Den 22. september, 2021 blev Danmarks nye mærkningsordning for ansvarlig it-sikkerhed og dataanvendelse lanceret. Målet for mærket er at give danske virksomheder en konkurrencemæssig fordel, hvis de vel at mærke opfylder de kriterier, der skal til for at få mærket uddelt.
D-mærket, hvad er det?
D-mærket er den første af sin art i verdenen, der forbinder it-sikkerhed og ansvarlig dataanvendelse i ét og samme mærke. Ligesom økologiske varer bliver kvalitetsstemplet med “Ø-mærket”, så skal D-mærket være med til at kvalitetsstemple digitale varer. D-mærket giver altså danske virksomheder en mulighed for at sende et klart signal om, at de prioriterer datasikkerhed, databeskyttelse og dataetik. Det skal være med til at skabe værdi for virksomhederne og tryghed til forbrugere. Man skal leve op til et antal kriterier for, at man som virksomhed kan modtage D-mærket. Kriterierne afhænger af virksomhedens størrelse. Kriterierne sikrer, at virksomhederne prioriteret it-sikkerhed.
D-mærket er for B2C
I dag findes der forskellige måder at vise, at man håndterer persondata ansvarligt. Mange virksomheder bliver certificeret og får lavet revisionserklæringer, som f.eks. ISO27001-certificering eller en ISAE3400-erklæring. Disse ordninger har dog det tilfælles, at de målretter sig B2B. Det er måder, hvorpå virksomheder kan vise andre virksomheder, at de har styr på deres processer.
D-mærket er i stedet rettet mod B2C. Det er en måde, hvorpå forbrugere kan se, om en virksomhed håndterer persondata ansvarligt.
Hvem står bag det
Forskellige institutioner og foreninger står bag D-Mærket, som skal være med til at styrke Danmarks IT og datasikkerhed.
-
Industriens fond
-
Dansk Industri
-
Dansk Erhverv
-
SMVdanmark
-
Forbrugerrådet Tænk
D-mærket støttes desuden af Erhvervsstyrelsen og er en uafhængig privat organisation.
Sammen mener organisationerne at D-mærket har den samme gevinst for alle virksomheder; at gøre dem mere konkurrencedygtige.
D-mærket har 8 kriterier, man skal efterleve
D-mærket har i alt 8 kriterier som skal opfyldes, før man kan tages i betragtning til at få mærket. Hvert kriterie har en række underkriterier og krav, men i denne artikel gennemgår jeg kun de 8 overordnede kriterier. Disse kriterier tildeles på baggrund af virksomhedsgruppen (1,2,3,4) som er baseret på din virksomheds størrelse. Antallet af kriterier, som man skal leve op til, varierer altså.
Kriterie 1. Styring og forankring i ledelsen
Virksomhedsledelse tager aktivt ansvar for arbejde med it-sikkerhed og ansvarlig dataanvendelse
Kriterie 2. Awareness og sikker adfærd
Virksomheden skal sikre at den øverste ledelse og bestyrelse modtager træning i ansvarlig dataanvendelse og it-sikkerhed. Ansatte skal med jævne mellemrum modtage awareness-træning i relation til it-sikkerhed
Kriterie 3. Teknisk it-sikkerhed
Virksomhedens systemer og enheder skal være sikret mod angreb og trusler fra ondsindede aktører.
Kriterie 4. Krav til leverandørernes it-sikkerhed og ansvarlige dataanvendelse
Virksomheden skal have et passende overblik over de leverandører, der håndterer personoplysninger og forretningskritiske data eller på anden måde kan påvirke virksomhedens it-sikkerhed
Kriterie 5. Transparens og kontrol med data
Virksomheden skal leve op til gældende standarder, lovgivning og god praksis for databehandling i forbindelse med eksternt rettede aktiviteter, der indeholder behandling af personoplysninger
Kriterie 6. Privacy & security by design & default
Produkter, ydelser og tjenester skal beskytte brugernes privatliv og personoplysninger bedst muligt
Kriterie 7. Pålidelige algoritmer og AI
En virksomhed skal sikre pålideligt og kvalitetssikret brug af algoritmer og AI
Kriterie 8. Dataetik
En virksomhed skal udvikle ydelser, tjenester og produkter på baggrund af en række etiske principper samt retten til privatlivsbeskyttelse
Hvis du gerne vil vide mere om de 8 kriterier, kan du læse her.
