Förbered dig för dataskyddsförordningen

Martin Liljenberg Blogg, GDPR, Säkerhet och Efterlevnad

GDPR eller dataskyddsförordningen är den största förändringen gällande hantering av personuppgifter på 20 år och är något som vi alla måste förhålla oss till.

Till skillnad mot tidigare personuppgiftslagar är den inte tandlös utan dryga böter väntar de organisationer som inte följer förordningen. Detta innebär att alla företag som på ett eller annat sätt hanterar personuppgifter måste förbereda- och anpassa sig för att vara redo när lagen träder i kraft den 25:e Maj 2018.
För att möta de nya krav som ställs innebär det en kostnad, precis som allt annat som är tvingande och nödvändigt utan att omedelbart ge affärsnytta. Att vara förbered kommer dessutom på sikt vara en nödvändighet för alla organisationer då de partners och kunder som man gör affärer med kommer att kräva det. Anpassningen kommer att kosta för alla, men betydligt mindre för nuvarande – och framtida kunder till WeSafe. Den strategi och de lösningar vi implementerar gör att våra kunder ligger i framkant, steget före konkurrenter som valt att hosta sin egen IT eller outsourcat till traditionella hostingföretag.

Dataskyddsförordningen är i korthet ett nytt regelverk för behandling av personuppgifter som träder i kraft i Maj 2018.

Dataskyddsförordningen är den största förändringen gällande hantering av personuppgifter på 20 år och är något vi alla måste förhålla oss till. Utmaningarna är många, men för den som agerar i tid finns även möjligheter. Vi tror att morgondagens vinnare är de företag som skapar konkurrensfördelar genom att visa compliance och transparens gentemot GDPR. Detta kräver aktiva val och att man agerar proaktivt för att göra de anpassningar och förändringar som krävs, och i det arbetet tar till vara möjligheterna genom att identifiera ineffektivitet och otydlighet i befintliga processer.

GDPR som skrämselpropaganda

Lagen skiljer sig på flera punkter gentemot befintlig personuppgiftslagstiftning. Störst skillnad ligger i påföljd vid regelbrott, upp till 20 miljoner Euro eller 4% av global årlig omsättning.
Då lagen gäller alla företag och organisationer som på ett eller annat sätt behandlar personuppgifter innebär det en stor omställning i processer och hantering av data. Om ni som organisation behandlar eller lagrar personuppgifter, vilket i princip alla organisationer gör i någon form, måste ni anpassa och kunna påvisa att ni följer dataskyddsförordningen. Alla uppgifter som kan kopplas till person räknas som en personuppgift.
En personuppgift kan bland annat vara:

  • namn
  • personnummer
  • fotografi
  • ljudinspelning
  • telefonnummer
  • registreringsnummer
  • diarienummer
  • IP-adress

Om din organisation lagrar denna typ av data är det hög tid att påbörja arbetet att anpassa sig till dataskyddsförordningen.
IT-systemen som används är en viktig del i att kunna efterleva lagen. Glädjande för de som valt eller är på väg att välja molntjänster från Microsoft är att ni får tillgång till alla verktyg som behövs för att efterfölja lagen, verktyg som är oerhört dyra att internutveckla och efterleva för traditionella hostingbolag. Det krävs dock förberedelse från er som organisation, vi som molntjänstspecialist hjälper er att anpassa systemen så ni kan efterleva lagen.

Var börjar jag?
  • Identifiera vilken personda
    ta ni har och var den finns
  • Bestäm vilken persondata som skall finnas, var den skall finnas och hur åtkomst styrs.
  • Säkerställ hur du skyddar och hanterar eventuellt dataläckage
  • Dokumentera, rapportera och uppdatera processerna för personuppgiftshantering
Upptäck och inventera

För att ha kontroll över er personliga data, måste ni först ta reda på vilken personlig data ni har och var den finns. Ni måste enligt lag kunna ändra och radera data på begäran, en omöjlighet om ni inte vet vilken data som finns eller var den finns.

Hur ser det ut för er idag, var lagrar ni personlig data? I affärssystemet? I dokument? Mail? Chatprogram? På mobila enheter? På era servrar? På medarbetarnas datorer? Backupband?

