IT-säkerhet

Varför alla pratar om GDPR, del 3: Hur kan vi förbereda oss för GDPR?

Varför alla pratar om GDPR - Hur kan vi förbereda oss för GDPR?GDPR, General Data Protection Regulation, är en ny europeisk förordning för skydd av personuppgifter som har blivit ett av de mest omtalade ämnena under 2016. I den här delen av artikelserien kommer jag gå in lite på vad man faktiskt kan göra för att förbereda sig för GDPR.

Arbetet med GDPR måste påbörjas så snart som möjligt eftersom det kommer att innebära en rad förändringar inom i stort sett alla organisationer, statliga såväl som privata. Oavsett organisation eller typ av verksamhet finns det ett antal grundläggande saker man kan göra för att påbörja arbetet med GDPR.

Skaffa förståelse: Hur samverkar GDPR med andra lagar och regler?
Det är viktigt att förstå vad GDPR innebär och hur andra lagar och regler kommer behöva utövas tillsammans med GDPR i er organisation. Branscher som bank och finans, försäkring, kommunal och statlig verksamhet har alla olika regelverk som de behöver efterleva utöver GDPR. Därför måste organisationen dels skaffa en bild av samtliga krav som finns och dels förstå hur en aktivitet i GDPR som exempelvis ”rätten att bli glömd” ska ställas mot arkiveringslagstiftning, PSD2 eller annat regelverk.

Tillsätt rätt resurser: Vilka personer behöver ni ha inblandade?
För att påbörja arbetet med GDPR bör en arbetsgrupp utses med representanter från olika relevanta avdelningar i er organisation såsom IT eller systemägare, juridiska avdelningen, affärsområdesansvariga, projektledare etc. Omfattas ni av kravet på dataskyddsombud måste även en sån person utses och som bör ha en central roll i arbetsgruppen för att kunna genomföra sitt arbete.

Ta kontroll över er data: Var och hur lagrar ni information?
Personuppgifter får en bredare definition i GDPR och därför blir det viktigt att göra en inventering av hur, var, varför och hur länge personuppgifter samlas in. Känsliga uppgifter som exempelvis sexuell läggning eller religiös åskådning och information som rör barn har dessutom särskilt skyddsvärde. Lagring av personuppgifter gäller oavsett lagringstyp, strukturerat såväl som ostrukturerat, då ”Missbruksregeln” inte längre gäller i och med GDPR. Att hitta och klassificera informationen är inte lätt och Forresters senaste undersökning visade att 62% av säkerhetsansvariga idag inte vet var de har känsliga personuppgifter i sin organisation.

Utöver typen av personuppgifter kommer skälet till hur och varför uppgifterna hanteras.
Är er organisation i huvudsak en ”Data processer” eller en ”Data collector”? Hur delar ni personuppgifter med andra organisationer? Kommer informationen överföras till andra länder? Dessa är sådana frågor som ni kommer behöva besvara samtidigt som ni gör inventeringen

Definiera processer: Hur hanterar vi dagligen våra GDPR-skyldigheter och arbetsflöden?

GDPR kommer som bekant att medföra en rad nya rättigheter för individer och skyldigheter för organisationer; såsom rätten till information, rätten att bli glömd etc. Därför måste organisationer upprätta arbetsflöden så att det finns en tydlig mall för alla de processer som GDPR kommer innebära. Det här är utmanande eftersom det innebär en översyn över alla nuvarande processer som spänner från affärsaktiviteter till internt arbete och säkerhet för att se till att de uppfyller kraven för GDPR. Processerna måste också inkludera alla berörda system, människor och aktiviteter som behövs för att kunna genomföra en viss uppgift. Alltifrån dataintrång till en förfrågan om vilken information som finns om en viss person måste kunna hanteras för att klara av det dagliga arbetet.