Hvilken virksomhedsgruppe tilhører din virksomhed?
D-mærkets krav og kriterier er forskellige fra virksomhed til virksomhed og det afhænger både af din størrelse, din brug af data, samt dets indflydelse på mennesker og din forretningsmodel.
Men som udgangspunkt tilhører din virksomhed en af de nedenstående virksomhedsgrupper
| Faktorer for indplacering i gruppe | Gruppe 1. | Gruppe 2. | Gruppe 3. | Gruppe 4. |
| Antal ansatte | 0-9 | 10-49 | 50-249 | 250+ |
| Nettoomsætning (mio. Dkk) | 0-7,9 | 8-155,9 | 156-313 | 313+ |
| Leverandør af software eller it-tjenester | Nej | Nej | Ja | Ja |
| Behandler særlige kategorier af personoplysninger (fx. Race, seksualitet, helbredsoplysninger) | Nej | Ja | Ja | Ja |
Alle virksomheder skal som minimum leve op til kriterier 1,2,3 og 5, hvor kriterie 4, 6, 7 og 8 kun gør sig gældende for bestemte slags virksomheder, hvilket du kan læse mere om her.
Hvad koster d-mærket?
D-mærkets pris afhænger af hvilken gruppering som din virksomhed er omfattet er. Det er gratis at at komme i gang med D-mærket, din virksomhed skal først betale når tilsyns-og kontrolprocessen går i gang. Prisen for at få D-mærket starter ved 2.800 kr. I virksomhedsgruppe 1, og kan gå op til 52.250 kr. +
Hvorfor er D-mærket vigtigt?
Ifølge Tim Sloth Jørgensen, som er chef for Industriens Fonds cyberprogram og dermed en af folkene bag mærket, så er det vigtigt fordi:
“Denne mærkningsordning vil ikke kun give bedre indsigt i, hvem der arbejder seriøst og målrettet med it-sikkerhed og datahåndtering. Den vil også være en løftestang til de mange virksomheder, der gerne vil øge deres cybersikkerhed men har brug for retningslinjer og hjælp til at komme i gang og i mål”
Før D-mærkets officielle lancering havde over 50 virksomheder gennemført processen med at blive godkendt til D-mærket. Det kan indikere, at der er efterspørgsel på D-mærket. Der er mange firmaer, som gerne vil vise, at de har styr på deres datahåndtering. Det kan D-mærket være med til at signalere og underbygge endnu mere.
På sigende stund har over 35 virksomheder D-mærket, hvor størstedelen af virksomhederne er inden for IT og software, men man finder også produktionsvirksomheder på listen, samt et teater. Du kan se listen over virksomheder der er blevet tildelt D-mærket her
D-mærket skal gøre det nemmere for forbrugerne at gennemskue, hvilke virksomheder de kan stole på. Desuden er D-mærket baseret på internationale rammeværker og nationale råd, hvilket vil sige at mærket kan udbredes på europæisk plan og dermed i større grad til internationalt orienterede virksomheder.
D-mærkets succes afhænger af flere faktorer
D-mærket er kommet godt fra start, men dens succes afhænger dog af om flere virksomheder vil tage mærket til sig, og om D-mærket kommer til at være noget som forbrugere aktivt kigger efter.
I 2021, da vi først skrev denne artikel, havde vi hos CyberPilot set os nogle forskellige scenarier der kunne udspille sig - nu tager vi et kig på, hvordan det faktisk er gået.
Scenarie 1. Virksomheder tager D-mærket til sig, og forbrugere kigger aktivt efter det
Det ønskede scenarie er, at virksomheder gerne vil have D-mærket og købere kigger efter det. De sørger derfor for at leve op til kravene, og mærket kommer til at blive set som et kvalitetsstempel, som forbrugerne aktivt vil kigge efter.
Hvordan ser det ud nu?
En af virksomhederne der er blevet tildelt D-mærket har udtalt at det har været helt afgørende for dem at blive D-mærket, da det har været kunder, som har efterspurgt det, da kunder har fået større fokus på deres egen datas sikkerhed, hvilket certificeringen er med til at efterkomme.
