Datakryptering er ikke længere valgfrit. Med forventet skade på cyberkriminalitet $10,5 billioner inden 2025 og bøder for manglende overholdelse, der når millioner af dollarsDet er afgørende for virksomheder at forstå krypteringslovgivningen. Denne vejledning dækker syv nøgleregler, der former global databeskyttelse:

• GDPR (EU)Opfordrer til kryptering af personoplysninger med bøder på op til €20 mio. eller 41.3 billioner i årlig omsætning.
• CPRA (Californien, USA)Kræver kryptering; brud på ukrypterede data giver mulighed for retssager.
• LGPD (Brasilien)Kræver sikkerhedsforanstaltninger som kryptering; bøder på op til 2% af omsætningen.
• PIPEDA (Canada)Anbefaler kryptering til beskyttelse af personoplysninger.
• DPDPA (Indien)Kræver "rimelige sikkerhedspraksisser", herunder kryptering.
• PIPL (Kina)Kræver regeringsgodkendt kryptering for data inden for sine grænser.
• DORA (EU's finansielle sektor)Strenge krypteringsstandarder for finansielle enheder, der dækker data i hvile, under transit og i brug.

Hurtig sammenligning:

Lov	Jurisdiktion	Krypteringsmandat	Maksimal straf
GDPR	EU	Stærkt anbefalet	€20 mio. eller 41 TP3T i omsætning
CPRA	Californien, USA	Påkrævet for beskyttelse mod brud	$7.500/overtrædelse
LGPD	Brasilien	Tekniske sikkerhedsforanstaltninger kræves	2% af omsætningen
PIPEDA	Canada	Opmuntret, ikke obligatorisk	CAD $100.000/overtrædelse
DPDPA	Indien	"Rimelige sikkerhedsforanstaltninger"	₹250 Cr eller 4% omsætning
PIPL	Kina	Obligatorisk godkendt kryptering	¥50 mio. eller 5% omsætning
DORA	EU (Finanssektoren)	Obligatorisk for finansielle data	2% af den årlige omsætning

Kryptering beskytter virksomheder mod brud, bøder og omdømmeskade. Læs videre for at få detaljeret indsigt i disse love og hvordan du overholder reglerne.

9 databeskyttelsesregler, du har brug for at kende

1. Den generelle forordning om databeskyttelse (GDPR) – Den Europæiske Union

GDPR, der trådte i kraft siden maj 2018, har ændret, hvordan personoplysninger håndteres globalt.

Jurisdiktion og geografisk omfang

GDPR er ikke begrænset til Europa – den har global rækkevidde. Enhver organisation, uanset hvor den er baseret, skal overholde reglerne, hvis den behandler personoplysninger fra EU-borgere. For eksempel er USA-baserede virksomheder, der betjener EU-kunder, underlagt disse regler. Forordningen adskiller ansvaret mellem dataansvarlige (hvem bestemmer, hvordan og hvorfor data behandles) og databehandlere (som håndterer dataene på vegne af dataansvarlige). Denne sondring er især relevant for hostingudbydere og virksomheder, der bruger colocation-tjenester.

Krypteringskrav (obligatoriske eller opfordrede)

Selvom kryptering ikke er eksplicit påbudt i GDPR, anbefales det kraftigt som en vigtig teknisk sikkerhedsforanstaltning. Artikel 32 opfordrer til passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysninger, og kryptering foreslås ofte som en af de mest effektive metoder. Dette gælder for begge. data i hvile og data undervejsMyndigheder som Storbritanniens Information Commissioner's Office anbefaler at bruge krypteringsløsninger der opfylder standarder som FIPS 140-2 og FIPS 197.

En væsentlig fordel ved kryptering er dens indvirkning på notifikationer om brud. Organisationer skal rapportere databrud inden for 72 timer i henhold til GDPR. Hvis krypterede data kompromitteres og gøres ulæselige for angribere, kan dette krav dog fraviges.

Anvendelsesmuligheder for Enterprise Storage

For virksomheder, der administrerer data på tværs af forskellige lagringsmiljøer, kan overholdelse af GDPR være en udfordring. Forordningen gælder for personoplysninger, der er lagret på dedikerede servere, cloud-platforme, eller hybride infrastrukturerVirksomheder skal klassificere data baseret på deres følsomhed for at bestemme de rigtige krypteringsforanstaltninger. Der kræves særlig forsigtighed ved grænseoverskridende dataoverførsler, da GDPR håndhæver strenge regler for flytning af personoplysninger uden for EU/EØS uden passende sikkerhedsforanstaltninger. Kryptering er afgørende for at sikre sikre internationale dataoverførsler. Hostingudbydere, herunder dem som f.eks. Serverion, skal tilpasse deres krypteringspraksis til GDPR-standarder for at understøtte deres kunders overholdelse af reglerne.

Sanktioner for manglende overholdelse

GDPR pålægger et trindelt sanktionssystem, der gør manglende overholdelse økonomisk smertefuldt. Mindre overtrædelser kan resultere i bøder på op til 11,8 millioner pund eller 23,6 millioner pund af den globale årlige omsætning, alt efter hvad der er højest. Alvorlige overtrædelser kan føre til bøder på op til 23,6 millioner pund eller 43,6 millioner pund af den globale omsætning. Nylige sager illustrerer forordningens strenghed. I 2023 blev Meta idømt en bøde på 1,2 milliarder pund af den irske databeskyttelseskommission for ikke at beskytte dataoverførsler. Tilsvarende stod H&M over for en bøde på 41,8 millioner pund i 2020 for ulovlig overvågning af medarbejdere.

Manglende overholdelse kan føre til mere end blot bøder. Organisationer kan blive udsat for driftsrestriktioner, såsom påbud om at stoppe databehandling, og kan også være ansvarlige for erstatningskrav fra berørte personer.

"Den generelle forordning om databeskyttelse (GDPR) er den strengeste lov om privatliv og sikkerhed i verden." – GDPR.EU

For hosting- og infrastrukturudbydere understreger disse sanktioner behovet for robuste krypteringsstrategier for at beskytte deres drift og sikre, at deres kunder opfylder compliance-krav.

