I maj 2018 träder EU:s nya dataskyddsförordning i kraft, men få företag och organisationer har hunnit inse hur omvälvande de nya reglerna är. Enligt Avinash Limaye, Sverigechef på IT-konsultföretaget Tata Consultancy Services, finns det fortfarande företag som inte har börjat förbereda sig.
– De som inte hinner anpassa sig riskerar böter på miljardbelopp, säger han.
Syftet med EU:s nya dataskyddsförordning General Data Protection Regulation (GDPR) är att ge ett ökat skydd för konsumenter och ett ökat ansvar för organisationer och företag. När reglerna implementeras i svensk lag i maj 2018 kommer de att ersätta den nuvarande personuppgiftslagen (PUL) och ge konsumenter inom EU större kontroll över hur deras personliga uppgifter sparas av företag, organisationer och myndigheter. Rent konkret innebär det bland annat striktare krav på vilken data som får samlas in och hur den lagras. Det påverkar alla företag och organisationer som på ett eller annat sätt hanterar eller lagrar personuppgifter inom EU eller gällande EU-medborgare.
Explicit medgivande för att få samla in data
Striktare rutiner kommer att behövas för att övervaka att all persondata hanteras säkert när de nya reglerna införs. För många företag och organisationer innebär reglerna att deras nuvarande IT-system inte lever upp till säkerhetskraven. Vidare kommer det att krävas ett explicit medgivande från individen för att få samla in data om denne. Konsumenter kommer att ha möjlighet att få sin personliga data raderad, vilket inte alltid är fallet med dagens lag. Myndigheter får krav på sig att tillsätta en Data Protection Officer som rapporterar direkt till ledningen angående dataskyddsfrågor.
– Det här är den största händelsen inom dataskydd och IT-säkerhet på länge. I mitt jobb har jag diskuterat GDPR med företrädare för en rad stora företag och organisationer. Många verkar ha svårigheter att förstå hur man praktiskt bör gå till väga för att följa de nya reglerna. Klockan tickar och än verkar det råda förvirring kring hur EU kommer att implementera detta, säger Avinash Limaye, Sverigechef på IT-konsultföretaget Tata Consultancy Services.
Riskerar höga böter
GDPR skiljer sig mycket från dagens personuppgiftslag och arbetet med att uppdatera rutiner och IT-system är något som kommer att ta tid. Att inte göra något alls och hoppas att nuvarande policys och IT-system håller måttet är därför inte ett alternativ. Den som bryter mot de nya reglerna riskerar mycket höga böter som i värsta fall kan uppgå till 1,8 miljarder kronor, eller fyra procent av företagets globala omsättning. Det högsta beloppet gäller, vilket innebär att svenska företag som omsätter 25 miljarder kronor eller mer riskerar böter på en dryg miljard kronor om de inte efterlever de nya reglerna.
– Det nya direktivet träder i kraft om ett år, vilket är en väldigt kort tidsram för att involvera IT-personal på både lednings- och utvecklarnivå. Har man inte redan påbörjat övergången är det hög tid att börja se över både rutiner och system, säger Avinash Limaye.
Han listar fyra steg i arbetet för att säkerställa att GDPR efterlevs:
- Inventera och utvärdera nuvarande rutiner och processer
Gör en komplett genomgång av existerande datahanteringsrutiner och se över vem i organisationen som har tillgång till vilken data, var informationen lagras och hur den hanteras. Titta på hela datalivscykeln från insamling till lagring, hantering, överföring och radering. Inventera och utvärdera existerande säkerhetsrutiner och se över hur organisationen jobbar för att förhindra dataintrång. Gör en riskbedömning för att hitta eventuella säkerhetsluckor och identifiera vilka delar som behöver hanteras. Glöm inte att GDPR består av både ”privacy” och ”security”. Det är lika viktigt att inventera processer och system som personal och säkerställa att både rätt system och personer finns på plats. Vem är det som är ansvarig för data internt och vad finns det för avtal med externa molnleverantörer? - Identifiera eventuella brister i IT-säkerheten
Ta fram en kort-, en medel- och en långsiktig handlingsplan. Vad behöver hanteras och åtgärdas direkt och vad kräver långsiktiga lösningar? Är alla appar integrerade med säkerhetssystemet? Behöver något ändras i existerande system och finns det processer och data som måste anonymiseras? - Implementera förändringar
När en handlingsplan har tagits fram bör alla förändringar tillämpas. Se till att rätt personer har tillgång till rätt data för att förhindra säkerhetsintrång och för en logg över hur all data hanteras. Ta fram nya rutiner och ramverk – se exempelvis till att även underleverantörer följer GDPR. - Utbilda personal och ha kontinuerlig kontroll
Steg 1-3 är till för att anpassa sig till GDPR. Steg 4 är till för att säkerställa att organisationen efterlever GDPR på daglig basis. Det är inte bara IT-personal som behöver utbildas i GDPR; även kundtjänstpersonal måste lära sig de nya rutinerna och utbildas i hur de ska hantera den data som de har tillgång till.