Scenarie 2. D-mærket bliver ikke aktivt brugt af virksomheder
D-mærket bliver ikke taget til sig af virksomheder. Virksomheder gider ikke bruge penge på mærket, og det bliver dermed ikke udbredt. Hvis det kun er en lille andel af virksomheder, der tager mærket til sig, så vil dets værdi forsvinde. Mærket er afhængigt af, at virksomheder kan se værdi i det.
Hvordan ser det ud nu?
Som det ser ud nu, så er langt størstedelen software og IT-virksomheder der har taget mærket til sig, det skyldes potentielt at virksomheder, som disse håndterer store mængder data og har netop behov for mere specifikke retningslinjer der er forbundet med databehandling og lagring.
Scenarie 3. D-mærket øger it-sikkerhed, ikke konkurrence
Virksomheder vil gerne have D-mærket og sørger derfor for at leve op til kravene for at få mærket, hvilket hjælper deres IT-sikkerhed og datahåndtering. D-mærket kommer dog ikke til at være noget som forbrugerne rent faktisk kigger efter. Hermed vil noget af værdien også forsvinde fra mærket, da mærket kun kan være en succes, hvis købere kigger efter det. Det vil formentlig betyde, at virksomheder stopper med at abonnere på mærket.
Hvordan ser det ud nu?
Udvalgte virksomheder med D-mærket betragter det som en klar konkurrencefordel der er med til at understøtte og differentiere dem selv dem selv fra deres konkurrenter. En undersøgelse lavet af Industriens fond påviste også af 72% af adspurgte små og mellemstore virksomheder så en sammenhæng mellem cybersikkerhed og forretningsfordele.
D-mærket og fremtiden
Cybersikkerhed bliver mere og mere relevant. Især med NIS2, som alle organisationer inden for EU skal overholde i 2024. D-mærket kan her hjælpe virksomheder med at overholde lovgivning ved at tilbyde de konkrete retningslinjer, som man skal overholde for at man kan få D-mærket. Ifølge cyberbarometret for 2023, så viser det at SMV’er med flest cybersikkerhedstiltag også oplever flere konkurrencefordele.
Skal din virksomhed have D-mærket?
D-mærket giver altså din virksomhed en mulighed for at vise jeres kunder, at I tager IT-sikkerhed alvorligt, ved at prioritere ansvarlig dataanvendelse, databeskyttelse og etik, og dermed skabe tryghed for jeres forbrugere. D-mærket giver dermed din virksomhed nogle væsentlige fordele i en mere og mere digitaliseret verden. God dataetik kan dermed ses som en konkurrenceparameter – kan du vise at du har styr på det, ja så kan det godt være at en kunde vælger dig fremfor en anden.
Hvis du vil vide mere om D-mærket og tage en selvevalueringstest af din virksomhed, så gå ind og læs om D-mærket her.
Det er gratis for din virksomhed at blive evalueret, men der forekommer en årlig betaling af selve mærket, som afhænger af din virksomheds størrelse og dens anvendelse af it og data.
Oftest stillede spørgsmål
Hvilke virksomheder kan blive D-mærket?
Der er i øjeblikket ikke nogen krav om, at man skal være en bestemt slags virksomhed, før man kan få uddelt D-mærket, et krav er dog, at du skal have et CVR-nummer i Danmark. Hvis du har et dansk CVR-nummer og opfylder D-mærkets forskellige krav, ja så kan du blive D-mærket.
Hvordan selvevaluerer en virksomhed sig?
D-mærket har sat et værktøj til rådighed der tillader virksomheder at selvavulere dem selv helt gratis. Her skal du svare på nogle spørgsmål, som er med til at sætte rammerne for de kriterier, som din virksomhed skal efterleve.
Hvordan adskiller D-mærket sig fra GDPR?
D-mærket og GDPR er ikke det samme.
D-mærket er et aktivt tilvalg for virksomheder og man får ikke nogen bøde for at ikke, at overholde det, men man kan få sig frataget sig D-mærket, hvis man ikke overholder kriterierne.
Hvorimod GDPR er lovpligtigt og skal overholdes. Det kan resultere i store GDPR-bøder, hvis man ikke gør.
GDPR udgør en overordnet ramme for databeskyttelse, men indeholder ikke nogen specifikke detaljer eller instruktioner. Det er lige modsat D-mærket, der har konkrete retningslinjer og specifikke krav ift. behandlingssikkerhed og databeskyttelse, hvilket faktisk hjælper din virksomhed med at overholde GDPR.
