Interesserer du dig for it og den digitale omstilling?

Så markér feltet "DM Digi" på Mit DM, så får du alt det DM laver på området - artikler, arrangementer, netværkstilbud m.m. 

D-mærket for it-sikkerhed og ansvarlig dataanvendelse

Af Sabrine Mønsted
Del artikel:

D-mærket gavner forbrugerne, der kan genkende de dataansvarlige virksomhede og virksomhederne kan bruge det som branding.

Danmark er et af de mest digitaliserede lande, men undersøgelser viser, at it-sikkerhed og ansvarlig dataanvendelse både i private og offentlige virksomheder og institutioner ikke følger med. Det fik i 2018 regeringen til at nedsætte en ekspertgruppe om dataetik, der kom med en række anbefalinger, herunder et dataetisk mærke. Virksomhedsrådet for it-sikkerhed anbefalede samtidig en mærkningsordning for it-sikkerhed, og ud af det opstod D-mærket, der både handler om it-sikkerhed og ansvarlig dataanvendelse.


- Det kan for eksempel være, hvordan man bygger en app, så alle led passer på data, fortæller Stine Randklev Nissen, Lead Auditor for D-mærket, hvilket betyder, at hun gennemgår virksomheders it-sikkerhed og ansvarlig dataanvendelse, når de vil tildeles D-mærket.
Formålet er både at løfte it-sikkerheden hos danske virksomheder og institutioner og skabe transparens for kunder, borgere og samarbejdspartnere. Og omvendt vil virksomheder kunne tjekke, om deres underleverandører lever op til standarden.
- På samme måde, som når vi som forbrugere ikke selv behøver at sætte os ind i de komplicerede regler for økologi, fordi vi ved, at der er styr på kravene, når der er et rødt økomærke på mælken, siger Stine Randklev Nissen.


Men der er lang vej, til D-mærket har samme genkendelighed. Lige nu er der 20 D-mærkede virksomheder, 14 er i gang med tilsynsprocessen, mens 600 har registreret sig i systemet, hvilket er lig med at have vist interesse.


- Virksomhederne skal opdage, at det giver mening i deres forretning. Mærkekendskab kan tage fem til ti år, og det er lidt som hønen og ægget, man venter måske lidt på, at naboen gør det, før man synes, det er relevant for én selv at gøre. Men vi ser også virksomheder, der er firstmovers af ren ordentlighed, siger Stine Randklev Nissen.


Hovedstadens Beredskab er en af de virksomheder, der er gået forrest.
- De bruger D-mærket som redskab til at styrke it-sikkerhed, men også til at tænke dataetik ind i deres forretningsgange og til at italesætte det i kommunikation med borgerne.
Stine Randklev Nissen mener dog, der vil komme et internationalt pres på virksomhederne.


- For eksempel med det EU-direktiv på cyber- og informationssikkerhedsområdet, der er på vej. Det vil give nogle et skub, fordi D-mærket kan sikre, at de lever op til de nye minimumskrav. Og som med GDPR vil der være store bødebeløb på spil.

D-mærket består af otte trin, som virksomhederne skal leve op til:

  1. Styring og forankring i ledelsen
  2. Awareness og sikker adfærd
  3. Teknisk it-sikkerhed
  4.  Krav til leverandørers it-sikkerhed og ansvarlig dataanvendelse
  5.  Transparens og kontrol med data
  6.  Privacy & security by design & default
  7.  Pålidelige algoritmer og AI
  8.  Dataetik.

Kom i gang

D-mærket er for alle organisationer, virksomheder, institutioner, private og offentlige, som har et dansk CVR-nummer. Man bliver indplaceret i grupper, der siger noget om ens risiko, og derfra sættes de krav, der er til en certificering, så også enkeltmandsvirksomheder kan være med.
Første del, hvor man finder ud af, hvad det kræver at opfylde D-mærket, er gratis, men derefter skal man betale for tilsyn, hvor to auditors tjekker, at man overholder kravene og derfra må bruge D-mærket.
Forperson for DM Digi Tine Segel sidder med i styregruppen for D-mærket.
}