Mantra for 2021: Ingen sikkerhed uden privacy og ingen privacy uden sikkerhed

Fagleder i Dansk Industri, Morten Rosted Vang. 
Fagleder i Dansk Industri, Morten Rosted Vang.  (Foto: Pressefoto)

Ser vi ud over beskyttelse af det enkelte individ, faglige udgangspunkter og organisatoriske skillelinjer, handler it-sikkerhed og privatlivsbeskyttelse om at sikre tillid til digitalisering og dataanvendelse. Vi skal hæve blikket og tænke it-sikkerhed og databeskyttelse sammen – det vil gavne digitaliseringen.

Data bliver kun mere og mere afgørende for innovation, værdiskabelse og effektivisering – det gælder for både den offentlige og private sektor. Samtidig er de fleste af os godt klar over, at data også kan misbruges, og at mange data er persondata, som der gælder ekstra stramme regler for at anvende. Derfor er der også et nødvendigt stigende fokus på it-sikkerhed og databeskyttelse. Ikke kun på it-sikkerhed eller kun på databeskyttelse, men begge dele. Udfordringen er, at det i mange sammenhænge opfattes som to forskellige discipliner med henholdsvis rodfæste i den tekniske verden og i den juridiske verden.

For borgere og virksomheder er der tæt sammenhæng mellem it-sikkerhed og databeskyttelse. Borgere skelner typisk ikke mellem it-sikkerhed og databeskyttelse eller blander det sammen og forveksler det ene med det andet. For virksomhederne er det ikke et valg. De er nødt til at prøve at tænke it-sikkerhed og databeskyttelse sammen i regi af GDPR, og når de sikrer persondata, sikrer de typisk også andre forretningsdata.

Fra et myndighedsperspektiv er it-sikkerhed og databeskyttelse overraskende skarpt opdelt, og det bør de kommende offentlige digitale strategier adressere. Udgangspunktet er, at begge dele i bund og grund oftest handler om at have styr på sine data og passe på dem. Det bør være et indsatsområde for den offentlige digitaliseringsstrategi at høste værdien af den synergi, der er i at tænke it-sikkerhed og databeskyttelse sammen.

Afgørende med helhedssyn
Der er metodefrihed i forhold til, om det er Datatilsynet, der skal inviteres ind i udarbejdelsen af den kommende nationale strategi for Cyber- og Informationsstrategi, eller om det er en ambition, der skal indfris i regi af den næste fællesoffentlige digitaliseringsstrategi med et ”spillover” til regeringens forventede erhvervsrettede digitaliseringsinitiativer.

Det helt afgørende er, at der kommer et større helhedssyn på beskyttelse af data og håndtering af data, så det både bliver mere simpelt for alle at forholde sig til, og vi vænner os til altid at tænke i både privacy-aspekter og it-sikkerhedsperspektiver, når vi beskæftiger os med data på en ansvarlig måde.

Der er også en del læring, der kan flyde mellem områderne. Privacy by design & default-perspektiver er ved at etablere sig – blandt andet fordi at det til tider er et krav i GDPR. De erfaringer kan vi bruge, når feltet for Security by design & default skal til at etablere sig, som vi arbejder på i regi af et af projekt finansieret af Industriens Fond. På den anden side kan det til tider være nyttigt med et realitetstjek, når man fra et juridisk udgangspunkt sætter meget høje forventninger til, hvad teknisk it-sikkerhed i praksis kan gøre, som vi har set det med udkastet til EDPB’s anbefalinger i forlængelse af Schrems II-dommen.

Senere i 2021 kommer der også en ny dansk mærkningsordning, der både håndterer it-sikkerhed og databeskyttelse hos virksomheder i Danmark. Udviklingen går den rigtige vej – samme vej må myndighederne meget gerne også gå, når regeringens nye digitale strategier og initiativer bliver mere konkrete i løbet af foråret.

 

Skrevet af

Morten Rosted Vang

Morten Rosted Vang, Fagleder i Dansk Industri

Fagleder i Dansk Industri for digital ansvarlighed og cybersikkerhed og medlem af bestyrelsen for Rådet for Digital Sikkerhed

Klummer

Se alle