Dernæst vil vi undersøge California Privacy Rights Act og hvordan den adskiller sig i sin tilgang til databeskyttelse for virksomheder.

2. Californiens lov om privatlivsrettigheder (CPRA) – USA

Fra den 1. januar 2023 styrker CPRA California Consumer Privacy Act (CCPA) og indfører strengere regler for virksomheder, der håndterer personlige oplysninger, der tilhører indbyggere i Californien.

Jurisdiktion og geografisk omfang

CPRA er specifikt rettet mod profitorienterede virksomheder som indsamler personlige oplysninger fra indbyggere i Californien og opfylder visse kriterier. Disse omfatter:

• Virksomheder med en årlig bruttoomsætning på over $25 millioner.
• Virksomheder, der køber, sælger eller deler personlige oplysninger om 100.000 eller mere Indbyggere, husstande eller enheder i Californien.
• Enheder, der tjener 50% eller mere af deres årlige omsætning fra salg eller deling af californiske forbrugeres personlige oplysninger.

I modsætning til GDPR, som har global rækkevidde, fokuserer CPRA udelukkende på virksomheder, der betjener indbyggere i Californien, uanset deres fysiske placering. Et centralt træk ved CPRA er dens dataminimeringsprincippet, som begrænser dataindsamling og -opbevaring til, hvad der er strengt nødvendigt for forretningsdriften.

Krypteringskrav (obligatoriske eller opfordrede)

Afsnit 1798.150 i CPRA kræver, at virksomheder implementerer stærke sikkerhedsforanstaltninger for at beskytte personlige oplysninger. Hvis ukrypterede data bliver brudt, har forbrugerne ret til at anlægge civile søgsmål. Forordningen fastslår:

"Enhver forbruger, hvis ikke-krypterede og ikke-redigerede personlige oplysninger ... er udsat for uautoriseret adgang og eksfiltrering, tyveri eller videregivelse som følge af virksomhedens overtrædelse af pligten til at implementere og opretholde rimelige sikkerhedsprocedurer og -praksis ... kan anlægge et civilt søgsmål."

Californiske love 128-bit kryptering som minimumsstandard for visse systemer, hvor kryptografiske moduler kræver certificering i henhold til FIPS 140-2 standarder. CPRA kræver kryptering af både data under overførsel og data i hvile, og virksomheder opfordres til at opbevare krypteringsnøgler separat fra de krypterede data. Disse foranstaltninger er afgørende for at sikre overholdelse af regler og beskytte virksomhedens lagringssystemer.

Anvendelsesmuligheder for Enterprise Storage

Virksomhedslagringssystemer skal overholde CPRA's strenge krav. Virksomheder forventes at præstere vurderinger af databeskyttelse at identificere privatlivsrisici og implementere nødvendige sikkerhedsforanstaltninger på tværs af alle lagringsmiljøer.

Loven kræver også, at virksomheder afidentificerer eller aggregerer personlige oplysninger, hvilket påvirker, hvordan data opbevares og administreres. Organisationer, der bruger hostingtjenester, skal sikre, at deres udbydere er CPRA-kompatible, hvilket skaber en ansvarlighedskæde gennem hele databehandlingscyklussen. For eksempel skal virksomheder, der er afhængige af Serverions tjenester, sikre, at krypteringsstandarder overholdes på tværs af alle konfigurationer.

Nøgleelementer i compliance omfatter regelmæssige sikkerhedsrevisioner og håndhævelse af strenge adgangskontroller. Derudover giver CPRA Californiens indbyggere ret til at fravælge automatiseret beslutningstagning, hvilket kræver systemer, der kan identificere og adskille data, der bruges til sådanne formål.

Sanktioner for manglende overholdelse

Manglende overholdelse af CPRA kan føre til bøder og private søgsmål. Forbrugere, der er berørt af databrud forårsaget af utilstrækkelige sikkerhedsforanstaltninger, kan kræve erstatning lige fra $107 til $799 pr. hændelse.

Som Alfred Brunetti, rektor ved Porzio, Bromberg og Newman PC, forklarer:

"En virksomhed, tjenesteudbyder eller anden person, der overtræder CCPA som ændret ved CPRA, kan pålægges et påbud og en bøde på højst 1 TP4T2.500 pr. overtrædelse og højst 1 TP4T7.500 pr. forsætlig overtrædelse."

Nylige håndhævelsesaktioner understreger vigtigheden af at overholde disse regler. For eksempel betalte Sephora i 2022 141,2 millioner pund for at bilægge CCPA-overtrædelsessager, og i 2024 stod DoorDash over for en bøde på 1375.000 pund for at dele kundedata uden udtrykkeligt samtykke. Det er værd at bemærke, at CPRA fjernede den 30-dages afhjælpningsperiode, der tidligere var tilladt i henhold til CCPA, hvilket betyder, at virksomheder kan blive udsat for øjeblikkelige sanktioner, hvis overtrædelser ikke straks håndteres.

Dernæst vil vi undersøge Brasiliens Lei Geral de Proteção de Dados for at undersøge, hvordan kryptering gribes an i Latinamerika.

3. Lei Geral de Proteção de Dados (LGPD) – Brasilien

Brasiliens Lei Geral de Proteção de Dados (LGPD) opstiller strenge regler, stærkt inspireret af EU's GDPR, for at beskytte personlige data.

Jurisdiktion og geografisk omfang

LGPD har en bred rækkevidde, der gælder for organisationer overalt i verden, hvis de håndterer personoplysninger om enkeltpersoner i Brasilien. Dette omfatter databehandling foretaget af enkeltpersoner eller enheder – uanset om de er offentlige eller private. Hvis din virksomhed har kunder, medarbejdere, entreprenører eller partnere i Brasilien, er overholdelse af LGPD et must.

Loven gælder for:

• Databehandlingsaktiviteter udført i Brasilien.
• Data indsamlet i Brasilien.
• Personoplysninger om enkeltpersoner i Brasilien, uanset hvor databehandleren er placeret.

