Varför har så många inte påbörjat det oundvikliga GDPR-arbetet?

By december 1, 2017Event, IT-lösningar, Säkerhet
GDPR-hjälte

Nära hälften av företagen har ännu inte påbörjat det oundvikliga GDPR-arbetet

Redan för ett halvår sedan spådde Gartner att ungefär hälften av företagen i Europa kommer att vara oförberedda när GDPR träder i kraft 25 maj 2018, och Tahles undersökning från november i år bekräftar de farhågorna. Det ser likadant ut överallt och gäller både i Uddevalla där vi sitter, i Sverige, i Europa och i världen. Jag tror att de flesta som på ett eller annat sätt jobbar med GDPR och har kontakt med diverse företag känner igen sig. Vissa kanske skulle säga att alla dessa företag som fortfarande inte har inlett sitt GDPR-arbetet då är i gott sällskap, men frågan är om det verkligen är där man vill befinna sig.

Varför GDPR

Okej – det finns kanske en bra orsak till att man i alla fall inte är helt redo här och nu i december 2017. Tolkningarna av förordningen är ju exempelvis tvetydiga på sina håll, vilket skapar förvirring över vad man verkligen behöver göra som företagare. Jag skulle säga det är tveklöst att det kommer uppstå en hel del tvister hur GDPR ska tolkas i vissa sammanhang och successivt då också uppstå prejudicerande domstolsfall som klargör tvetydigheter. Vad jag menar är att situationen måhända bidrar till att vissa företag blir en smula avvaktande i sitt agerande i nuläget.

Vidare så är det utan tvivel att det inledningsvis kommer att vara de stora företagen som ligger i blickfånget för Datainspektionen. Det har tydligt framgått på flera håll och att det är en av huvudorsakerna till att många mindre företag helt ignorerat att GDPR är i antågande har jag egen erfarenhet av. Men till dem påminner jag om att ingen kommer undan och att det inte leder någon vart att ägna sig åt förnekelse. Tvärt om finns det massor av detaljer vi alla måste ta itu med, och du måste inleda arbetet här och nu om du vill undvika sömnlösa nätter under våren.

Räkna inte heller med någon smekmånad från Datainspektionen. De har varit tydliga med att 25 maj är en deadline. Faktum är att det istället är vår smekmånad som vi upplever just här och nu, för handen på hjärtat – det här har vi vetat om länge. GDPR trädde officiellt i kraft redan 27 april 2016 medan diskussioner inleddes redan 2009, så varför kommer detta som en överraskning för vissa? Vi har haft fem år för att förbereda oss för en lag som antogs för mer än ett och ett halvt år sedan, och vi är fortfarande inte redo. Det finns tillslut ingen ursäkt kvar.

I kölvattnet av Big Data

Idag vill alla företag veta allt om alla och ser också i mångt och mycket till att också göra det. Nästan varje organisation har tillgång till någon form av känsliga personuppgifter och metoderna för att samla in dem är sofistikerade. Jag behöver inte gå längre än till vår egen webbavdelning där vi – på våra kunders begäran – utvecklar sidor med enkla ”acceptera-rutor” eller blanketter som fylls i automatiskt för att det ska bli så enkelt som möjligt för kunderna att överlämna sina personuppgifter. Överallt hittar man snabb-knappar för att dela på sociala medier och vi hittar nya affärsmodeller där kunderna kan köpa tjänster med personlig information istället för pengar. En drömvärld för säljare och marknadsförare som i och med GDPR får lära sig leva i en ny verklighet utan denna data och utan dessa möjligheter.

I grund och botten visste vi ju alla att det jag sammanfattar ovan till slut skulle orsaka problem. Det vill säga ett ”Big-Data-samhälle” där personlig integritet inte prioriteras speciellt mycket. Och vi har nog alla insett innerst inne att det också så småningom skulle leda till en ny lag. En lag som inte bara skulle bli en ny uppdaterad PUL som ändå ingen följer, utan en lag som verkligen sätter ned foten för att klargöra att människor faktiskt har rätt till sitt privatliv. Varje överträdelse av PUL de senaste åren (och det finns många exempel som även uppmärksammats i media) har varit en varning för oss. Vi pratar även exempelvis om diverse suspekta register, malvertising, kostnadsfria IT-tjänster eller oönskade men träffsäkra annonser mm, mm. GDPR är alltså välbehövlig och en ”game changer” och det är EU som skapar riktlinjerna. Men hela världen tvingas nu följa efter om de vill ha fortsatt handel med oss, eftersom GDPR även gäller för kunder, partner och leverantörer till alla företag verksamma i EU. Kina var exempelvis först ut att införa de nya reglerna.