Se över IT och säkerhet: Hur stödjer IT-system och säkerhetslösningar era GDPR-skyldigheter?
För att underlätta alla processer behöver organisationen titta på vilka system de har för att stötta hanteringen av GDPR-aktiviteter. Det omfattar verktyg för arbetsflöden, klassificering och hantering av personuppgifter, aktivitetshantering, backup och arkivering samt säkerhet och monitorering. Säkerhet har ett uttalat fokus genom kravet på ”Security of processing” (Artikel 32) och intrångsrapportering inom 72 timmar (Artikel 33) från ett upptäckt intrång. Organisationer måste därför se över vilka säkerhetsrutiner och färdigheter de har för att upptäcka säkerhetsincidenter.

Träning och utbildning av personalen: Hur ser vi till att nya rutiner och aktiviteter sätter sig?

Parallellt med alla aktiviteter så måste medarbetarna i organisationen tränas och utbildas i både GDPR som område men också i de nya rutiner som det kommer innebära. Detta är en aktivitet som måste ske från allra första början för att skapa förståelse kring GDPR och sedan fortsätta under tiden arbetet pågår. Börja med personer på verkställande nivå samt IT då det är dessa två delar av organisationen som kommer påverkas först och fortsätt sedan med områdesansvariga och annan personal.

Sammanfattningsvis kommer GDPR innebära ett stort arbete för många men också en chans att förbättra processer och rutiner, få översikt över personuppgifter och förbättra säkerhetsarbetet. Det kommer krävas ett tydligt ledarskap och uppdelning av arbetsuppgifter över organisationens olika områden och en tät dialog med jurister och Datainspektionen. Även om det här kan tyckas stort, komplext och omöjligt så är det viktiga att påbörja arbetet nu och dela upp det i hanterbara delprojekt så att just er organisation börjar resan.

Det här är sista delen i min bloggserie om GDPR och jag hoppas att den gjort det lite tydligare vad GDPR innebär och hur man kan påbörja arbetet.

Läs andra delar av serien ”Varför alla pratar om GDPR”:

Nedan har jag samlat en rad länkar om GDPR i stort men också vad IBM gör inom området och hur vi försöker hjälpa våra kunder.

/Marcus

ibm_gdpr_200x80Förbered dig ordentligt
IBM tillhandahåller både verktyg och expertis för att hjälpa våra kunder och deras partner att bli GDPR redo, ta reda på mer här: 3-stegsguide till att bli GDPR-kompatibel

Share this post:

Share on LinkedIn

Lägg till kommentar
Inga kommentarer

Kommentera

Your email address will not be published.Obligatoriska fält är markerade med *

Mer IT-säkerhet Berättelser

Regleringar kring dataskydd och IT-säkerhet påverkar framväxten av innovativa lösningar!

Nyttan av databehandling           Ingen lämnas oberörd av den genomgripande digitaliseringen av samhället. Som bekant drivs utvecklingen i stor utsträckning av en ökad dataanvändning. I många verksamheter är insamling och analys av personrelaterade data en viktig förutsättning för att kunna ta fram ny kunskap. Det kan t.ex. handla om att identifiera hälsovanor. Den kunskapen kan användas […]

Myndighetsutövning 2025 – Hur hanterar vi integritet och säkerhet och vad kommer den nya dataskyddsförordningen innebära?

Nästa vecka är det dags för Almedalen och på onsdag (6/7) ser jag fram emot att vara med i den paneldebatt som Capgemini bjuder in till, tillsammans med IBM och SKL. Frågorna vi kommer att diskutera är hur myndigheter kan hantera personlig information och hur man kan arbeta med säkerhet inom offentlig verksamhet utan att […]

Kognitiv intelligens – vad är det? Och hur kan det hjälpa till med IT-säkerhet?

Man kan säga att det började med en populär TV-frågesport, Jeopardy, som genom sin konstruktion med att formulera om frågan till ett svar; ansågs för svårt för en dator att klara av och vinna. Den utmaningen antog IBM med sin schackvinnande dator Watson. I februari 2011 lyckades Watson vinna Jeopardy genom att slå två stormästare, […]