Krypteringskrav (obligatoriske eller opfordrede)

Selvom LGPD ikke eksplicit kræver kryptering, understreger den behovet for rimelige sikkerhedsforanstaltninger at beskytte personoplysninger. Artikel 46 specificerer, at organisationer skal indføre tekniske, sikkerhedsmæssige og administrative sikkerhedsforanstaltninger for at forhindre uautoriseret adgang. Data, der er fuldt anonymiserede eller krypterede, så de ikke kan gendannes, er ikke underlagt disse regler.

For at overholde reglerne bør organisationer implementere en blanding af strategier, såsom:

• Sikkerhedspolitikker og planer for håndtering af hændelser.
• Bevidstgørelsestræning for medarbejdere.
• Adgangskontrol og andre tekniske foranstaltninger.

For virksomheder, der bruger hostingløsninger, som f.eks. Serverions, er det afgørende at opretholde stærke krypteringsprotokoller for at opfylde LGPD-standarderne. Disse foranstaltninger er afgørende for at beskytte data på tværs af forskellige lagringsplatforme.

Anvendelsesmuligheder for Enterprise Storage

Virksomheders lagringssystemer skal være i overensstemmelse med LGPD's sikkerhedsretningslinjer. Det betyder, at virksomheder skal dokumentere, hvordan data indsamles, bruges, lagres og deles. De skal også evaluere internationale dataoverførsler for at sikre overholdelse af loven.

Nøgletrin omfatter:

• Etablering af rammer for databeskyttelse.
• Udførelse af regelmæssige konsekvensanalyser af databeskyttelse (DPIA'er).
• Udnævnelse af en databeskyttelsesrådgiver (DPO) til at føre tilsyn med compliance-indsatsen.
• Udarbejdelse af handlingsplaner for databrud.
• Træning af medarbejdere i bedste praksis for databeskyttelse.

Tjenesteudbydere skal også opfylde LGPD-kompatible sikkerhedsstandarder i hele databehandlingskæden.

Sanktioner for manglende overholdelse

Manglende overholdelse af LGPD kan føre til store bøder – op til 21 TP3T af en virksomheds nettoomsætning i Brasilien, med et loft på 1 TP4 50 millioner rand pr. overtrædelse. Yderligere sanktioner omfatter:

• Dagbøder for uløste problemer.
• Offentlig afsløring af overtrædelser.
• Blokering eller sletning af personoplysninger.
• Suspension eller forbud af databehandlingsaktiviteter.

Nylige håndhævelsessager fremhæver lovens skarpe sider. For eksempel blev Telekall Infoservice den 6. juli 2023 idømt en bøde på 14.400 BRL (omtrent $2.938) for flere overtrædelser, herunder manglende udpegelse af en databeskyttelsesrådgiver og manglende et korrekt juridisk grundlag for databehandling. Tilsvarende blev Santa Catarina State Department of Health i oktober 2023 idømt bøder for problemer som dårlige sikkerhedsforanstaltninger og forsinket rapportering af hændelser.

Ud over økonomiske sanktioner kan manglende overholdelse føre til retssager fra berørte personer, skade på en virksomheds omdømme og endda tab af databehandlingsrettigheder. For virksomheder, der opererer i Brasilien, handler opfyldelse af LGPD-kravene ikke kun om at undgå bøder – det er afgørende for at opretholde tillid og driftskontinuitet.

Dernæst vil vi se på, hvordan Canadas PIPEDA håndterer lignende databeskyttelsesudfordringer.

4. Lov om beskyttelse af personlige oplysninger og elektroniske dokumenter (PIPEDA) – Canada

Canadas Lov om beskyttelse af personlige oplysninger og elektroniske dokumenter (PIPEDA) fastsætter regler for, hvordan private organisationer håndterer personoplysninger. Bygget på principper om fair information har det til formål at beskytte den enkeltes privatliv og samtidig understøtte effektiv forretningsdrift.

Jurisdiktion og geografisk omfang

PIPEDA gælder for virksomheder, der opererer i Canada, og som administrerer personlige oplysninger i forbindelse med transaktioner mellem provinsielle eller internationale myndigheder. Den regulerer private organisationer over hele landet og omfatter personlige oplysninger fra medarbejdere i føderalt regulerede brancher. Hvis din virksomhed behandler data, der krydser provinsielle eller internationale grænser, er overholdelse af PIPEDA et krav.

Krypteringskrav (obligatoriske eller opfordrede)

PIPEDA foreskriver ikke specifikke sikkerhedsteknologier, men opfordrer kraftigt organisationer til at implementere sikkerhedsforanstaltninger for at beskytte personlige oplysninger. Princip 7 (Sikkerhedsforanstaltninger)Virksomheder er forpligtet til at sikre personoplysninger mod risici som tab, tyveri eller uautoriseret adgang. Kryptering er en af de anbefalede foranstaltninger til at beskytte følsomme oplysninger under opbevaring og transmission. Det er dog kun én brik i puslespillet. En omfattende sikkerhedsstrategi bør også omfatte værktøjer som stærke adgangskoder, firewalls og regelmæssige opdateringer kombineret med fysiske og organisatoriske kontroller.

Valget af sikkerhedsforanstaltninger afhænger af faktorer som dataenes følsomhed, deres mængde, hvordan de distribueres, lagringsformatet og de potentielle risici. For virksomheder, der bruger hostingløsninger som Serverion, kan implementering af robust kryptering i alle databehandlingsaktiviteter bidrage til at opfylde PIPEDAs fleksible sikkerhedsforventninger.

Regelmæssige gennemgange af sikkerhedsprotokoller er afgørende for at opretholde effektiv beskyttelse. Disse foranstaltninger bør integreres problemfrit i en bredere ramme for privatlivsstyring for at sikre, at virksomhedens lagringssystemer opfylder compliance-standarder.