Många organisationer har dåligt kontroll över var data lagras och har inte möjlighet att identifiera var den finns, detta gör det omöjligt att garantera eller påvisa radering av data vid behov.

Hur hittar man exempelvis personlig data i användares hemkataloger? Används så kallad skugg IT, dvs lagras företagsdata i tjänster utanför organisationens kontroll? Hur hittar ni data som ligger på en server? Lagras mail, chatt eller liknande utanför systemen där det inte går att söka och hitta data?

Här hjälper molntjänster som Office 365 verkligen till, med policy och strategi att lagra dokument, mail och chatt inom Office 365 säkerställer ni som organisation kontroll över var persondata ligger. Det finns verktyg i Office 365 som söker och upptäcker persondata, exempelvis med Office 365 E-Discovery.

Vi hjälper våra kunder med råd och konfiguration av bland annat Office 365 och Microsoft Azure för att möta de regulatoriska kraven som ställs. Verktygen är tillgängliga för att börja direkt.

Hantera personlig data

När den personliga datan som ni hanterar är identifierad och beslut tagits vilken data som får lagras och var den skall lagras, kommer nästa steg vilket är att hantera datan. Hur länge skall den förvaras? Hur gör ni ändringar i datan? Hur ändrar och raderar ni data?

Er organisation måste kunna visa var datan finns och hur ni hanterar ändringar. Ni är exempelvis tvungna att på begäran från personen som ni har personuppgifter på, redovisa vilken data ni har och göra ändringar eller radering på begäran. Det är viktigt att ni får in processer för hur ni gör detta rent praktiskt vilket blir näst intill omöjligt i traditionella miljöer eller hos tredjepartsleverantörer som inte har processerna på plats.

Om man exempelvis skall radera ett namn från sina system och detta namn finns i dokument, email samt backuper av desamma hur säkerställer man detta? Man måste först identifiera var datan finns, radera email och dokument där den förekommer men även radera datan från era backuper.

Backuper tillåter normalt sett inte att en specifik post raderas utan att radera hela backupen. Backupband är exempelvis en teknologi som inte tillåter detta utan att radera hela backupen. Hur säkerställer ni detta om ni har egna backuper eller den sköts av tredjepart? Det är en fråga ni måste ställa er själva eller er partner.

Med Microsofts molntjänster som exempelvis Office 365 garanterar Microsoft att de följer dataskyddsförordningen när det gäller raderad eller ändrad data. Om datan lagras i Office 365 eller Azure, vare sig det är mail, chatt, affärssystem eller dokument så finns det verktyg att upptäcka och säkerställa att man följer dataskyddsförordningen, få eller inga andra system ger er samma möjligheter.

WeSafe kan hjälpa er att säkerställa att systemet är konfigurerat för att hantera datan.

Skydda personlig data

Centralt i dataskyddsförordningen är också att personlig data måste skyddas. Incidenter som kan innebära att data fallit i fel händer eller intrång gjorts i systemen måste dokumenteras och rapporteras.

Detta är också ett område som är svårt att hantera, för att veta om data spridits eller åtkomst beretts till obehöriga måste loggning finnas på plats internt. För att upptäcka försök till intrång utifrån krävs skydd samt övervakning.

Loggar ni idag åtkomst till data? Tillåter era interna system eller er tredjepartsleverantör att detta görs? Finns möjligheten?

Återigen hjälper tjänster som Office 365 och Azure er organisation att efterleva dessa krav. I Office 365 kan loggning av åtkomst till data slås på exempelvis, för Exchange finns ”advance threat protection” som hjälper er att skydda persondata i era e-mailsystem. Det finns andra funktioner och fler införs innan lagen träder i kraft för att hjälpa er organisation att följa dessa krav.

När er organisation har kommit så här långt är era IT-system väldigt väl förberedda för dataskyddsförordningen. Ni befinner er då i en underhållsfas där det handlar om att kontinuerligt underhålla och uppdatera processer och system för att säkerställa att dataskyddsförordningen upprätthålls.

Share this Post




Image Boka plats på GDPR seminarium Läs fler bloggposter
Skrivet av

Martin Liljenberg

Affärsutveckling, 040 – 626 75 03, martinliljenberg@wesafe.se, LinkedIn

Läs fler bloggposter