Med tanke på hur enkelt det är att samla in data om människors beteende på nätet är det ingen överraskning att många företag samlar in mer personuppgifter än de egentligen behöver. Att samla in onödiga uppgifter kan låta harmlöst. Men det är viktigt att komma ihåg de juridiska och etiska skyldigheter man har när man samlar in och använder personuppgifter. I det här inlägget tittar vi på hur hållbar insamling av data kan hjälpa din organisation att följa principerna för GDPR, öka cybersäkerheten och bygga starkare relationer samtidigt som du skyddar människors integritet.
Vad är (Big) data?
Data kan definieras som de bitar av information som finns och skapas runt omkring oss, eftersom allt vi gör på internet genererar data. När vi talar om dataetik tänker vi oftast på data som Big data. Med big data avses stora mängder data som analyseras av maskiner för att identifiera mönster och beteenden.
Vad är personuppgifter?
Kort beskrivet är personuppgifter en typ av information som kan användas för att identifiera en specifik person. Det innefattar information som namn, adress, registreringsskylt, en jobbansökan eller en bild av en tatuering. Personuppgifter kan delas upp i två kategorier: allmänna eller känsliga.
Vad är dataetik?
Dataetik anvisar till ansvarsfull och hållbar användning av data och påminner oss om våra moraliska skyldigheter. Kort sagt handlar dataetik om att göra det som är rätt för andra människor och samhället.
Hoppa direkt till
Etiska utmaningar med Big Data
Många anser att Big data är ett säkrare och mer etiskt alternativ till personuppgifter, eftersom Big data inte kan kopplas till specifika personer. Men det finns fall där Big data har spårats tillbaka till enskilda personer, t.ex. när Netflix släppte ett anonymiserat register som exponerade användarnas tittarhistorik.
För att analysera Big data kombineras flera enskilda uppsättningar data tillsammans. Detta kan leda till problem för människors integritet och säkerhet samt leda till diskriminering. Att kategorisera människor och behandla dem som en del av en grupp kan leda till orättvis behandling. Detta är särskilt fallet för grupper som redan diskrimineras. De nya hoten med Big data och AI förekommer inom många branscher, t.ex. banksektorn, där maskiner programmeras för att ge information om vem som ska få ett lån och till vilken ränta.
Så, såväl Big data som personuppgifter behöver behandlas etiskt.
5 principer för dataetik
Principerna och riktlinjerna för dataetik har tagits fram av thinkdotank DataEthics.eu och är utformade för att hjälpa organisationer att tillämpa dataetik i sin databehandling.
Människan i centrum - Människors intressen bör alltid komma i första hand. Människor bör ha en högre status än program och maskiner och bör vara de som drar nytta av databehandling.
Individuell datakontroll - Människor bör ha den primära kontrollen över sina data. Självbestämmande bör prioriteras i alla data processer, och du bör därför behandla personuppgifter som något du lånar.
Transparens - Databehandling måste vara helt transparent och kunna förklaras - du ska kunna förklara dina datainsamlingsaktiviteter och deras sociala, etiska och samhälleliga konsekvenser.
Kan du till exempel berätta var dina uppgifter lagras, vilka tredje parter som har tillgång till de uppgifter du samlar in och hur du använder uppgifter för att påverka beteenden?
Ansvar - Ansvarsskyldighet bör tillämpas på alla dina databehandlingsaktiviteter för att säkerställa skydd av personuppgifter. Till exempel genom att anonymisera personuppgifter, hantera datadelning med tredje part eller införa en process för etisk datahantering. Din organisations ansvarsskyldighet bör också gälla för dina underleverantörer och partner.
Jämställdhet - Hållbar databehandling bygger på en medvetenhet om de etiska frågorna kring big data och datasystem. De skadliga effekterna av användarprofilering, dess inverkan på självbestämmande och diskriminering av människors ekonomiska, sociala eller hälsorelaterade förhållanden. Jämlikhet inom dataetik innebär också att aktivt minska partiskhet inom algoritmer.
Låt oss ta en titt på hur din organisation kan gynnas av dataetik
Hur din organisation gynnas av etisk användning av data
Det ligger en mängd arbete och ett stort ansvar bakom att upprätthålla en god cybersäkerhet, och efterleva kraven för GDPR. Så, varför prioritera eller ens överväga att lägga till dataetik till dina arbetsuppgifter?