Personuppgifter

Varför behöver vi GDPR?

De organisationer vars anställda (läs människor) använder ett riskbaserat tillvägagångssätt för integritetsskydd förstår inte att det indirekt är deras egen integritet de sätter i fara. Vi är alla berörda. Någon förlorar sin nattsömn eftersom deras galna fd-partner kan ta redan på var deras barn går i skolan någonstans. En annan stöter på patrull eftersom information om vilken religion de utövar, vilka läkemedel de använder, eller vilka misstag de gjort tidigare i livet är tillgängligt för alla. GDPR är inte bara en kontroll av cybersäkerhet. Många av de saker som förordningen tar upp om förhållningssätt är också allmänt rimliga och samtidigt en rejäl knuff mot den typ av förbättringar som IT-säkerhetsfolk länge har bett om, d v s bättre datainventering, bättre kryptering, bättre pseudonymisering, bättre övervakning, bättre och tätare tester av sårbarhet samt applikationer som inte är fulla av säkerhetshål. Historiskt har programmerare fritt kunnat skriva diverse applikationer med bristfällig säkerhet, men nu uttrycker GDPR att alla applikationer som hanterar personuppgifter måste vara ”säkra genom design” samt att lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är anpassad till risken måste vidtas, vilket borde sätta punkt för de flesta av de problemen. Och inte bara det. Den kartläggning, dokumentation och de register som vi nu alla tvingas göra av vår IT-miljö samt eventuellt medföljande IT-policy, bör vara tillräckligt underlag för att eliminera exempelvis den skugg-IT ditt företag förmodligen brottas med. Man kan säga att ju mer skrämmande du upplever dina kunders rätt att bli bortglömd, eller 72-timmars anmälningsskyldigheten som gäller vid en personuppgiftsincident, desto sämre integritetsarbete har du gjort fram till nu.

Företag måste vara ansvarsfulla parter i ett samhälle. De måste förstå att när andra människor ger oss det som rätteligen tillhör dem borde de också veta att vi är i besittning av det och vårda det varsamt. De måste veta var vi förvarar det och även kunna återlämna det när vederbörande vill ha det tillbaka. Vad GDPR gör är alltså att de definierar personuppgifter (eller personlig identifierbar information) som en tillhörighet och att det därför också bör behandlas som det.

Tillhör du den skara människor som fortfarande inte håller med om den definitionen och samtidigt inte tycker att GDPR är nödvändigt, så har du nu mindre än ett halvår på dig att tänka om.

GDPR Datainspektionen

Några ord på vägen:

Se till att bli medveten om din företagsdata. Vad har ni lagrat, var ligger den och på vilket sätt är den lagrad. Tänk på att det inte är din data du behandlar när det kommer till personuppgifter (direkta eller indirekta). Ta fram en plan för vad som behöver göras för att bli GDPR-compliant och följ sedan den. Se också till att dokumentera allt du gör. Det sistnämnda kan vara en bra försäkring den dag du blir synad. Gör en konsekvensanalys för alla personuppgifter du lagrar och behöver ha kvar. Ställ frågor som: Behöver jag verkligen det här informationen? Behöver jag kryptera något? (Ja absolut, i alla fall om du exempelvis använder USB-stickor som du bär omkring utanför kontoret.) Behöver jag använda dubbelautentisering på mina laptops? Behöver jag skaffa en tillförlitlig molnlösning? Ska jag göra en CVE-skanning för att veta om/var jag är sårbar? Vad sparar jag i den fysiska världen, som pärmar, kollegieblock etc?

(Egentligen är det här exempel på frågor du borde ställt dig för länge sedan.)

Har du svårt att komma igång, eller kanske inte kan generera tillräckligt med moral själv för att det ska räcka som drivkraft för att få gjort jobbet, kanske du i alla fall kan tänka på de böter du riskerar att få om du chansar och struntar i det. För om du tror att Datainspektionen inledningsvis siktar in sin på storföretagen, så tror du i och för sig rätt, men din tid kommer också – var så säker.

Kontakta gärna oss på Kon-IT så kan vi gå igenom allt tillsammans. Det finns många grundläggande saker vi kan göra som både är enkla och billiga.

Läs mer om GDPR och våra seminarier och utbildningar

Kon-IT Seminarie