Hvad er dataetik: Hvordan etisk brug af data styrker din cybersikkerhed

Emma Soderlund
By: Emma Soderlund IT-sikkerhed | 21 december

Når man tænker på, hvor nemt det er at indsamle data om folks onlineadfærd, er det ikke overraskende, at mange virksomheder ender med at indsamle mere data, end de egentlig har brug for. At indsamle unødvendige data kan virke som en harmløs ting at gøre. Men det er vigtigt at huske sine juridiske og etiske forpligtelser, når man indsamler og bruger folks personlige data. I dette indlæg ser vi på, hvordan etisk indsamling af data kan hjælpe din organisation med at overholde GDPR, øge din datasikkerhed og opbygge stærkere relationer, samtidig med at du beskytter folks ret til privatliv. 

 Contents

Hvad er (big) data?

Data kan defineres som de stykker information, der findes og skabes overalt omkring os, da alt, hvad vi gør på internettet, genererer data. Når vi taler om dataetik, tænker vi mest på data som big data. Big data refererer til store mængder data, der kan analyseres af computere for at identificere mønstre og forudsige adfærd.

Etiske spørgsmål i forbindelse med Big Data

Som mange andre anser du måske big data for at være et sikrere og mere etisk alternativ til persondata, da big data ikke kan spores tilbage til bestemte personer. Men der er tilfælde, hvor big data er blevet sporet tilbage til enkeltpersoner, som da Netflix udgav et anonymt dataark, som endte med at afsløre deres brugeres seerhistorik.

Når big data analyseres, grupperes flere individuelle datasæt sammen, hvilket skaber yderligere databeskyttelses- og etiske problemer. At kategorisere individer og behandle dem som en del af en gruppe kan gøre dem til sårbare mål og resultere i uretfærdig behandling. Dette er især tilfældet for grupper, der allerede bliver diskrimineret. Disse nye trusler forekommer inden for mange brancher, f.eks. banksektoren, hvor maskiner er programmeret til at give oplysninger om, hvem der skal have et lån og til hvilken rente. Alt i alt bør virksomheder tænke etisk, når de indsamler og bruger big data såvel som personlige data.

Hvad er dataetik?

Dataetik refererer til ansvarlig og bæredygtig brug af data. Det handler om at gøre det, der er rigtigt for mennesker og samfund. Da data er overalt, har organisationer en tendens til at behandle data som enhver anden ressource og glemme, at de har at gøre med oplysninger om rigtige mennesker. Dataetik minder organisationer og deres medarbejdere om deres moralske forpligtelser, når de indsamler og bruger data.

At kombinere etik med data kan virke kompliceret, men det er nødvendigt, da vi har brug for etik til at vejlede os i at træffe gode valg. Cybersikkerhedsetik kan også hjælpe organisationer med at etablere grundlæggende værdier, der styrer deres sikkerhedsarbejde. Nogle eksempler på cybersikkerhedsværdier er retfærdighed, sikkerhed, gennemsigtighed, tillid og måske den mest diskuterede værdi, når det gælder cybersikkerhedsetik - fortrolighed.

Definition af dataetik: "Dataetik refererer til ansvarlig og bæredygtig brug af data. Det handler om at gøre det rigtige for mennesker og samfund."

5 dataetiske principper

De dataetiske principper og retningslinjer er skabt af thinkdotank DataEthics.eu og er designet til at hjælpe organisationer med at anvende dataetik på deres databehandlingsaktiviteter.  

Principper for dataetik:

1. Mennesker i centrum for databehandling
2. Kontrol over personlige data
3. Gennemsigtig databehandling
4. Ansvar ved behandling af data 
5. Data og lighed

 

5 Data Ethics Principle

1. Mennesker i centrum for databehandling

Menneskets interesser bør altid komme i første række. Mennesker bør have en højere status end programmer og maskiner, og det bør være dem, der drager fordel af databehandling.

2. Kontrol over personlige data

Mennesker bør have den primære kontrol over deres data. Selvbestemmelse bør prioriteres i alle dataprocesser, og du bør behandle persondata som noget, du låner.

3. Gennemsigtig databehandling

Databehandling skal være gennemsigtig og kunne forklares - du skal kunne forklare dine dataindsamlingsaktiviteter og deres sociale, etiske og samfundsmæssige konsekvenser. Kan du f.eks. fortælle, hvor dine data opbevares, hvilke tredjeparter der har adgang til de data, du indsamler, og hvordan du bruger data til at påvirke adfærd? 

4. Ansvar ved behandling af data

Du har et ansvar om at beskytte persondata. For eksempel anonymisering af persondata, håndtering af datadeling med tredjeparter og etablering af en praksis for etisk håndtering af data. Din organisations ansvar bør også gælde for dine underleverandører og partnere.

5. Data og lighed

Bæredygtig databehandling er baseret på en bevidsthed om de etiske problemer ved big data og datasystemer. De skadelige virkninger af brugerprofilering, dens indvirkning på selvbestemmelse og diskrimination af folks økonomiske, sociale eller sundhedsrelaterede forhold. Lighed i dataetik betyder også aktivt at reducere bias i algoritmer.

