D-mærket er Danmarks nye mærkningsordning for it-sikkerhed og ansvarlig dataanvendelse.

D-Mærket er en ny mærkningsordning der skal tydeliggøre hvilke virksomheder, der udviser digital ansvarlighed og giver dermed både forretningsværdi til virksomhederne, tryghed til forbrugerne og skaber et stærkere digitalt Danmark.

D-mærket er relevant for alle typer af virksomheder og guider virksomhederne til nemmere at få overblik over, hvad de skal leve op til. Kriterierne for D-mærket er baseret på anerkendte, internationale rammeværker fra europæiske og nationale råd, udvalg og arbejdsgrupper.


Industriens Fond står bag D-mærket i samarbejde med

  • Dansk Industri
  • Dansk Erhverv
  • SMVdanmark og
  • Forbrugerrådet Tænk.

D-mærket støttes af Erhvervsstyrelsen og er en uafhængig privat organisation.

For at sikre virksomhedsforankring består styregruppen, udover Dansk Industri, Dansk Erhverv, SMVdanmark og Forbrugerrådet Tænk, af udpegede virksomhedsrepræsentanter samt observatører fra Industriens Fond og Erhvervsstyrelsen.

For de mindste virksomheder med 0-9 ansatte og en omsætning på under 8 mio kr, stilles der krav om ledelsesforankring, awareness og teknisk it-sikkerhed, mens større virksomheder får stillet flere krav, fx krav om leverandørers it-sikkerhed, transparens og kontrol med data, privacy og security by design, pålidelige algoritmer og AI og efterlevelse af dataetiske principper, Dette afhængigt af, hvilken gruppe virksomheden tilhører. Der er i alt fire grupper.

Prisen for mærket er også afhængig af mængden af kriterier. De mindste betaler 2800 kr om året for mærket, mens de største skal betale 52.250 kr. Mærket baserer sig på, at virksomhederne indplaceres i en gruppe, hvorefter de får tildelt et sæt af kriterier med krav på baggrund af virksomhedsgruppe og brug af data og it. Disse kriterier skal virksomheden selvevaluere sig op imod, hvorefter de kan ansøge om mærket. Hvis virksomhederne svarer tilfredsstillende og kan dokumentere efterlevelsen af kravene, får de tildelt mærket for et år ad gangen, dvs. at virksomhederne skal gennemgå processen en gang om året for at have mærket.

D-mærket tilpasses den enkelte virksomhed, så en mindre virksomhed f.eks. en låsesmed ikke skal leve op til de samme antal kriterier, som en stor it-virksomhed.

Antallet af kriterier, som en virksomhed skal leve op til, afhænger af virksomhedens størrelse, forretningsmodel, brug af data, it og dets indflydelse på mennesker.

D-mærket har nedenstående virksomhedsgrupper, der afspejler de risici og den kompleksitet, som virksomheden står overfor.

  1. Gruppe I: Lille virksomhed med få ansatte (1 til 9) eller enkeltmandsvirksomhed med mindre omsætning (op til 7,9 millioner), f.eks. frisør, håndværker eller lignende.
  2. Gruppe II: Mindre virksomhed der typisk har tocifret antal ansatte (10 til 49) samt en to til trecifret millionomsætning (8 til 155,9 millioner). Denne virksomhedstype kan opbevare eller behandle særlige kategorier af personoplysninger, f.eks. lægepraksis, tømrervirksomhed eller mindre it-firmaer.
  3. Gruppe III: Mellemstor virksomhed med mange ansatte (50 til 249) og trecifret millionomsætning (156 til 313 millioner). Denne virksomhedstype vil altid behandle personoplysninger, f.eks. mindre pensionsselskaber, produktionsvirksomheder eller lign.
  4. Gruppe IV: Stor virksomhed med trecifret millionomsætning (313 millioner og op) samt mange ansatte (250+).  Behandler typisk store mængder almindelige og følsomme personoplysninger, f.eks. børsnoterede virksomheder.

Hvilken gruppe tilhører din virksomhed?

Antallet af kriterier og krav som virksomheden skal leve op til afhænger af virksomhedsgruppen, men alle virksomheder skal som minimum leve op til kriterie 1, 2, 3 og 5.

Kriterier for indplacering i gruppeGruppe IGruppe IIGruppe IIIGruppe IV
Antal ansatte0.910-4950-249250+
Nettoomsætning (mio. DKK)0-7,98-155,9156-313≥ 313
Leverandør af software eller it-tjenesterNejNejJaJa
Behandler særlige kategorier af personoplysninger (fx helbredsoplysninger, race, sexualitet)NejJaJaJa

Eksempel

Hvis virksomheden har to ansatte, men har en omsætning over DKK 8 mio., tilhører virksomheden Gruppe II. Hvis virksomheden samtidig er leverandør af software eller it-tjenester, tilhører den Gruppe III.

Kriterie 4, 6, 7, og 8 gør sig kun gældende for bestemte virksomheder. Det gælder nedenstående:

  • Kriterie 4: Krav til leverandørers it-sikkerhed og ansvarlige dataanvendelse skal besvares, hvis virksomheden anvender leverandører til behandling af personoplysninger og/eller forretningskritiske data.
  • Kriterie 6: Privacy & Security by Design & Default skal besvares, hvis virksomheden udvikler software.
  • Kriterie 7: Pålidelige algoritmer & AI skal besvares, hvis virksomheden anvender eller udvikler algoritmer eller AI.
  • Kriterie 8: Dataetik gælder hovedsageligt for Gruppe II til IV og skal kun i særlige tilfælde besvares af Gruppe I.

Bliv D-mærket

Ønsker du at din virksomhed opnår D-Mærket kan du henvende dig til Henning Sand Sørensen eller Michael Rasmussen på telefon 31971111. Begge kan tjekke om du er prækvalificeret. Kilde: https://d-maerket.dk/