Informationssäkerhet och dataskydd går inte alltid hand i hand. Dessa två perspektiv, som båda syftar till att skydda viktiga värden, kan ibland kännas som oförenliga. De skapar en komplexitet som gör att företag och experter ofta står inför utmaningen att balansera dem rätt.
Men varför är det så svårt? Varför verkar dessa områden, som på ytan borde arbeta tillsammans, ofta hamna i konflikt med varandra?
Två olika skyddsvärden – ett gemensamt problem
Informationssäkerhet handlar om att skydda information – oavsett om den tillhör en individ, ett företag eller ett system – från att bli stulen, förändrad eller otillgänglig. Det handlar om att se till att rätt personer har tillgång till rätt information, och att informationen finns tillgänglig när den behövs.
Dataskydd, å andra sidan, sätter individen i fokus. Det handlar om att skydda personuppgifter och individens rätt till privatliv. Här kommer GDPR in i bilden med sina artiklar och regler för att se till att varje individ har kontroll över sina uppgifter och att dessa behandlas med respekt för individers personliga integritet.
Det är här utmaningen uppstår. Åtgärder som loggning och övervakning, kritiska för att skydda organisationers säkerhet, kan ofta upplevas som intrång i den personliga integriteten. Det är två olika skyddsvärden – informationens säkerhet och individens privatliv – som måste balanseras. Och det är inte alltid lätt.
Balansen – eller bristen på den
Hur hittar man balansen? Den stora hemligheten ligger inte i reglerna själva, utan i hur vi implementerar dem. Vissa tror att dataskydd och informationssäkerhet är två motstridiga sidor som måste kompromissa med varandra. Men sanningen är att de kan och ska samspela.
Säkerhetsåtgärder behöver inte automatiskt innebära en kränkning av individens integritet, och dataskyddsregler behöver inte försvaga ett företags säkerhet. Transparens är nyckeln. Genom att vara tydlig med vilken information som samlas in, hur den används och varför, kan företag skapa förtroende hos både anställda och kunder. Och genom att minimera datainsamling och tillämpa proportionerliga åtgärder kan man balansera båda perspektiven utan att kompromissa.
Var ligger egentligen problemet?
Problemet ligger alltså inte i reglerna, utan snarare i hur vi människor agerar. Specialister inom informationssäkerhet och dataskydd tenderar att arbeta i sina egna silos (och dessa personer är ofta envisa). Jurister och säkerhetsexperter förstår och lyssnar inte alltid på varandra. Istället ser de ofta varandras arbete som ett hinder snarare än en tillgång. Dessutom insisterar juristerna på att alla beslut och överväganden dokumenteras noggrant. Och låt oss vara ärliga – att få en "skrivläxa" från en jurist gör inte direkt att man ser fram emot nästa möte.
Men i verkligheten behöver vi varandra. Utan säkerhet kan vi inte skydda den information som dataskyddet värnar om. Och utan respekt för individens rättigheter kan säkerhetsåtgärder kännas övervakande och kränkande för medarbetare och övriga individer som ska övervakas.
En uppmaning – samarbeta eller misslyckas
Så vad vill vi säga med detta? Jo, att problemet inte ligger i reglerna utan i hur vi tolkar och tillämpar dem. Om vi ska lyckas i den digitala tidsåldern behöver vi lyssna på varandra, förstå de olika perspektiven och hitta lösningar som fungerar för alla.
Det är dags att inse att dataskydd och informationssäkerhet inte är fiender – de är två sidor av samma mynt. Och om vi fortsätter att behandla dem som separata problem, kommer vi att fortsätta skapa klyftor, både mellan de två yrkeskategorierna och mellan organisationer och deras anställda. Båda perspektiven är en förutsättning för att kunna bedriva en verksamhet på ett säkert, lagligt och etiskt vis.
Vad säger du – är du redo att bryta mönstret och börja samarbeta?