[KRÖNIKA] 25 maj träder EU:s nya dataskyddsförordning GDPR i kraft.
Men KPMG:s senaste undersökning visar att så många som 54 procent av företagen inte är redo att möta de nya kraven. Vad kommer då att hända? Kommer företag att drabbas av skyhöga bötesbelopp redan från dag ett? Här är mina svar på de fem vanligaste frågorna från företag:
Kommer vi att få böter?
Nej. Det är skrämselpropaganda att påstå att Datainspektionen i början kommer att fokusera på att använda mindre överträdelser för att statuera exempel eller att maxböter kommer att bli norm. Däremot kommer Datainspektionen vara noggranna med att kontrollera att alla företag tar de steg som krävs för att följa den nya förordningen. Organisationer som inte försöker att bli kompatibla med det nya regelverket efter 25 maj kommer att riskera någon form av tvångsåtgärder eller böter, särskilt om de hanterar känsliga personuppgifter eller bearbetar dem på ett potentiellt påträngande sätt.
Är det för sent att bli redo för GDPR?
Definitivt inte. Dataskyddsförordningen är en process som kommer att utvecklas och förändras över tid. Det innebär att du har tid även om du börjar nu. Du behöver dock kunna visa Datainspektionen att du har tagit konkreta steg mot att efterleva den nya förordningen och ser till dina kunders och anställdas intressen i hanteringen av personuppgifter. Den nya förordningen innebär också att du behöver ett dedikerat team och ett Dataskyddsombud på plats på ditt företag för att leda och hantera detta fortlöpande.
Var ska jag börja?
De nya reglerna kan verka skrämmande, men det finns några bra inledande steg du kan ta för att få bollen i rullning. Först måste du förstå vilka data som lagras och var dessa data rör sig genom och ut ur organisationen. Utför en omfattande datagranskning och klassificera sedan uppgifterna utifrån den risk de utger. Därefter handlar det om att kartlägga säkerhetskontroller och processer för denna data för att minska riskerna. GDPR bygger på tidigare europeiska dataskyddssystem, så om du redan följer dessa har du redan kommit en bra bit på vägen. Titta även på ramverk som ISO 27001 och USA NIST. De erbjuder viktiga metoder för bästa praxis kring integritet, kontroll, riskhantering med mera.
Jag har skickat ut opt-ins, räcker inte det?
Tyvärr inte. GDPR handlar om mycket mer än att få uttryckligt samtycke från kunder att använda deras uppgifter. Det handlar också om ansvar och dataskydd genom att du lagrar och bearbetar data på ett säkert och regelrätt sätt. Det är viktigt att komma ihåg att även om du följer kundernas rätt att bli bortglömda från maillistor och liknande, eller skickar förfrågningar innan dataöverföringar görs, kan det fortfarande krävas att du behåller vissa data för att leva upp till andra krav på rapportering och granskning, exempelvis SOX. Dataminimering är den huvudsakliga principen i GDPR, men håll koll på var gränserna går.
Vad gäller för mina leverantörer?
Detta är just nu den största och potentiellt farligaste blinda fläcken gällande GDPR. Enligt KPMG har endast 10 procent av de globala företagen kontrollerat att deras leverantörer efterlever kraven. Dagens komplexa försörjningskedjor, ofta hanterade i molnet av flera olika tjänsteleverantörer, gör detta extra besvärligt. Det är dock väldigt viktigt för ditt företags säkerhet – många intrång inträffar när partnerorganisationer attackeras och används som språngbräda in till ditt nätverk. Så granska alla avtal och leverantörer för att säkerställa att även de följer GDPR.
Kom ihåg att det aldrig är för sent att börja arbeta med att bli redo för GDPR. Om du arbetar med GDPR-anpassningen på ett noggrant och seriöst sätt kan det dessutom vara ett lysande tillfälle att utveckla verksamheten och stärka företaget gentemot konkurrenterna.
Av: Johan Jarl, Säkerhetsexpert på Trend Micro