databeskyttelsesloven, 2012 | Ghana |
| Persondatabeskyttelsesloven 2012 | Singapore |
| Republikkens lov nr. 10173: Databeskyttelsesloven af 2012 | Filippinerne |
| Den russiske føderale lov om personoplysninger (nr. 152-FZ) | Rusland |
| Persondatabeskyttelsesloven (PDPL) | Bahrain |
Artikel 32 i GDPR angiver, hvad der kræves, når det kommer til at sikre sikkerhed af personlige data forarbejdning.
Forordningen kræver, at du træffer passende tekniske og organisatoriske foranstaltninger for at imødegå de risici, du står over for. Den beskriver også nogle af de typiske foranstaltninger i denne henseende, herunder:
ISO 27001 dækker også disse aspekter. Du skal præstere omfattende risikovurderinger at identificere de farer, din virksomhed står over for. Det er præcis, hvad du skal finde ud af som 'passende' sikkerhedsforanstaltninger under GDPR.
Den etablerer standarder for, hvornår og hvordan datakryptering skal fungere, samt for at sikre fortroligheden og tilgængeligheden af dine data. Den definerer også, hvad der kræves mht "business continuity management," derved dækker GDPR-kravet om at implementere datagendannelse og tilgængelighedsforanstaltninger.
Hvis du opfylde og vedligeholde overholdelse af ISO 27001, har du effektivt dækket dine GDPR-databehandlingssikkerhedskrav, takket være stresstest til personaleuddannelse.
Uanset om du lige er begyndt at se nærmere på databeskyttelse eller en ekspert, der søger at kombinere flere regler og standarder, er vores funktioner nemme at bruge. Du kommer derhen, hvor du gerne vil være med det samme.
Vores PIMS løsning forenkler datakortlægning. Det er nemt at registrere og gennemgå det hele og tilføje din organisations detaljer til vores prækonfigurerede dynamiske værktøj til registrering af behandlingsaktivitet.
En effektiv PIMS kræver risikostyring. At hjælpe med hver fase af risikovurdering og -styring, har vi lavet en indbygget risikobank og andre praktiske værktøjer.
Uanset om du arbejder med databeskyttelsesstandarder eller regler, skal du demonstrere din evne til at håndtere anmodninger om datasubjektrettigheder (DRR). Vores sikre DRR-plads holder alt på ét sted, og hjælper dig med at rapportere og få indsigt automatisk.
Find ud af mere ved booking af en praktisk demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
