Databeskyttelse ivaretar dataenes personvern, tilgjengelighet og integritet ved å ta i bruk ulike databeskyttelsesstrategier og -prosesser.
Personvern er avgjørende for å etablere forbindelse mellom mennesker og organisasjoner, men det handler egentlig om å ivareta grunnleggende rettigheter. En god strategi kan bidra til å forhindre tap av data, tyveri eller korrupsjon og minimere skade hvis et brudd eller en katastrofe oppstår. En organisasjon som håndterer, lagrer eller samler inn sensitive data, må utvikle en databeskyttelsesstrategi.
Databeskyttelse bør vurderes i designfasen av ethvert system, tjeneste, produkt eller prosess og gjennom hele levetiden.
Personopplysninger kan deles inn i ulike kategorier, som alle kan reise personvernhensyn. Disse er:
I utgangspunktet hjelper prinsippene for databeskyttelse organisasjoner med å beskytte data og gjøre dem lett tilgjengelige under alle omstendigheter for den enkelte. Databeskyttelse refererer til både datasikkerhetskopiering og forretningskontinuitet/katastrofegjenoppretting (BCDR), for eksempel:
Personopplysninger refereres til som all informasjon som kan relateres til en identifiserbar eller identifisert levende person. En person kan identifiseres ved å sette sammen ulike biter av informasjon, som, når de samles inn, utgjør personopplysninger.
Noen eksempler på personopplysninger inkluderer; fornavn og etternavn, adresser, en identifiserbar e-postadresse (dette kan være fornavn.etternavn@firma.com), plasseringsdata og IP (Internett protokoll) adresse.
Organisasjoner er vanligvis avhengige av personopplysninger for daglige aktiviteter.
ICO sier at:
"I seg selv er navnet John Smith kanskje ikke alltid personopplysninger fordi det er mange individer med det navnet. Men når navnet er kombinert med annen informasjon (som en adresse, et arbeidssted eller et telefonnummer) vil dette vanligvis være tilstrekkelig til å tydelig identifisere én person."
ICO gjør også poenget at navn ikke nødvendigvis er den eneste informasjonen som kreves for å identifisere en person:
Bare fordi du ikke kjenner navnet på en person, betyr det ikke at du ikke kan identifisere [dem]. Mange av oss kjenner ikke navnene på alle naboene våre, men vi er fortsatt i stand til å identifisere dem.»
Personvern viser til hvordan sensitive og viktige data skal samles inn eller håndteres. Personlig helseinformasjon (PHI) og Personlig identifiserbar informasjon (PII) er to eksempler på data som er underlagt personvernlovgivningen. Denne kategorien inkluderer finansiell informasjon, medisinske journaler, person- eller ID-nummer, navn, fødselsdatoer og kontaktinformasjon.
Sensitive data skal bare være tilgjengelige for autoriserte parter, så personvernet bidrar til å sikre at kriminelle ikke kan bruke data med ondsinnethet og sikrer at organisasjoner oppfyller regulatoriske krav.
Flertallet av nettbrukere ønsker å kontrollere eller forhindre visse typer personlig datainnsamling, akkurat som noen kanskje ønsker å ekskludere folk fra en privat samtale.
Bedrifter må gjøre personvernet til en toppprioritet. Manglende overholdelse av personvernforskrifter kan føre til betydelige tap. Tenk på søksmål, betydelige økonomiske bøter og merkevareskade.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Alt du gjør med data regnes som behandling; samle inn, lagre, registrere, analysere, kombinere, avsløre eller slette det, blant annet.
Enhver operasjon på data omtales som databehandling. Fordi rådata ikke er klare for analyser, forretningsintelligens, rapportering eller maskinlæring, må de samles, endres, berikes, filtreres og renses.
Organisasjoner må behandle data for å lage bedre forretningsstrategier og forbedre deres konkurransefortrinn.
"Hvorfor" og "hvordan" personopplysninger behandles bestemmes av behandlingsansvarlig. Til syvende og sist er behandlingsansvarlige de viktigste beslutningstakerne når det gjelder å bestemme årsaken og formålet med datainnsamlingen og metoden og midlene for enhver databehandling.
Behandlingsansvarlige kan være:
En databehandler er en person, offentlig myndighet, etat eller annet organ som behandler personopplysninger på den behandlingsansvarliges vegne.
A databehandler handler på vegne av den behandlingsansvarlige og under dennes myndighet. Ved å gjøre det tjener de kontrollørens interesser i stedet for sine egne.
I visse situasjoner kan en enhet være en behandlingsansvarlig, en databehandler eller begge deler.
Maskiner som behandler data, for eksempel kalkulatorer eller datamaskiner, regnes som databehandlere. Skytjenesteleverandører er også nå kategorisert som databehandlere. En tredjeparts databehandler eier eller kontrollerer ikke dataene de behandler. Dataene kan ikke endres for å endre formålet de brukes til. Hvis du behandler personopplysninger, vil du være databehandler.
En person som er gjenstand for bestemte personopplysninger omtales som et eller flere registrerte.
Det er ingen én løsning som fungerer for alle bedrifter. Databeskyttelsesbestemmelser setter ikke mange strenge regler; i stedet tar de en risikobasert tilnærming, og følger noen nøkkelprinsipper. Den er allsidig og kan brukes i en rekke organisasjoner og situasjoner; derfor hemmer det ikke innovative tilnærminger.
Denne fleksibiliteten betyr imidlertid at du må vurdere – og være ansvarlig for – hvordan du bruker personopplysninger. Det er ofte flere måter å oppfylle dine forpliktelser på, avhengig av nøyaktig hvorfor og hvordan du bruker dataene.