För att säga det enkelt - Att skydda data innebär att skydda människor, om du bryr dig om dina kunder, anställda och människor i allmänhet bör du ta dataetik på allvar.
Öka företagets datasäkerhet
Den allmänna dataskyddsförordningen (GDPR) kräver att alla organisationer skyddar sina uppgifter från att bli stulna, skadade eller förstörda. För att kunna göra detta behöver ni system och processer som skyddar era uppgifter.
Du kan öka din datasäkerhetsnivå på många sätt, t.ex. genom att utbilda anställda eller ha starka IT-säkerhetspolicyer. Vi kommer att diskutera dessa och andra metoder senare i artikeln.
Hållbar användning av data minskar risken för cyberattacker
Visste du att det sker en cyberattack var elfte sekund? Sedan 2009 har cyberattacker inträffat tre gånger så ofta som tidigare och förväntas bli ännu vanligare i framtiden.
Organisationer som faller offer för en attack riskerar både ekonomiska konsekvenser och att deras rykte skadas. Detta gör cyberattacker svåra att återhämta sig från, särskilt för små organisationer, där 60 % av de drabbade företagen tvingades stänga.
Den goda nyheten är att när de anställda vet hur man hanterar data på ett etiskt sätt minskar de risken för för intrång.
Etisk datainsamling hjälper dig följa GDPR
Att hantera data på rätt sätt är inte frivilligt och att inte följa GDPR kan leda till höga böter. Det är ingen tvekan om att du får mycket mer tillbaka om du investerar i att utbilda dina medarbetare och andra typer av förebyggande säkerhetsåtgärder än om du bara väntar på att ett dataintrång ska inträffa.
Integritet behövs för att skapa starka relationer
Integritet handlar inte bara om att skydda information. Det handlar också om vem vi väljer att lita på, och vem vi anser kommer hålla det vi delat hemligt. När en konsument ger dig information om honom eller henne är det ett tecken på att de litar på att du kommer att bevara informationen säkert. För att vinna dina kunders förtroende och uppfylla deras förväntningar på hur deras uppgifter behandlas bör du se på personuppgifter som något du lånar.
Dataetik, personuppgifter och principerna för GDPR
Låt oss titta på hur insamling och användning av personuppgifter på ett etiskt sätt stämmer överens med principerna för GDPR.
Var transparent med vad för uppgifter om personer du samlar in
Transparens är en del av den första GDPR-principen och är även en princip du bör följa för att samla in personuppgifter på ett etiskt sätt. Att vara transparent om sina datainsamlingsmetoder innebär att man tydligt kommunicerar vad, hur och varför man behandlar data, från de cookies som används på webbplatsen till hur man spelar in videomöten.
Använd människors uppgifter i enlighet med deras samtycke
För att följa den andra GDPR-principen får du aldrig använda personuppgifter för andra ändamål än vad du har fått samtycke till. Denna princip stämmer väl överens med etiska värderingar för insamling av data som öppenhet, rättvisa och förtroende.
Samla in och lagra bara de personuppgifter du behöver
För att följa dataskyddsprinciperna tre och fem bör du inte samla in mer personuppgifter än du behöver, och du måste ha en säker metod för att förstöra dem när de inte längre behövs. Att samla in och behålla onödig information är inte bara en kränkning av människors integritet utan innebär också ytterligare säkerhetsrisker, i händelse av ett intrång. Att lagra oanvända uppgifter är också ett slöseri med företagets resurser.
Dataetik bygger på integritet, konfidentialitet och ansvarsskyldighet
De två sista GDPR-principerna täcker de mest grundläggande cybersäkerhetsbehoven. Konfidentialitet handlar om att begränsa tillgången till personuppgifter, medan integritet fokuserar på dataintegritet och insamling av tillförlitliga och korrekta uppgifter. Ansvarighet handlar om organisationens ansvar för att hantera data på ett etiskt sätt och i enlighet med GDPR.
Frågor att ställa för etisk insamling och hantering av personuppgifter
- Är vi transparenta med hur och varför vi samlar in data?
- Behöver vi verkligen alla uppgifter som vi för närvarande samlar in?
- Vem har tillgång till vår data (inklusive personal och tredje part)?
- Lagrar vi personuppgifter på ett säkert sätt?
