Nu eller aldrig: Bli inte omsprungen på vägen till GDPR-efterlevnad

[KRÖNIKA] Företag i hela Europa jobbar för fullt för att säkerställa att de uppfyller alla krav på GDPR-efterlevnad när den nya dataskyddsförordningen införs den 25 maj.

Från och med då får vi som konsumenter bättre kontroll över hur vår personliga information används och samtidigt ställs högre krav på hur företag skyddar och säkrar kunddata.

De som inte uppfyller dessa krav riskerar höga böter och kommer sannolikt att hållas ansvariga för minsta missbruk av kundinformation, vilket kan innebära dåligt rykte samt att kunderna väljer en konkurrent istället.

Lagen införs om drygt en månad och de flesta företag jobbar nu febrilt för att se till att deras kunddata är skyddad i enlighet med de nya kraven.

Samtidigt visar undersökningar att bara fyra av tio svenska småföretagare har satt sig in i vad EU:s nya dataskyddsförordning GDPR innebär, och endast 13 procent har vidtagit några konkreta åtgärder.

På EU-nivå är det bara 5 procent av företagen som anser sig vara helt förberedda i enlighet med alla GDPR-krav. Risken är alltså stor att företag lämnas vind för våg ju närmare deadline vi kommer.

Så, vilka är de ömma punkterna för företag och hur kan de se till att uppfylla alla krav i tid?

Hantering av data

GDPR ställer stränga krav på hur personlig information hanteras. En av de viktigaste faktorerna för att uppnå efterlevnad är därför möjligheten att länka samman alla enheter där informationen hanteras. Detta omfattar hantering av olika dataflöden – från diverse äldre backendsystem till mobiler och IoT-enheter – och att datan hålls ren.

Företag står inför dilemmat att antingen uppgradera sina gamla mjukvarulösningar, eller att börja om från början med en helt ny IT-infrastruktur som uppfyller alla GDPR-krav. Här kan ett välutformat mobilhanteringssystem säkerställa att all data på varje enhet är tillräckligt krypterad, blockera otillåten åtkomst till företagstjänster samt installera ett lämpligt dataskydd.

Överträdelser får konsekvenser

Förutom höga böter bör företag som bryter mot lagstiftningen förbereda sig på omfattande rapportering och eventuella stopp i produktionen eller i systemtillgång.

Beroende på hur allvarligt övertrampet är, kommer företag att behöva lägga mycket tid – och resurser – på att ta fram olika typer av valideringsrapporter, vilket kan få en enorm inverkan på produktionen, särskilt för mindre företag där tiden är knapp. Även här kan ett mobilhanteringssystem spela en viktig roll för att samla in lämpliga loggar gällande inventering, användning och revision. Dessa kan stödja en snabb svarsprocess om en dataläcka uppstår, samt agera bevis för att kraven på efterlevnad har uppfyllts.

Risken för klagomål från allmänheten till följd av felaktig hantering av data är också stor. Nu när konsumenter blir mer uppmärksamma på hur deras personliga data hanteras, blir påverkan också större för de företag som inte följer det nya regelverket och riskerar att ”hängas ut” som ett resultat.

Kombinationen av dessa faktorer innebär att företag riskerar att drabbas av mer än bara en engångsbot. De behöver kunna hantera både de långsiktiga och kortsiktiga konsekvenserna som uppstår till följd av ett glapp i GDPR-efterlevnaden.

Bygga upp tillit

Trots att det ofta är de negativa konsekvenserna av GDPR som lyfts fram i media, så innebär den nya lagstiftningen en hel del fördelar. Bland de viktigaste är faktumet att företag nu kan bygga upp tilliten hos nuvarande och presumtiva kunder genom att vara transparenta och tydliga med att de följer GDPR-kraven.

Ett av de största problemen gällande att skydda data är att vi som kunder ofta har dålig insyn i hur vår personliga information används, vem som har tillgång till den, och hur väl den skyddas. Detta kan snabbt medföra tvivel och osäkerhet hos kunder och få individer att spendera sina pengar hos konkurrenten istället.

Om företag istället är öppna inför sina kunder, kan de bygga upp förtroendet om att den data som samlas in om kunder hanteras på ett säkert sätt, och tas bort från alla enheter när det specifika ärendet avslutats. I såna fall så kan företagets rykte som ärligt och transparent behållas hos kunderna, även om ett misstag skulle ske.

Dags för certifiering

Hittills har diskussionerna om GDPR mest handlat om vilka konsekvenser som väntar företag som inte hanterar personlig information på rätt sätt, men de borde också riktas åt andra hållet. De företag som följer förordningen till punkt och pricka bör få en certifiering som belöning. Certifieringen skulle spela en viktig roll för att identifiera vilka företag som kan hantera data på ett korrekt sätt, och visa på skillnaden mellan ett GDPR-kompatibelt företag och ett som inte är det. En sådan certifiering skulle företagen även kunna använda i marknadsföringssyfte, då fokuset på dataskydd bara kommer att öka framgent.

Inget företag vill bli omsprunget nu när deadline för GDPR närmar sig, vilket betyder att de behöver agera nu för att säkerställa att allt är på plats den 25 maj, när den nya dataskyddsförordningen börjar gälla. Ett skalbart mobilhanteringssystem kan vara till hjälp för att lösa många av de frågor kring datasäkerhet och hantering av data som företagen nu behöver adressera. Förutom att det erbjuder tillfälle att bygga förtroende med kunder, minskar det även risken för kostsamma överträdelser.

Gör GDPR till en möjlighet, inte ett hot.

Stefan Spendrup, vd för Norden, Frankrike och Benelux på SOTI