Anvendelsesmuligheder for Enterprise Storage

For virksomheder er det ufravigeligt at tilpasse lagringssystemer til PIPEDAs privatlivsprincipper. Dette omfatter udvikling af et privatlivsstyringsprogram, tydelig dokumentation af formålene med databehandling og håndhævelse af strenge adgangskontroller. Vurderinger af konsekvensen for privatlivets fred (PIA'er) er et afgørende skridt i evalueringen af, hvordan forretningsdrift påvirker den enkeltes privatliv. Andre vigtige foranstaltninger omfatter fastsættelse af klare opbevaringsperioder for personlige oplysninger og træning af medarbejdere i bedste praksis for privatlivets fred.

"En organisation skal stille specifikke oplysninger om sine politikker og praksisser vedrørende håndtering af personoplysninger let tilgængelige for enkeltpersoner." – PIPEDA afsnit 4.8.1

Organisationer skal også etablere strenge procedurer for overvågning af adgangsmønstre og udføre regelmæssige revisioner for at opdage uautoriserede aktiviteter. Effektiv håndtering af klager over privatlivets fred og sikring af nøjagtigheden af personlige oplysninger er lige så vigtigt for at opretholde overholdelse af reglerne.

Sanktioner for manglende overholdelse

Manglende overholdelse af PIPEDA kan medføre alvorlige konsekvenser, både økonomiske og omdømmemæssige. De økonomiske sanktioner kan nå op til CAD $100.000 pr. overtrædelse, og sager kan endda blive henvist til Canadas justitsminister for yderligere retslige skridt. Ud over bøder kan forkert håndtering af personoplysninger alvorligt skade en virksomheds omdømme, især da 92% af offentligheden har udtrykt bekymring over, hvordan deres oplysninger håndteres.

PIPEDA kræver også, at organisationer rapporterer databrud, der udgør en reel risiko for betydelig skade. Sådanne hændelser skal rapporteres til Canadas databeskyttelseskommissær, og berørte personer skal underrettes, når det er nødvendigt. Det er afgørende at føre detaljerede optegnelser over alle brud for effektiv planlægning af hændelser.

Disse krav understreger vigtigheden af stærke compliance-foranstaltninger for virksomheder, der opererer på eller betjener det canadiske marked. Kryptering spiller sammen med andre sikkerhedsforanstaltninger en afgørende rolle i at sikre, at virksomhedens lagringssystemer opfylder PIPEDA's standarder.

5. Lov om beskyttelse af digitale personoplysninger (DPDPA) – Indien

Indiens Lov om beskyttelse af digitale personoplysninger (DPDPA) fastlægger klare retningslinjer for håndtering af personoplysninger, samtidig med at der lægges vægt på stærke beskyttelsesforanstaltninger for privatlivets fred.

Jurisdiktion og geografisk omfang

DPDPA gælder for alle enheder, der håndterer personoplysninger i Indien, uanset om de er indenlandske eller internationale. Den regulerer behandlingen af personoplysninger, der tilhører indiske statsborgere og endda udenlandske statsborgere, når deres data behandles i Indien i henhold til kontrakter med udenlandske enheder. Hvis din virksomhed opererer i Indien eller behandler data om indiske statsborgere, er overholdelse i bund og grund obligatorisk.

Loven har en territorial tilgang, hvilket betyder, at virksomheder med base uden for Indien også skal overholde reglerne, hvis de behandler personoplysninger om personer inden for Indiens grænser. Denne ekstraterritoriale rækkevidde gør det afgørende for globale virksomheder, der betjener indiske kunder eller opretholder partnerskaber i regionen, at prioritere overholdelse af reglerne. Kryptering og andre sikkerhedsforanstaltninger, som beskrevet nedenfor, spiller en central rolle i at opfylde disse krav.

Krypteringskrav

DPDPA-mandaterne "rimelige sikkerhedsforanstaltninger" for at beskytte personoplysninger. Disse omfatter kryptering, tilsløring, maskering eller brug af virtuelle tokens som grundlæggende foranstaltninger. Organisationer skal implementere disse tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre flere lag af sikkerhed for følsomme data.

Detaljerede adgangskontroller med regelmæssige loggennemgange er også påkrævet. Derudover skal virksomheder opretholde databackups for at sikre kontinuitet i tilfælde af datatab eller systemafbrydelser. For virksomheder, der bruger virksomhedshostingløsninger, robust kryptering er i overensstemmelse med DPDPA's strenge krav. Organisationer er forpligtet til at opbevare data og adgangslogfiler i mindst et år for at hjælpe med at opdage, undersøge og forebygge brud.

Anvendelsesmuligheder for Enterprise Storage

Virksomheders lagringssystemer skal overholde DPDPA's rammer ved at klassificere personoplysninger og definere deres behandlingskrav. Denne klassificering er afgørende for at opbygge effektive compliance-strategier.

Virksomheder skal også etablere klare kontrakter med databehandlere, der sikrer, at sikkerhedsforanstaltninger og -forpligtelser overholdes i hele behandlingskæden. Disse aftaler bør omfatte specifikke ansvarsområder og sikkerhedsforanstaltninger, der afspejler den primære databehandlers ansvarsområder. Formelle databehandleraftaler er et lovkrav i henhold til DPDPA.

"Virksomheder bør begynde at implementere proaktive compliance-strategier ved at investere i privatlivsfremmende teknologier, udføre regulatoriske risikovurderinger og implementere brugercentrerede datastyringsmodeller." – Mr. Gaurav Bhalla, partner, Ahlawat & Associates

Hændelsesresponsprocesser er et andet kritisk element. Organisationer skal være forberedte på at underrette Indiens databeskyttelsesråd (DPBI) og berørte personer i tilfælde af et brud. Et brud, som defineret af DPDPA, omfatter enhver uautoriseret adgang, utilsigtet videregivelse, misbrug, ændring, ødelæggelse eller tab af personoplysninger, der kompromitterer deres fortrolighed, integritet eller tilgængelighed. Disse krav er i overensstemmelse med bredere virksomhedsstrategier for compliance.

