General Data Protection Regulation (GDPR) är till för att stärka skyddet för individen och den personliga informationen genom att ställa högre krav på den som registrerar eller behandlar personuppgifter. Det strikta regelverket trädde i kraft i maj 2018 och är en produkt från byråkrater i Bryssel för att kunna göra det enklare för advokatnissarna att diskutera i rättssalen kring privata frågor på nätet.
GPR har blottlagt stora luckor i flera organisationer och deras säkerhetsrutiner vilket inneburit den positiva trenden att större organisationer varit tvugna att organisera upp sina IT- säkerhetsavdelningar.
Tjänster som slutat fungera inom EU
Satjer som man inte längre kan nå
Efter att GDPR började gälla och slutade flera populära tjänster att fungera inom EU. Då GDPR trädde i kraft på fredagen upptäckte EU-invånarna att de inte längre kunde komma åt ett antal USA-baserade webbplatser och tjänster. Är det början på slutet för ett öppet Internet vi ser där företag anpassar sig efter lagstiftningen i olika länder?
Ett växande antal företag blockerar alla europeiska användare från deras servrar.
- A&E Networks
- Instapaper
- Los Angeles Times
- Business.com – här kan inte EU medborgare registrera sig och skriva kommentarer.
- Chicago Tribune
- Arizona Daily Star
- Crowdpac
- Instapaper
- Klout – populär sajt där man kopplar samman flera olika sociala medier
- Unroll.me – populär tjänst för att slippa spam mail
- History.com
- Ragnarok Online
- WashingtonPost.com – de har en vi skärm som ser ut som en consentbanner
- Super Monday Night Combat
Hur påverkar GDPR ditt företag?
Det nya datadirektivet från EU som ersätter PUL
Organisationer som inte följer EU:s nya personuppgiftslag, kan få dryga böter med upp till fyra procent av bolagets globala omsättning. GDPR väcker åter liv i frågan om din organisation är tillräckligt väl skyddad?
Hur påverkas min organisations arbete med GDPR?
Kraven som kommer med GDPR rör ju inte direkt IT-säkerhet – men tveklöst indirekt. Bristande säkerhet är nästan alltid bakgrunden till läckage av personliga uppgifter. Historien radar upp exempel på läckage av personuppgifter där olika brister i säkerheten utnyttjats.
GDPR började gälla den 25:e maj 2018 och fram tills dess måste du utse en ansvarig för personuppgifter och dataskydd. Man behöver även dokumenterara alla personregister och kontrollera om de följer lagstiftningen. Alla register måste beskrivas och du behöver även ha en integritetspolicy.
Vad behöver göras för att följa GDPR
- Ha en ansvarig för register
- Dokumentera alla person register
- Kontrollera behörigeter
- Se till att det finns samtycken
- Skapa rutiner för hur man sköter registren som gallring och radering av backuper
- Incidenthantering
Vad händer om man inte följer GDPR? Hur mycket kan det kosta mig?
Avgiften varierar beroende på företag och kan som högst vara 20 miljoner euro eller 4 procent av bolagets globala omsättning för större överträdelser, och 10 miljoner euro eller 2 procent av omsättningen vid mindre överträdelser.
Däremot är de osannolikt att datainspektionen kommer ge avgifter som motsvarar maxbelopp till en början.
- Det enskilda fallet
- Omständigheterna kring överträdelsen
- Hur stor skadan är
- Om det äfråga om en avsiktlig överträdelse
- Hur känsliga uppgifterna
Syftet med avgiften är att den ska vara effektiv, avskräckande och proportionerlig, vilket är anledningen till att avgiften varierar. Om en myndighet bryter mot överträdelsen, kan avgiften vara mellan 5 och 10 miljoner kronor.
Skyldighet att rapportera incidenter
Med GDPR ställs krav vid säkerhetsincidenter. Ett praktiskt exempel är en hackare tar över kontrollen över en webbserver via en säkerhetsbrist i en publik webbapplikation. Därifrån kan hackaren ta sig vidare in i en databasserver där personuppgifter finns lagrade. Bristande säkerhet blir således anledningen till ett allvarligt läckage av personuppgifter som kan ge dryga böter och som dessutom riskerar skada organisationens verksamhet i stort.
Genom en lagstadgad incidentrapportering blir det svårare ”att flyga under radarn” när det uppstått en läcka. Att inte rapportera in till myndigheterna att du blivit hackad och läckt personuppgifter kommer ses som mycket allvarligt.
Att arbeta med IT-säkerhet är knappast något nytt för din organisation. Du arbetar idag mer eller mindre aktivt inom området beroende på resurser, kompetens och budget. Ni har brandväggar, antivirus och andra vanliga säkerhetsfunktioner. Men hur stärker ni upp säkerheten inför GDPR? Ett område som fler och fler organisationer nu uppmärksammar är sårbarhetsanalyser. Analysen gör tester, precis såsom en hackare, och ger dessutom en övergripande förståelse för säkerheten i hela IT-miljön. Mindre än en tredjedel av alla organisationer gör sårbarhetsanalyser och idag och det är än färre som gör det kontinuerligt eller automatiserat. Det uppstår drygt 20 nya sårbarheter i mjukvaror såsom Windows varje dag, vilket ger drygt 7 000 nya sårbarheter på ett år.
Automatiserade sårbarhetsanalyser ger er organisation kontinuerligt oberoende analyser, vilka ger er insikt och förståelse över säkerhetsläget i hela er IT-miljö. Och då inte minst i de system som lagrar personuppgifter. Dessutom tillför sårbarhetsanalyser en dimension av strukturerat och samordnat säkerhetsarbete som GDPR indirekt ställer krav på och som idag saknas i många organisationer. Genom att göra sårbarhetsanalyser blir det också enklare att kommunicera säkerhetsläget med nyckelpersoner i organisationen som kanske inte har någon djupare IT-kompetens, såsom VD och styrelse.
Konsultbolag som PwC jobbar också med GDPR och guidar dig genom hela processen att implementera GDPR:s regelverk för flera organisationer.
Låt oss kolla mer på GDPR och vad det innebär
Hantering av personuppgifter
Den nya lagen är omfattande och täcker in allt från hur information om insamling av persondata skall presenteras på ett tydligt sätt för individer till hur personuppgifter skall skyddas tekniskt. Lagen fastslår ett flertal rättigheter för den registrerade, alltså själv användaren. Här följer några av huvudpunkterna.
- Tjänster som går att likna vid sociala medier skall kräva målsmans godkännande om barnet är under 16 år.
- Rättigheten till att kunna få ut sin information på ett strukturerat, standardiserat och lättolkat sätt.
- Organisationer måste hantera inkomna förfrågningar gällande individers rättigheter inom en månad.
- Rättigheten till att kunna få ut information om vilken information som blivit insamlad om den registrerade, vad syftet med insamlingen är, vilka entiteter som tagit del av informationen, hur länge informationen skall lagras och vilka övriga rättigheter den registrerade har.
- Rättigheten till att få sina personuppgifter raderade när t.ex. lagringsperioden gått ut eller om den registrerade inte längre ger sitt samtycke till informationsinsamlingen.
- Rättigheten till att motsätta sig eller fastslå restriktioner kopplat till insamlingen eller behandlingen av personuppgifter, t.ex. i direktmarknadsföringssyften.
- Rättigheten till att få felaktig information korrigerad.