Hvordan etisk brug af data kan gavne din organisation

Vi ved, at du allerede har meget at se til i din organisation, f.eks. cybersikkerhed, GDPR og sikker håndtering af data. Så hvorfor skal man prioritere eller overhovedet overveje at tilføje dataetik til listen? For at sige det enkelt: At beskytte data betyder at beskytte mennesker. Hvis du bekymrer dig om dine kunder, medarbejdere og mennesker i almindelighed, bør du tage dataetik alvorligt.  

Fordelene ved dataetik:

  • Øg din datasikkerhed og etik
  • Sænker risikoen for cyberangreb  
  • Overholder GDPR
  • Skab stærke relationer
Øg din datasikkerhed og etik

The General Data Protection Regulation (GDPR) kræver, at alle organisationer beskytter deres data mod tyveri, beskadigelse eller ødelæggelse. Det kræver, at man har systemer og processer på plads, som beskytter ens data. Du kan øge dit datasikkerhedsniveau på mange måder, f.eks. ved at uddanne medarbejdere eller have stærke IT-sikkerhedspolitikker. Vi vil diskutere disse og andre metoder senere i artiklen.

Etisk brug af data mindsker risikoen for cyberangreb

Vidste du, at der sker et cyberangreb hvert 11. sekund? Siden 2009 er cyberangreb sket tre gange så ofte som før, og det forventes, at det bliver endnu mere almindeligt i fremtiden. Organisationer, der bliver ofre for et angreb, risikerer både økonomiske konsekvenser og skade på deres omdømme. Det gør cyberangreb svære at komme sig over, især for små organisationer, hvor 60 % af ofrene i små virksomheder er tvunget til at lukke.

Den gode nyhed er, at når medarbejderne ved, hvordan man håndterer data etisk, sænker de målet for organisationen, og det bliver mindre sandsynligt, at der sker brud.

Dataetik hjælper dig med at overholde GDPR

Korrekt håndtering af data er ikke en frivillig praksis, og hvis man ikke følger GDPR, kan det resultere i store bøder. Det er sikkert at sige, at du får et meget større afkast, når du investerer i uddannelse af medarbejdere og andre typer sikkerhedsforanstaltninger, end hvis du bare venter på, at der sker et brud på datasikkerheden.

Dataetik skaber stærke relationer

Databeskyttelse og etik handler ikke kun om ikke at videregive oplysninger. Det handler også om, hvem vi vælger at stole på, når det gælder om at holde vores oplysninger private. Når dine kunder eller medarbejdere giver dig oplysninger om dem, er det et tegn på, at de stoler på, at du opbevarer dem sikkert. Derfor vil det at behandle folks data som noget, du låner, sikre, at du bevarer dine kunders tillid og opfylder deres forventninger til, hvordan du håndterer deres data.

Etisk dataindsamling og GDPR

Lad os se på, hvordan indsamling og brug af data på etisk vis stemmer overens med GDPR principperne.

Dataetik betyder, at man er transparent omkring de data, man indsamler.

Transparens er en del af det første GDPR-princip og er også et princip, du bør følge for at indsamle persondata etisk korrekt. At være transparent omkring din dataindsamlingspraksis betyder, at du tydeligt kommunikerer, hvad, hvordan og hvorfor du behandler data, lige fra de cookies, din hjemmeside bruger, til hvordan du optager videomøder. 

Bruge folks data i overensstemmelse med deres samtykke.

For at overholde det andet GDPR-princip bør du aldrig bruge persondata til andre formål end dem, du har indhentet samtykke til. Dette princip stemmer godt overens med etiske dataindsamlingsværdier som gennemsigtighed, retfærdighed og tillid.

Saml og opbevar kun det, du har brug for

For at overholde databeskyttelsesprincip tre og fem bør organisationer ikke indsamle flere data, end de har brug for, og de skal have en sikker praksis for at destruere dem, når de ikke længere er nødvendige. At indsamle og opbevare unødvendige oplysninger er ikke kun en krænkelse af folks privatliv, men udgør også yderligere sikkerhedsrisici i tilfælde af et brud. Opbevaring og destruktion af ubrugte data betyder også spild af virksomhedens ressourcer.

Dataetik er afhængig af integritet, fortrolighed og ansvarlighed.

De sidste to GDPR-principper dækker de mest grundlæggende cybersikkerhedsbehov. Mens fortrolighed handler om at begrænse adgangen til personlige data, fokuserer integritet på databeskyttelse og indsamling af troværdige og nøjagtige data. Ansvarlighed henviser til din organisations ansvar for at håndtere data i overensstemmelse med GDPR.

Spørgsmål, du kan stille dig selv for at øge din dataetik 
  • Er vi transparente omkring, hvordan og hvorfor vi indsamler data?
  • Har vi virkelig brug for alle de data, vi indsamler i øjeblikket?
  • Hvem har adgang til vores data (inklusive personale)?
  • Opbevarer vi data sikkert?
  • Har vi en proces til sikker sletning af data? 