Sanktioner for manglende overholdelse

De økonomiske sanktioner for manglende overholdelse er høje, med bøder på op til ₹250 crore (omkring $30 millioner) eller 4% af den globale omsætningDisse sanktioner understreger vigtigheden af at overholde loven og implementere robuste sikkerhedsforanstaltninger.

Ud over bøder kan manglende overholdelse føre til omdømmeskade og tab af kundernes tillid til det indiske marked. For at afbøde disse risici bør virksomheder anvende en omfattende tilgang, herunder udpege en Databeskyttelsesrådgiver (DPO) baseret i Indien for at fungere som regulatorisk forbindelsesled. Automatiserede trusselsregistreringssystemer og skabeloner til notifikationer om brud kan også hjælpe med at sikre hurtige reaktioner på hændelser.

Regelmæssige sårbarhedsvurderinger og risikobaserede tekniske og organisatoriske foranstaltninger er afgørende. Virksomheder skal også evaluere potentielle begrænsninger for grænseoverskridende dataoverførsler og overveje muligheder som lokal dataspejling eller lagring for at forblive fuldt kompatibel. Forståelse og håndtering af disse krav er nøglen til at tilpasse virksomhedens lagringssystemer til både lokale og globale databeskyttelsesstandarder.

sbb-itb-59e1987

6. Lov om beskyttelse af personlige oplysninger (PIPL) – Kina

Kinas lov om beskyttelse af personlige oplysninger (PIPL) håndhæver strenge regler for databeskyttelse og kryptering og sætter en høj standard for overholdelse globalt.

Jurisdiktion og geografisk omfang

PIPL gælder for enhver organisation, der håndterer personoplysninger om enkeltpersoner i Kina. Dens rækkevidde rækker ud over Kinas grænser og påvirker både indenlandske og internationale virksomheder. Hvis en virksomhed indsamler, opbevarer, bruger eller behandler data, der tilhører enkeltpersoner i Kina – selv uden en fysisk tilstedeværelse i landet – skal den overholde den. Dette omfatter virksomheder, der leverer produkter eller tjenester til kinesiske brugere eller analyserer deres adfærd.

Når det kommer til grænseoverskridende dataoverførsler, pålægger loven strenge restriktioner. Virksomheder skal sikre, at enhver udenlandsk modtager af dataene overholder beskyttelsesstandarder svarende til dem i henhold til PIPL. Derudover skal virksomheder udpege en indenlandsk repræsentant i Kina til at føre tilsyn med overholdelsen og håndtere eventuelle juridiske forpligtelser.

Krypteringskrav

Kryptering er en hjørnesten i PIPL's tekniske sikkerhedsforanstaltninger. Organisationer skal følge Regler for kommerciel kryptering, som kræver brug af regeringsgodkendte krypteringsalgoritmer. Almindelige krypteringsstandarder som AES er ikke tilladt, medmindre de specifikt er certificeret af kinesiske myndigheder. Desuden skal alle krypterede følsomme data og krypteringsnøgler opbevares inden for Kinas grænser. For multinationale virksomheder skaber dette betydelige hindringer, da de er nødt til at tilpasse sig lokaliserede krypteringsalgoritmer og nøglehåndteringssystemer.

Anvendelsesmuligheder for Enterprise Storage

PIPL fastlægger også klare regler for lagring af virksomhedsdata i Kina. Personlige oplysninger skal generelt forblive i landet, medmindre strenge betingelser for grænseoverskridende overførsler er opfyldt. For at være på den sikre side klassificerer virksomheder ofte usikre data som "vigtige data", hvilket udløser yderligere sikkerhedsprotokoller, herunder avancerede krypteringskrav.

For at overholde reglerne skal virksomheder implementere foranstaltninger som kryptering og anonymisering for at beskytte personlige oplysninger mod brud, tyveri eller utilsigtet sletning. Rutinemæssige compliance-kontroller er afgørende, herunder revisioner af krypteringspraksis, verifikation af godkendte algoritmer og sikring af, at krypteringsnøgler forbliver inden for kinesisk jurisdiktion. I betragtning af kompleksiteten af disse krav er det afgørende at samarbejde med lokale juridiske og sikkerhedseksperter for at navigere i compliance-udfordringer.

Sanktioner for manglende overholdelse

Straffene for overtrædelse af PIPL er høje. Kinas cyberspaceadministration (CAC) håndhæver loven og kan pålægge betydelige bøder eller andre sanktioner. Mindre overtrædelser kan resultere i bøder på op til 1 million yuan (ca. 140.000 yuan), hvor de ansvarlige kan risikere bøder på mellem 10.000 og 100.000 yuan (ca. 1.500-1.500 yuan). Alvorlige overtrædelser kan føre til bøder på op til 50 millioner yuan (ca. 1.47,7 millioner yuan) eller 513 yuan af virksomhedens foregående års omsætning, alt efter hvad der er størst. Personer involveret i alvorlige overtrædelser kan risikere op til 7 års fængsel.

Nylige højprofilerede sager har vist, hvor strenge disse straffe kan være, med bøder og fængselsstraffe på flere millioner yuan. For at undgå sådanne konsekvenser skal virksomheder etablere robuste compliance-rammer, herunder regelmæssig overvågning, revisioner og procedurer for anmeldelse af databrud. Disse foranstaltninger er afgørende for at forblive på den rigtige side af dette strenge reguleringslandskab.

7. Lov om digital operationel robusthed (DORA) – Den Europæiske Union (finanssektoren)

Loven om digital operationel modstandsdygtighed (DORA) fastsætter strenge standarder for cybersikkerhed og operationel modstandsdygtighed for finansielle enheder, der opererer i Den Europæiske Union (EU). Formålet er at sikre, at den finansielle sektor effektivt kan modstå cybertrusler og -forstyrrelser.

