De seneste år – og særligt efter GDPR’s ikrafttræden - har fokus på ansvarlig dataanvendelse og it-sikkerhed været stødt stigende, og der opleves fra såvel borgere, forbrugere og kunder en større efterspørgsel efter digital ansvarlighed.
Dette har også været med til, at det nu – som det første af sin art i verden - er muligt for virksomheder at få det såkaldte ”D-mærke” som et stempel på, at virksomheden efterlever en række kriterier inden for it-sikkerhed, databeskyttelse og dataetik.
Bag D-mærket står Industriens Fond i samarbejde med Dansk Industri, Dansk Erhverv, SMVdanmark og Forbrugerrådet Tænk.
D-mærket er relevant for alle typer virksomheder
D-mærket er tiltænkt enhver type virksomhed, lige fra den mindre låsesmed til den store it-virksomhed. Mærket - og de krav der stilles for at få det – tilpasses nemlig den enkelte virksomhed.
Ved anmodning om D-mærket klassificeres virksomhederne i 4 virksomhedsgrupper afhængig af antal ansatte, omsætning og kerneaktivitet, herunder fx om der er tale om en leverandør af software eller it-tjenester, eller om der i virksomheden behandles særlige kategorier af personoplysninger.
Virksomhedsgrupperne afspejler således de risici og den kompleksitet, som virksomhederne står overfor.
Hvilke kriterier er det virksomhederne skal leve op til?
Antallet af kriterier, som den enkelte virksomhed skal leve op til, afhænger af den virksomhedsgruppe, som virksomheden er klassificeret i.
Der opereres overordnet med otte kriterier inden for:
- Styring og forankring i ledelsen
- Awareness og sikker adfærd
- Teknisk it-sikkerhed
- Krav til leverandørers it-sikkerhed og ansvarlig dataanvendelse
- Transparens og kontrol med data
- Privacy og security by design og default
- Pålidelige algoritmer og AI
- Dataetik
Hvordan opnår virksomheden D-mærket?
Anmodning om at blive registreret og få tildelt D-mærket skal stiles til kontakt@d-maerket.dk. Ved at besvare en række spørgsmål indplaceres virksomheden i rette virksomhedsgruppe og tildeles et sæt kriterier.
Herefter skal virksomheden foretage en selvevaluering ved besvarelse af en række spørgsmål. For at kunne besvare disse spørgsmål, vil virksomheden skulle involvere en række forskellige aktører i organisationen og vil have behov for forskelligartede kompetencer inden for såvel it-sikkerhed som databeskyttelsesret.
Når den endelige ansøgning er indsendt, påbegyndes tilsyns- og kontrolprocessen, og virksomheden anmodes om at fremsende dokumentation for, at de relevante kriterier og krav efterleves.
Hvilken betydning får D-mærket?
Med D-mærket får virksomheder mulighed for at udvise digital ansvarlighed og differentiere sig i markedet. D-mærket vil derfor styrke virksomhedens omdømme og vil kunne være et konkurrenceparameter, særligt inden for visse brancher.
Udover at give forretningsværdi til virksomhederne, vil mærket samtidig være med til at skabe tryghed hos forbrugerne, og det vil i sidste ende også understøtte den generelle digitalisering, der fylder meget i et land som Danmark.
De virksomheder, der de seneste år har arbejdet ansvarligt med deres GDPR-implementering, og herunder sikret passende tekniske, organisatoriske og fysiske sikkerhedsforanstaltninger, vil kunne nikke genkendende til ovennævnte otte kriterier.
Har virksomhederne som led i deres GDPR-projekt tillige sikret den nødvendige skriftlige defence file, har virksomheden allerede et stærkt fundament for den dokumentation, der skal uploades ved ansøgning om D-mærket.
Er I interesserede i at høre mere om D-mærket, har I behov for bistand til at anmode om D-mærket, eller har I i øvrigt GDPR-relaterede spørgsmål, er I velkomne til at kontakte os i EY Law.
