GDPR – Hur påverkar GDPR ditt företag?

0

Det nya datadirektivet från EU som ersätter PUL

Den nya lagen General Data Protection Regulation (GDPR) är till för att stärka skyddet för individen genom att ställa högre krav på den som registrerar eller behandlar personuppgifter. Något som väldigt många organisationer gör. Lagen träder i kraft under maj 2018 och det är en produkt från byråkrater i Bryssel för att kunna göra det enklare för advokatnissarna att diskutera i rättsalen kring privata frågor på nätet.
Organisationer som inte följer EU:s nya personuppgiftslag, kan få dryga böter med upp till fyra procent av bolagets globala omsättning. GDPR väcker åter liv i frågan om din organisation är tillräckligt väl skyddad?

Hur påverkas min organisations arbete med GDPR?

Kraven som kommer med GDPR rör ju inte direkt IT-säkerhet – men tveklöst indirekt. Bristande säkerhet är nästan alltid bakgrunden till läckage av personliga uppgifter. Historien radar upp exempel på läckage av personuppgifter där olika brister i säkerheten utnyttjats.

GDPR börjar gälla den 25:e maj 2018 och fram tills dess måste du utse en ansvarig för personuppgifter och dataskydd. Man behöver även dokumenterara alla personregister och kontrollera om de följer lagstiftningen. Alla register måste beskrivas och du behöver även ha en integritetspolicy.

Vad behöver göras för att följa GDPR

  • Ha en ansvarig för register
  • Dokumentera alla person register
  • Kontrollera behörigeter
  • Se till att det finns samtycken
  • Skapa rutiner för hur man sköter registren som gallring och radering av backuper
  • Incidenthantering

Skyldighet att rapportera incidenter

Med GDPR ställs krav vid säkerhetsincidenter. Ett praktiskt exempel är en hackare tar över kontrollen över en webbserver via en säkerhetsbrist i en publik webbapplikation. Därifrån kan hackaren ta sig vidare in i en databasserver där personuppgifter finns lagrade. Bristande säkerhet blir således anledningen till ett allvarligt läckage av personuppgifter som kan ge dryga böter och som dessutom riskerar skada organisationens verksamhet i stort.

Genom en lagstadgad incidentrapportering blir det svårare ”att flyga under radarn” när det uppstått en läcka. Att inte rapportera in till myndigheterna att du blivit hackad och läckt personuppgifter kommer ses som mycket allvarligt.

Att arbeta med IT-säkerhet är knappast något nytt för din organisation. Du arbetar idag mer eller mindre aktivt inom området beroende på resurser, kompetens och budget. Ni har brandväggar, antivirus och andra vanliga säkerhetsfunktioner. Men hur stärker ni upp säkerheten inför GDPR? Ett område som fler och fler organisationer nu uppmärksammar är sårbarhetsanalyser. Analysen gör tester, precis såsom en hackare, och ger dessutom en övergripande förståelse för säkerheten i hela IT-miljön. Mindre än en tredjedel av alla organisationer gör sårbarhetsanalyser och idag och det är än färre som gör det kontinuerligt eller automatiserat. Det uppstår drygt 20 nya sårbarheter i mjukvaror såsom Windows varje dag, vilket ger drygt 7 000 nya sårbarheter på ett år.

Automatiserade sårbarhetsanalyser ger er organisation kontinuerligt oberoende analyser, vilka ger er insikt och förståelse över säkerhetsläget i hela er IT-miljö. Och då inte minst i de system som lagrar personuppgifter. Dessutom tillför sårbarhetsanalyser en dimension av strukturerat och samordnat säkerhetsarbete som GDPR indirekt ställer krav på och som idag saknas i många organisationer. Genom att göra sårbarhetsanalyser blir det också enklare att kommunicera säkerhetsläget med nyckelpersoner i organisationen som kanske inte har någon djupare IT-kompetens, såsom VD och styrelse.

Det finns en rad produkter på marknaden för att göra sårbarhetsanalyser. En svenska aktör på frammarsch är Holm Security. De har valt att erbjuda en molntjänst som också är en komplett plattform. Historiskt har en problematik generellt inom området har varit att leverantörernas paketering, prissättning och användarvänlighet varit knepig. Holm Security har satsat på enkelhet och en rimlig prislapp, för att flera ska kunna öka sin säkerhet inför GDPR.

Konsultbolag som PwC jobbar också med GDPR och guidar dig genom hela processen att implementera GDPR:s regelverk för flera organisationer.

Låt oss kolla mer på GDPR och vad det innebär

Hantering av personuppgifter

Den nya lagen är omfattande och täcker in allt från hur information om insamling av persondata skall presenteras på ett tydligt sätt för individer till hur personuppgifter skall skyddas tekniskt. Lagen fastslår ett flertal rättigheter för den registrerade, alltså själv användaren. Här följer några av huvudpunkterna.

  • Tjänster som går att likna vid sociala medier skall kräva målsmans godkännande om barnet är under 16 år.
  • Rättigheten till att kunna få ut sin information på ett strukturerat, standardiserat och lättolkat sätt.
  • Organisationer måste hantera inkomna förfrågningar gällande individers rättigheter inom en månad.
  • Rättigheten till att kunna få ut information om vilken information som blivit insamlad om den registrerade, vad syftet med insamlingen är, vilka entiteter som tagit del av informationen, hur länge informationen skall lagras och vilka övriga rättigheter den registrerade har.
  • Rättigheten till att få sina personuppgifter raderade när t.ex. lagringsperioden gått ut eller om den registrerade inte längre ger sitt samtycke till informationsinsamlingen.
  • Rättigheten till att motsätta sig eller fastslå restriktioner kopplat till insamlingen eller behandlingen av personuppgifter, t.ex. i direktmarknadsföringssyften.
  • Rättigheten till att få felaktig information korrigerad.

Liknande artiklar:

Om författaren

Jag heter Daniel Larsson och Cybersecurity och datasäkerhet är ett stort intresseområde. Under åren har jag marknadsfört säkerhetsbolag inom områden som PKI, certifikat, digital signering, mobil säkerhet och kryptering. Jag har tung erfarenhet av digital marknadsföring, webbutveckling och e-handel från flera av sveriges största varumärken.