Jurisdiktion og geografisk omfang

DORA gælder for en bred vifte af finansielle enheder i EU, herunder banker, investeringsselskaber, kreditinstitutter, udbydere af kryptoaktiver og crowdfundingplatforme. Den omfatter også tredjeparts-IKT-udbydere, selv dem, der er baseret uden for EU, så længe de betjener EU's finansielle institutioner. Dette omfatter essentielle tjenesteudbydere som kreditvurderingsbureauer og dataanalysefirmaer. Fra 2025 vil de europæiske tilsynsmyndigheder – ESMA, EBA og EIOPA – identificere kritiske tredjeparts-IKT-tjenesteudbydere med henblik på forbedret tilsyn. Mens mindre enheder kan drage fordel af forenklede overholdelseskrav, skal de fleste organisationer overholde forordningens fulde anvendelsesområde.

Krypteringskrav

DORA har en omfattende tilgang til datakryptering og kræver, at finansielle enheder sikrer data i tre stater: i hvile, under transport og i brugDette sidste krav, data-in-use-kryptering, er særligt bemærkelsesværdigt, da det ikke er bredt implementeret globalt.

Forordningen pålægger finansielle enheder at etablere IKT-sikkerhedspolitikker, der prioriterer tilgængeligheden, ægtheden, integriteten og fortroligheden af data. Dette omfatter design af risikobaserede krypteringsstrategier og regelmæssige vurderinger for at imødegå nye cybersikkerhedstrusler.

"Finansielle enheder skal udforme, anskaffe og implementere IKT-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der har til formål at sikre robusthed, kontinuitet og tilgængelighed af IKT-systemer, især for dem, der understøtter kritiske eller vigtige funktioner, og at opretholde høje standarder for tilgængelighed, ægthed, integritet og fortrolighed af data, uanset om de er inaktive, i brug eller under overførsel." – DORA, Art. 9.2

DORA opfordrer også finansielle enheder til at dele information om cybertrusler og sårbarheder inden for betroede netværk for at styrke modstandsdygtigheden på tværs af sektoren.

Anvendelsesmuligheder for Enterprise Storage

Reguleringen lægger stor vægt på virksomhedslagringssystemer, især for institutioner, der administrerer kritiske finansielle data. Organisationer skal sikre, at deres lagringsløsninger inkluderer robuste backupfunktioner, gendannelsesmekanismer og løbende overvågning af tredjepartsudbydere.

For eksempel skal virksomheder, der bruger Serverions hostingløsninger – såsom dedikerede servere, VPS eller colocation-tjenester – sikre, at disse systemer er i overensstemmelse med DORAs strenge sikkerheds- og robusthedskrav. Regelmæssige revisioner og automatiserede compliance-kontroller er afgørende for at opretholde overholdelse af forordningen. Disse foranstaltninger understreger vigtigheden af sikre lagrings- og gendannelsesstrategier på tværs af finanssektoren.

Sanktioner for manglende overholdelse

Manglende overholdelse af DORA kan resultere i store bøder. Finansielle institutioner kan blive pålagt bøder på op til 2% af deres samlede årlige globale omsætning eller 1% af deres gennemsnitlige daglige omsætningFor store organisationer kan dette betyde bøder på flere millioner dollars. Derudover omfatter specifikke sanktioner:

• Bøder op til $1,09 millioner for ledere og virksomheder.
• Kritiske tredjeparts IKT-leverandører kan blive pålagt bøder på op til $5,45 millioner for virksomheder eller $545,000 for enkeltpersoner.
• Cybersikkerhedsfejl kan føre til bøder på op til $2,18 millioner eller 2% af den årlige omsætning.
• Forsinket rapportering af hændelser kan resultere i bøder, der starter kl. $272,000.

"Selvom cybersikkerhed fortsat er en prioritet, er der behov for, at finansielle institutioner løfter ejerskabet over disse risici til et overordnet niveau. Mange finansielle institutioner (FI'er) forstår stadig ikke fuldt ud modellen med delt ansvar, da de fejlagtigt tror, at SaaS-tjenesternes robusthed udelukkende ligger hos leverandøren." – Wayne Scott, Regulatory Compliance Solutions Lead hos Escode

Pr. 17. januar 2025 anslår analytikere, at 99% af de relevante finansielle enheder ikke var forberedte på DORA-overholdelse. For at undgå disse alvorlige sanktioner skal organisationer prioritere kryptering, udføre regelmæssige cybersikkerhedsrevisioner, etablere dedikerede compliance-teams, uddanne ledere i deres juridiske ansvar og samarbejde med erfarne cybersikkerhedsudbydere for at sikre systemrobusthed og nøjagtig hændelsesrapportering.

Sammenligningstabel over datakrypteringslove

Lovgivningen om datakryptering varierer meget afhængigt af jurisdiktionen. Hver regulering griber krypteringskrav, sanktioner og håndhævelsesteknikker an på sin egen måde. Tabellen nedenfor fremhæver vigtige detaljer i disse love og giver et nyttigt grundlag for de compliance-strategier, der er dækket i senere afsnit.

Lov	Jurisdiktion	Krypteringskrav	Dækkede datastater	Maksimale straffe	Primære industrier
GDPR	Den Europæiske Union	"Passive tekniske foranstaltninger", herunder kryptering	I hvile, undervejs	20 millioner euro eller 41.300 tonna af den globale omsætning	Alle sektorer
CPRA	Californien, USA	"Rimelige sikkerhedsprocedurer"	I hvile, undervejs	$7.500 pr. forsætlig overtrædelse	Alle sektorer
LGPD	Brasilien	"Tekniske sikkerhedsforanstaltninger", herunder kryptering	I hvile, undervejs	2% af omsætningen, maks. ~$9,3 millioner	Alle sektorer
PIPEDA	Canada	"Passende sikkerhedsforanstaltninger"	I hvile, undervejs	N/A	Alle sektorer
DPDPA	Indien	"Rimelige sikkerhedspraksisser"	I hvile, undervejs	N/A	Alle sektorer
PIPL	Kina	"Tekniske foranstaltninger", herunder kryptering	I hvile, undervejs	N/A	Alle sektorer
DORA	EU (Finansiel)	Obligatorisk kryptering	I hvile, undervejs	N/A	Kun finansielle tjenester

Vigtigste forskelle i tilgang

Krypteringskravene varierer i hvor klart de er defineret. For eksempel kræver GDPR "passende tekniske foranstaltninger", der giver fleksibilitet i implementeringen. På den anden side kræver DORA eksplicit kryptering, især for finansielle tjenester. Denne sondring afspejler de varierende niveauer af specificitet, der er fastsat i forskellige reguleringer.