- Har vi en process för säker radering av personuppgifter?
5 steg till etisk hantering av personuppgifter
De flesta brott mot cybersäkerheten orsakas av mänskliga misstag. Ändå är det många företag som inte inser att de anställda är den viktigaste delen av deras IT-säkerhetsstrategi.
Här är några sätt att säkerställa att dina medarbetare blir medvetna om sitt ansvar i att hantera personuppgifter på ett etiskt sätt
1. Utbilda dina anställda i dataetik och IT-säkerhet
Dataetik, liksom andra IT-säkerhetsrutiner, bör involvera alla inom din organisation. Ifall dina anställda saknar gemensam kunskap och förståelse för begrepp som Big data, GDPR och integritet kan det vara svårt för dig att införa nya processer för dataanvändning. Utbildning i säkerhetsmedvetenhet är en utmärkt metod för att se till att dina anställda har rätt kunskap inom relevanta ämnen.
Det finns mycket att lära sig inom cybersäkerhet. På CyberPilot börjar vi vår utbildning i säkerhetsmedvetenhet med kurser som skapar en god grund, när dina anställda sedan delar samma kunskapsbas kan du införa mer djupgående kurser.
Ämnen som vi rekommenderar att du börjar med:
-
- Introduktion till utbildning om medvetenhet
-
- Nätfiske
- Skapa starka lösenord
- Personuppgifter
2. Skapa etiska riktlinjer för IT-säkerhet
IT-säkerhetsriktlinjer kan hjälpa dig att kommunicera mål, delegera ansvar och rapportera framsteg. Men viktigast av allt är att riktlinjer påminner människor om att det finns sätt för hur de bör agera när det gäller cybersäkerhet.
Riktlinjerna ger de anställda förväntningar och anger tonen för ert säkerhetsarbete. Men för att skapa effektiva riktlinjer bör du kunna resonera med de anställda, så att även de anser att det är viktigt att skydda data.
3. Använd principerna för inbyggd integritet
För de flesta organisationer är det svårt att göra integritet till en del av det dagliga arbetet. Principerna för inbyggd integritet, på engelska Privacy by desgin, kan hjälpa dig att göra integritet mer påtagligt och lättare för ditt team att arbeta med. Principerna som utgör inbyggd integritet säkerställer ett proaktivt arbetssätt, så att de anställda kan inkludera integritet redan i början av nya projekt istället för att vänta tills ett problem uppstår - vilket ofta är fallet med integritet.
Detta är de 7 principerna:
- Var proaktiv istället för reaktiv
- Ha Integritet som standard
- Integritet ska vara inbäddad i utformningen
- Fullständig funktionalitet - Positivsumma, inte nollsumma.
- Säkerhet från början till slut - skydd under hela livscykeln
- Synlighet och öppenhet
- Respekt för användarens integritet - Håll den användarcentrerad.
Oavsett om du väljer att följa dessa principer eller inte är det bra att komma ihåg att ditt mål när du arbetar med integritet alltid bör vara att redan från början se till att den inte kränks.
4. Utvärdera och identifiera era största risker vad gäller datasäkerhet
Alla anställda hanterar inte samma mängd och typ av personuppgifter, vilket innebär att vissa delar av organisationen kan vara mer utsatta för risker än andra. Genom att göra en riskbedömning kan du identifiera var hoten finns och var du bör lägga dina resurser.
Att göra en riskbedömning är också ett konkret sätt att visa att er organisation är proaktiv när det gäller att följa GDPR. För att hjälpa dig att komma igång har vi skapat en kostnadsfri mall för riskbedömning. Mallen är enkel att använda, men om du vill ha vägledning kan du följa den här steg-för-steg-guiden för riskbedömning.
Dataetik kan och bör kombineras med cybersäkerhet
Det är svårt att ändra anställdas vanor och beteenden, men det blir betydligt enklare när de kan resonera och förstå värdet av att göra något annorlunda. Kolla in vår utbildning i medvetenhet om du vill lära dig mer om dataetik eller andra cybersäkerhetsrelaterade ämnen.
Jag hoppas att det här inlägget har visat att det är viktigt att tänka etiskt kring hur du samlar in och använder människors data, inte bara för att följa GDPR utan också för dina medarbetares, kunders och partners rätt till integritet.