Har du plan för ny lag om dataskydd?
Svenska organisationer blundar för riskerna med EU:s nya allmänna dataskyddsförordning, European Union’s new General Data Protection Regulation (GDPR). De sticker huvudet i sanden och riskerar viten och tappat förtroende. Det skriver Thomas Weimer, Dell EMC Sverige, i denna debattartikel.
Den 25 maj 2018 införs EU:s nya allmänna dataskyddsförordning, GDPR, som bland annat ersätter vår svenska PUL. Den nya förordningen innehåller en mängd regler kring vilka data som får samlas in, hur samtycke ska inhämtas och när data ska raderas. Den organisation som bryter mot dessa regler drabbas av bötesbelopp på upp till fyra procent av omsättningen upp till 20 miljoner Euro. Men kanske än mer kännbart är det man tappar i förtroende från allmänheten om man inte hanterar deras personliga data på rätt sätt.
Detta till trots är det få organisationer som verkar bry sig om GDPR. I en global undersökning har Dell visat att organisationer saknar förståelse för de nya kraven såväl som kunskap kring hur de ska förbereda sig för de nya reglerna. Dessutom har man en bristande förståelse för hur det påverkar verksamheten både ekonomiskt, säkerhets- och förtroendemässigt.
Än värre är det när man bara ser till de svenska organisationerna i undersökningen. Inte en enda av de tillfrågade har en plan för GDPR, och endast en av fyra säger sig jobba på en sådan plan.
Dags börja anpassa
Det är dags för alla organisationer att prata om GDPR och börja anpassa verksamheterna därefter. Maj 2018 låter långt bort och det är mänskligt att sticka huvudet i sanden kring något jobbigt som kommer att hända i framtiden. Men det är bara 18 månader kvar och det är faktiskt inte så komplicerat att det är befogat att sticka huvudet i sanden. Alla svenska företag förhåller sig redan till PUL och GDPR kommer alltså ersätta den nuvarande lagstiftningen på området.
Dock krävs det att man tar de nya direktiven på allvar, och att man börjar i tid då de förändringar som krävs inte görs i en handvändning. Det finns några konkreta saker som varje svensk organisation bör ta tag i omedelbart:
- Anställ ett dataskyddsombud. Detta är en roll som kan fyllas av en heltidsanställd, av en anställd med andra ansvarsområden eller med hjälp av en outsourcad byrå. Det behövs en dedikerad roll för dataskyddsfrågor.
- Säker accesshantering. Att ha kontroll över vilka applikationer som har tillgång till personlig information om EU-medborgare – framförallt ostrukturerad data – är en viktig del av datasäkerhet och regelefterlevnad gällande GDPR.
- Kontrollera åtkomsthanteringen. För att kunna följa GDPR måste medarbetare och andra uppdragstagare ha rätt åtkomstbehörigheter att göra just sina jobb – varken mer eller mindre.
- Skaffa skalskydd. Använd uppdaterade brandväggar för att minska nätverkets exponering mot cyberhot samtidigt som ni minskar risken för dataläckage som kan leda till ett dataintrång.
- Säkra mobila åtkomster. Säkra dataskyddet utan att sätta käppar i hjulen för medarbetarnas möjlighet till ett rörligt arbetssätt, genom att låta dem ha tillgång till organisationens applikationer var än de befinner sig, på de enheter de själva väljer.
- Se till att ha fullt e-postskydd. Detta är viktigt för att kunna uppfylla GDPR-kraven och skapa full kontroll och överblick över e-postaktiviteterna och på så sätt att minska risken för phishing och andra e-postbaserade attacker mot skyddad data, samtidigt som man försäkrar sig om att man uppfyller kraven för säker hantering av känsliga och konfidentiella uppgifter.