Den Europæiske Banktilsynsmyndighed tilbyder detaljeret vejledning til overholdelse af reglerne, hvori det fremgår:

"PSP'er bør sikre, at der anvendes sikker end-to-end-kryptering mellem de kommunikerende parter under hele den respektive kommunikationssession, når der udveksles følsomme data via internettet, for at beskytte dataenes fortrolighed og integritet ved hjælp af stærke og bredt anerkendte krypteringsteknikker."

Straffestrukturer

De økonomiske konsekvenser af manglende overholdelse varierer betydeligt. GDPR pålægger nogle af de højeste sanktioner, med bøder på op til 20 millioner euro eller 41.300 ton af den globale omsætning. I mellemtiden bruger CPRA en sanktionsmodel pr. overtrædelse, hvilket kan resultere i eskalerende bøder for gentagne overtrædelser. For andre regler er sanktionsdetaljerne mindre klart defineret, hvilket understreger behovet for at forstå lokale håndhævelsespraksisser.

Geografisk og branchemæssigt omfang

Mens de fleste regler gælder på tværs af alle brancher inden for deres jurisdiktioner, er DORA en undtagelse, der udelukkende fokuserer på finansielle tjenesteydelser. Denne målrettede tilgang afspejler den kritiske betydning af datasikkerhed i finansielle operationer. Interessant nok viste en undersøgelse foretaget af Sectigo, at 25% af europæiske banker stadig mangler Extended Validation. SSL-certifikater, der fremhæver de løbende udfordringer med at opfylde sikkerhedsstandarder.

Håndhævelsesvariationer

Håndhævelsesfilosofier er også forskellige. Nogle love giver fleksibilitet til at tilpasse sig udviklende teknologier, mens andre, som f.eks. DORA, giver strenge retningslinjer, såsom krav om sikker end-to-end-kryptering til udveksling af internetdata. Disse forskelle understreger vigtigheden af at skræddersy krypteringsstrategier til at stemme overens med specifikke lovgivningsmæssige krav.

For virksomheder, der opererer på tværs af flere jurisdiktioner, er det vigtigt at forstå disse nuancer. Uanset om du bruger dedikerede servere, VPS eller colocation-tjenester fra udbydere som Serverion, er det et afgørende skridt mod overholdelse at tilpasse krypteringspraksis til lokale love.

Hvordan virksomheder kan opfylde compliancekrav

For at overholde kravene til kryptering har virksomheder brug for mere end blot avancerede sikkerhedsværktøjer – de kræver et struktureret compliance-rammeværk. Dette involverer løbende overvågning, regelmæssige revisioner, grundig dokumentation og konsekvent håndhævelse af politikker. Sådan kan organisationer effektivt opfylde disse krav.

Etablering af regelmæssig revisionspraksis

Revisioner er rygraden i enhver compliance-strategi. Både interne og eksterne revisioner spiller en afgørende rolle. Interne revisioner udnytter organisationens dybe viden til at identificere potentielle huller, mens eksterne revisioner bringer et nyt, upartisk perspektiv, der kan afdække oversete sårbarheder. Sammen sikrer disse revisioner, at sikkerhedsforanstaltninger ikke kun implementeres, men forbliver effektive over tid.

Opbygning af stærke dokumentationssystemer

Klar og detaljeret dokumentation er afgørende for overholdelse af lovgivningen. Som Peter Schawacker, Cyber Staffing & Recruiting Business Innovator & Strategist og tidligere CISO, udtrykker det:

"En politik er den eksplicitte erklæring om ledelsens intentioner. Den er organisationens Nordstjerne. Uden den er det svært eller umuligt at opnå ensartethed. Og ansvarlighed bliver en meget vanskelig sag, hvis man overhovedet kan holde folk ansvarlige."

Organisationer skal dokumentere håndtering af krypteringsnøgler, datahåndteringsprotokoller og planer for håndtering af incidenter. Korrekt vedligeholdte planer for håndtering af incidenter kan for eksempel reducere nedetid betydeligt og afbøde virkningen af brud. Dette er især vigtigt, da de globale omkostninger til cyberkriminalitet forventes at nå 14000 milliarder kroner årligt inden 2025.

Håndhævelse af politikker konsekvent

Konsistens i håndhævelsen af politikker er nøglen til at undgå mangler i overholdelse af regler. Inddragelse af medarbejdere på tværs af forskellige afdelinger i politikudvikling sikrer, at retningslinjerne er praktiske og relevante. Regelmæssige opdateringer af disse politikker hjælper organisationer med at holde sig opdateret på udviklende trusler og lovgivningsmæssige ændringer, hvilket gør overholdelse til en kontinuerlig proces snarere end en engangsindsats.

Valg af den rigtige infrastruktur

Den rette infrastruktur kan gøre overholdelse af regler og standarder mere håndterbar. Hostingudbydere med indbyggede sikkerhedsfunktioner, såsom DDoS-beskyttelse, SSL-certifikater og sikker datacenterdrift, tilbyder et stærkt fundament. For eksempel understøtter Serverions globale infrastruktur overholdelse af deres robuste sikkerhedspraksis og muligheder for dataopbevaring, hvilket gør det lettere for virksomheder at opfylde lovgivningsmæssige standarder.

Træning og integration af sikkerhed i kulturen

Regelmæssige træningsprogrammer sikrer, at medarbejderne forstår deres rolle i at opretholde krypteringsstandarder og overholdelse af regler. Ved at fremme en kultur, hvor sikkerhed er et fælles ansvar, kan organisationer skabe et miljø, hvor overholdelse af regler bliver en anden natur.