Du kan bestemme hvilke svar som er best for din organisasjon, men du må kunne begrunne dem. Ansvarlighetsprinsippet i databeskyttelsesloven er et kritisk aspekt.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Organisasjoner, bedrifter og myndigheter må overholde Databeskyttelsesloven 2018 ved håndtering av personopplysninger. Data Protection Act 2018 erstattet og oppdaterte Data Protection Act 1998 og trådte i kraft 25. mai 2018.
DPA er Storbritannias forankring av den generelle databeskyttelsesforordningen (mer om GDPR lenger ned i artikkelen nedenfor) i britisk lov. For å si det enkelt:
Strenge regler kalt 'databeskyttelsesprinsipper' styrer hvordan personopplysninger brukes. De som er involvert i innsamling og bruk av data, må overholde følgende strenge regler:
Jo mer sensitiv informasjon, jo mer rettslig beskyttelse er det. Denne informasjonen vil være; rase, etnisitet, politisk tro, religiøs tro, medlemskap i fagforening, genetikk, biometri for identifikasjon, helsestatus og seksuell legning.
De Generell databeskyttelsesforordning (GDPR) er verdens strengeste personvern- og datasikkerhetsregulering. Selv om den ble utviklet og godkjent av EU (EU), må organisasjoner over hele verden overholde hvis de samler inn eller bruker data om innbyggere i EU.
GDPR trådte i kraft 25. mai 2018. De som ikke overholder personvern- og sikkerhetsstandardene fastsatt av GDPR kan få betydelige bøter.
GDPR erstatter EUs databeskyttelsesdirektiv av 1995. I henhold til det nye direktivet skal virksomheter være mer transparente og gi registrerte personer større personvern. Når det har skjedd et alvorlig databrudd, skal virksomheten varsle alle berørte parter og tilsynsmyndigheten innen 72 timer.
Selv om GDPR er nedfelt i britisk lov som DPA siden bruddet fra EU, er UK-GDPR og EU-GDPR separate og distinkte forskrifter. Selv om regelverket for øyeblikket er identisk, siden Brexit, står Storbritannia fritt til å endre UK-GDPR-forskriften ettersom parlamentet finner nødvendig.
En behandlingsansvarlig eller databehandler basert utenfor Storbritannia må overholde UK GDPR hvis behandlingen deres gjelder enkeltpersoner i Storbritannia.
ISO 27701 er en utvidelse av ISO 27001 (mer om det nedenfor), den siste oppdateringen i internasjonale standarder for personvern og informasjonshåndtering.
Hensikten med både GDPR og ISO 27701 er å etablere etiske datavernstandarder for å beskytte forbrukere. De jobber sammen og utfyller hverandre for å nå de samme målene.
Her er en oppsummering av hva de har til felles:
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Vi kan ikke tenke på noe selskap hvis tjeneste kan holde et lys til ISMS.online.
Ulike databeskyttelseslover og data fra hele verden finnes i tabellen nedenfor.
| Lover | Jurisdiksjonsområde |
|---|---|
| Generell personvernlov (også kjent som LGPD og Lei Geral de Proteção de Dados Pessoais) | Brasil |
| California Consumer Privacy Act (CCPA) | California |
| Personvernloven | Canada |
| Personvernloven 1988 | Australia |
| Lovforslaget om beskyttelse av personopplysninger 2019 | India |
| Kinas lov om cybersikkerhet (CCSL) | Kina |
| Lov om beskyttelse av personopplysninger (PIPL) | Kina |
| Lov om personvern, 2012 | Ghana |
| Personopplysningsloven 2012 | Singapore |
| Republic Act No. 10173: Data Privacy Act of 2012 | Filippinene |
| Den russiske føderale loven om personopplysninger (nr. 152-FZ) | Russland |
| Personvernlov (PDPL) | bahrain |
Artikkel 32 i GDPR angir hva som kreves når det gjelder å sikre sikkerhet for personopplysninger behandling.
Forskriften krever at du tar "passende tekniske og organisatoriske tiltak for å håndtere risikoen du står overfor." Den beskriver også noen av de typiske tiltakene i denne forbindelse, inkludert:
ISO 27001 dekker også disse aspektene. Du må prestere omfattende risikovurderinger for å identifisere farene din bedrift står overfor. Det er akkurat det du må finne ut som "passende" sikkerhetstiltak under GDPR.
Den etablerer standarder for når og hvordan datakryptering skal fungere, samt for å sikre konfidensialitet og tilgjengelighet av dataene dine. Den definerer også hva som kreves mht «business continuity management» og dekker dermed GDPR-kravet for å implementere datagjenoppretting og tilgjengelighetstiltak.
Hvis du oppfylle og opprettholde samsvar med ISO 27001, har du effektivt dekket GDPR-databehandlingssikkerhetskravene dine, takket være stresstesting til personalopplæring.
Enten du akkurat har begynt å se nærmere på personvernet eller en ekspert som ønsker å kombinere flere forskrifter og standarder, er funksjonene våre enkle å bruke. Du kommer dit du vil med en gang.
Vår PIMS-løsning forenkler datakartlegging. Det er enkelt å registrere og gjennomgå alt og legge til organisasjonens detaljer i vårt forhåndskonfigurerte dynamiske Records of Processing Activity-verktøy.
En effektiv PIMS krever håndtering av risiko. For å hjelpe med hver fase av risikovurdering og styring, har vi laget en innebygd risikobank og andre praktiske verktøy.
Enten du jobber med standarder eller forskrifter for personvern, må du demonstrere din evne til det håndtere forespørsler om datasubjektrettigheter (DRR). Vår sikre DRR-plass holder alt på ett sted, og hjelper deg med å rapportere og få innsikt automatisk.
Finn ut mer av bestille en praktisk demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
