Allt om GDPR
Bakgrunden till lagen är att stärka alla EU-medborgares skydd och kontroll över sina personuppgifter samt att skapa enhetliga regler för dataskydd i hela unionen.

Bakgrund och syfte med lagen
Bakgrunden till den nya lagen är att EU-medborgare riskerar att förlora kontrollen över sina personuppgifter i takt med att Internet, sociala nätverk, sakernas internet (IoT) och Big Data används i allt högre utsträckning.

Syftet med förordningen är att skapa enhetliga regler för hela EU, att skydda medborgares rättigheter till sina egna data samt att underlätta för företag som verkar i flera EU-länder. Den svenska regeringen har i dagsläget tillsatt en utredning som ska föreslå hur den svenska lagstiftningen på området bäst ska anpassas till förordningen.

Ny förordning
Med startdatum den 25:e maj träder en ny dataskyddsförordning i kraft. Den är till för att skydda varje individs data och ersätter i Sverige Personuppgiftslagen (PuL).

Förordningen ställer ökade krav på de organisationer som hanterar personuppgifter (vilket alla organisationer gör men i olika känslig utsträckning). Följderna för att inte jobba i enlighet med lagen är mycket kostsamma: upp till 4% på den årliga globala omsättningen eller 20 miljoner €, beroende på
vilket som är högst.

Organisationer behöver alltså både arbeta för att säkra upp sin data och sin miljö – kort sagt känna till var det finns möjliga läckor (digitalt såväl som fysiskt), men även i händelse av attack ha en beredskapsplan och underrätta alla drabbade parter inom 72 timmar för att undvika dessa oerhört dryga böter.

 

Vad ska du göra?

Steg 1: Utse DPO, Data Protection Officer/dataskyddsombud.

Steg 2: Uppdatera systemdokumentationen, exempelvis:

  • Systemskiss av Active Directory, intranät, servar m.m.
  • Kopplingar mellan system, nätverksanslutningar
  • Behörighetsstrukturer

Steg 3: Inventera vilka system som används för lagring av personuppgifter Vad lagras var och varför? Vad är känsligt, såsom hälsoinformation, etniskt ursprung, sexuell läggning, facklig tillhörighet, etc. Hur används detta?

 

Steg 4: Upprätta säkerhetsåtgärder för att förhindra, upptäcka och svara på sårbarheter och dataöverträdelser.

  • Skydda åtkomst till er data, med hjälp av bra lösenordspolicy 
  • Identifiera hot mot lokal data
  • Identifiera osäker datahantering
  • Skydda data genom att upptäcka dataläckage, intelligent dataklassning
  • Kryptering, spårbarhet och återkallande av dokument
  • Övervakning av delade filer och dataläckage, samt kontrollera var data får öppnas
  • Säkra era enheter genom reglerad access; styr hur användare kan logga in
  • Styr enhets- och applikationskryptering
  • Begränsa möjlighet att "spara som, kopiera och klistra in"
  • Möjliggör fjärradering av enhet eller applikation

Steg 5: Se över leverantörsavtalen

  • Leverantörerna ska klara kraven på ”privacy by design”.
  • Outsourcade tjänster måste troligtvis uppdateras eller sägas upp (bra förhandlingsläge).

Steg 6: Gör riskanalyser

  • GAP-analys jämför nuläge med förväntat läge. Även Privacy Impact assessment, för att minimera risker med personuppgiftshantering, kan behövas.

Vill du veta mer hur du kan säkra upp din data?

Kontakta oss så berättar vi mer