Løbende overvågning og forbedring

Løbende overvågning er afgørende, efterhånden som både systemer og cybertrusler udvikler sig. Dette omfatter gennemgang af adgangskontroller, administration af rotationer af krypteringsnøgler og fornyelse af sikkerhedscertifikater. Automatiserede værktøjer kan markere potentielle compliance-problemer i realtid, hvilket gør det muligt for teams at træffe hurtige korrigerende foranstaltninger og løbende styrke deres sikkerhedsstilling.

Konklusion

At navigere i globale datakrypteringslove handler ikke kun om at sætte kryds i juridiske afkrydsningsfelter – det er et afgørende skridt i at beskytte din virksomhed mod massive økonomiske tab og omdømmeskader. Tallene siger meget: virksomheder kan tabe op til 25% af deres markedsandel efter et cyberangreb, og omkostningerne ved manglende overholdelse er svimlende 2,71 gange højere end de udgifter, der kræves for at overholde reglerne. Hvis det ikke understreger, hvor vigtigt det er, vil intet gøre det.

Regulatorer fordobler deres håndhævelse, og konsekvenserne af at ikke håndhæve reglerne er hårdere end nogensinde. Nylige sager fremhæver den høje pris for forsømmelse. Tag for eksempel Solara Medical Supplies – efter at have afsløret følsomme sundhedsdata for over 114.000 personer, stod de over for en $3 millioner bøde i januar 2025. Denne sag er en tankevækkende påmindelse om, at det ikke sparer penge at overholde reglerne; det koster langt mere i det lange løb.

Advokat Joan Wrabetz udtrykker det perfekt: privatlivets fred er gået fra at være et rent juridisk krav til at blive et central forretningsstrategi, hvor kryptering nu fungerer som en vigtig differentiator for markedsledere.

For at afbøde disse risici er virksomheder nødt til at handle nu ved at investere i sikre infrastrukturer. Det betyder samarbejde med hostingudbydere der leverer indbyggede sikkerhedsfunktioner som f.eks. DDoS beskyttelse, SSL-certifikaterog sikre datacentre med global dækning. For eksempel tilbyder Serverion robuste sikkerhedsforanstaltninger og fleksible muligheder for dataopbevaring, der hjælper virksomheder med at opfylde komplekse lovgivningsmæssige krav uden at gå på kompromis med driftseffektiviteten.

Efterhånden som regeringer håndhæver strengere regler for databeskyttelse, vil organisationer, der prioriterer kryptering og sikre lagringsløsninger, positionere sig som førende i dagens digitale økonomi.

Ofte stillede spørgsmål

Hvordan adskiller datakrypteringskravene i GDPR og CPRA sig?

De Den generelle forordning om databeskyttelse (GDPR) og den Californiens lov om privatlivsrettigheder (CPRA) anvende forskellige tilgange, når det kommer til datakryptering og deres overordnede fokus. GDPR pålægger strengere krav og pålægger organisationer at implementere tekniske og organisatoriske foranstaltninger, ligesom kryptering, for at beskytte personoplysninger og forhindre brud. Dens anvendelsesområde er bredt og dækker alle personoplysninger om EU-borgere, og den understreger en proaktiv holdning til datasikkerhed.

I modsætning hertil hælder CPRA mere mod forbrugerrettigheder og gennemsigtighed for indbyggere i Californien. Selvom det opfordrer til kryptering som god praksis, gør det det ikke til et strengt krav. I stedet fokuserer CPRA i høj grad på anmeldelse af brud og håndtering af risici efter en hændelse, snarere end at håndhæve strenge forebyggende foranstaltninger. Disse forskelle fremhæver kerneprioriteterne i hver regulering – GDPR sigter mod robust databeskyttelse, mens CPRA prioriterer forbrugerkontrol og ansvarlighed efter brud.

Hvilke skridt bør virksomheder tage for at sikre, at deres krypteringsmetoder overholder internationale databeskyttelseslove?

For at overholde internationale databeskyttelseslove skal virksomheder implementere stærke krypteringsstandarderTil symmetrisk kryptering er AES-256 et pålideligt valg, mens RSA med 2048-bit eller større nøgler fungerer godt til asymmetrisk kryptering. Lige så vigtigt er administration af krypteringsnøgler, hvilket involverer sikker generering, opbevaring, distribution og tilbagekaldelse af nøgler for at forhindre uautoriseret adgang.

Det er også afgørende at holde sig opdateret om specifikke juridiske rammer, såsom GDPR, som fremhæver sikker databehandling og anerkender kryptering som en vital teknisk sikkerhedsforanstaltning. Regelmæssig gennemgang og opdatering af krypteringsprotokoller i overensstemmelse med nuværende branchepraksis sikrer, at virksomheder forbliver kompatible på tværs af forskellige regioner. Fokus på sikkerhed og fleksibilitet er nøglen til at holde trit med det stadigt skiftende landskab af databeskyttelsesregler.

Hvad er risiciene for virksomheder, der ikke overholder datakrypteringslove som DORA og PIPL?

Manglende overholdelse af datakrypteringslove som f.eks. DORA og PIPL kan føre til alvorlige konsekvenser for virksomheder. For eksempel kan virksomheder under DORA blive pålagt bøder på op til 21 TP3T af deres globale årlige omsætning. Tilsvarende kan overtrædelser af PIPL resultere i bøder på op til ¥50 millioner (ca. 1 TP47,2 millioner) eller 51 TP3T af den årlige indkomst.

Men konsekvenserne stopper ikke ved økonomiske sanktioner. Virksomheder kan også håndtere retssager, suspendering af licenser og driftsforstyrrelser, som alle kan underminere deres økonomiske sundhed og plette deres omdømme. At overholde reglerne handler ikke kun om at undgå disse risici – det er også en måde at styrke tilliden hos kunder og partnere ved at vise et stærkt engagement i at beskytte data.

Relaterede blogindlæg

• Hvordan end-to-end-kryptering beskytter virksomhedsdata
• End-to-end-kryptering til Enterprise Storage
• Udfordringer ved end-to-end-kryptering i virksomhedshosting
• Bedste praksis for grænseoverskridende datalagring