Sådan sikrer du, at din organisation håndterer data etisk korrekt

De fleste brud på cybersikkerheden skyldes menneskelige fejl. Alligevel overser mange virksomheder, at medarbejderne er den mest afgørende del af deres IT-sikkerhedsstrategi. Her er nogle måder, hvorpå du kan sikre, at dine medarbejdere bliver bevidste om deres ansvar for at håndtere data korrekt og undgå sikkerhedsbrud.

1. Sørg for, at dine medarbejdere har grundlæggende viden om cybersikkerhed og GDPR.

IT-sikkerhed bør involvere alle i din organisation. Forskellige forståelser af IT-sikkerhedskoncepter som big data, GDPR og fortrolighed kan gøre det svært for virksomheder at indføre nye praksisser.

Træning er en god måde at sikre, at medarbejderne deler den samme kerneviden og har en opdateret forståelse af relevante emner. Når du starter med awareness-træning, bør du begynde med kurser i nøglebegreber, der skaber et godt fundament. Når dine medarbejdere har det samme vidensgrundlag, kan du introducere mere dybdegående emner som dataetik.

Emner, vi anbefaler at starte med: 

  • Introduktion til awareness-træning
  • Phishing
  • Adgangskoder
  • Personlige data

2. Opstil etiske retningslinjer for IT-sikkerhed

Etiske sikkerhedsretningslinjer minder medarbejderne om, at der findes måder, hvorpå de bør handle, når det kommer til cybersikkerhed. IT-sikkerhedsretningslinjer giver din organisation en overordnet ramme for, hvordan man handler i overensstemmelse med organisationens mål, og kan hjælpe dig med at kommunikere dine etiske mål, uddelegere ansvar og rapportere fremskridt.

For at skabe effektive retningslinjer er du nødt til at overbevise medarbejderne om, hvorfor det er vigtigt at beskytte data. Dataetik kan hjælpe dig med at argumentere for, hvorfor det at følge retningslinjer for cybersikkerhed som GDPR ikke kun beskytter organisationen, men mennesker generelt.. 

3. Gør databeskyttelse håndgribelig med designprincipper

De fleste organisationer kæmper med at indarbejde databeskyttelse i praksis. Det er et problem, man ikke skal tage let på, da beskyttelse af privacy bør være et af hovedmålene for dit cybersikkerhedsarbejde. Principperne om privacy by design bruges af mange organisationer til at gøre privacy mere håndgribeligt og lettere at arbejde med. De sikrer en proaktiv tilgang, så medarbejderne kan inddrage privacy allerede i starten af nye projekter og undgå at vente, til der opstår et problem - som det ofte er tilfældet med privacy.

Dette er de 7 principper for privacy by design:

  • Proaktiv, ikke reaktiv
  • Privacy som standardindstilling
  • Privacy indlejret i design
  • Fuld funktionalitet - Positiv-sum, ikke nul-sum
  • End-to-End-sikkerhed - fuld beskyttelse i hele livscyklussen  
  • Synlighed og gennemsigtighed - hold det åbent
  • Respekt for brugernes fortrolighed - hold det brugercentreret

Uanset om du vælger at følge disse principper eller ej, er det godt at huske, at dit mål, når du arbejder med databeskyttelse, altid bør være at sikre, at den ikke krænkes til at begynde med. 

4. Vurder og fastlæg dine største datasikkerhedsrisici

Ikke alle dine medarbejdere håndterer den samme mængde og type data, hvilket betyder, at du måske har nogle områder i din organisation, der er mere udsatte end andre. En risikovurdering hjælper dig med at identificere, hvor truslerne er, og hvor du bør allokere dine ressourcer. Derefter kan du bruge principperne for privacy by design eller dine retningslinjer for IT-sikkerhed til at etablere praksisser, der hjælper med at tackle de mest relevante eller højrisikable problemer.  

At udføre en risikovurdering er også en konkret måde at vise, at din organisation er proaktiv i forhold til at overholde GDPR. For at hjælpe dig i gang har vi lavet en gratis skabelon til risikovurdering. Skabelonen er nem at bruge, men hvis du vil have vejledning, kan du følge denne trin for trin-guide til risikovurdering

Risk

Dataetik kan og bør kombineres med informationssikkerhed

Vi ved, at det er svært at ændre medarbejdernes vaner og adfærd, men det bliver meget lettere, når de kan ræsonnere og forstå værdien af at gøre noget anderledes. Jeg håber, at dette indlæg har vist, at det er vigtigt at tænke over, hvordan du indsamler og bruger folks data, ikke kun for at overholde GDPR, men også af hensyn til dine medarbejderes, kunders og partneres ret til privatliv.  

Hvis du vil lære mere om dataetik eller andre cybersikkerhedsrelaterede emner, kan du gøre det gennem vores awareness-træningsprogram. Hvis du har nogle tanker eller kommentarer om artiklen eller noget andet cybersikkerhedsrelateret, så tøv ikke med at kontakte os.