EU har sedan 2012 utarbetat ett nytt regelverk, GDPR (General Data Protection Regulation), för att skydda personuppgifter som registreras och behandlas. De nya, striktare reglerna innebär att organisationer nu måste revidera sina befintliga dataflödesförfaranden och säkerhetsstrategier så att de överensstämmer med de krav som GDPR ställer.
Förbättra säkerheten en viktig del i nya Dataskyddsförordningen
Tanken är att regelverket, i Sverige kallat Dataskyddsförordningen, ska förbättra och skapa samstämmighet kring hanteringen av personuppgifter inom EU, samt öka säkerheten. Bakgrunden är den ökande mängden dataintrång som skett på senare år, med de konsekvenser som det inneburit.
GDPR ersätter PUL och innebär flera större förändringar när det gäller skydd och lagring av personuppgifter samt krav på den digitala säkerheten inom organisationer som hanterar sådana uppgifter. Samtidigt ställs betydligt högre krav på ansvarsskyldighet och redovisningsplikt i de verksamheter där intrång sker.
Bredare definition och högre krav på hantering av personuppgifter
Definitionen av vad som betraktas som personuppgifter är också bredare i det nya regelverket och innefattar nu även så kallade onlineidentifikatorer som exempelvis IP-adresser och cookies.
I och med GDPR får de individer vars personuppgifter behandlas utökade rättigheter att påverka hur uppgifterna registreras, hanteras och lagras. Det gör att din organisation måste kunna säkerställa att ni lever upp till och tillgodoser dessa rättigheter.
Sju steg till en konkret handlingsplan för din IT-avdelning
Vad innebär då detta i praktiken för din organisation? Ett stort ansvar faller per automatik på IT-avdelningen när det gäller att skapa rätt förutsättningar för att kunna leva upp till GDPR:s betydligt högre krav på hanteringen av data. Ändå saknar många organisationer fortfarande en konkret handlingsplan.
För att underlätta för dig har vi sammanställt en checklista i sju steg med handfasta råd och åtgärder för hur du kan förbereda din organisation för GDPR:
- Ta ett tydligt ägarskap genom att fastslå processer, roller och ansvar när det gäller hur och varför personuppgifter hanteras och lagras i din organisation. Tydliggör och balansera ansvaret mellan personuppgiftsansvarig och personuppgiftsbiträde, som till exempel kan vara en driftsleverantör där behandling av personuppgifter ingår i uppdraget.
- Kartlägg och revidera befintliga granskningsmodeller, säkerhetssystem och intrångspolicys samt definiera ansvarsområden så att de möter GDPR:s krav på ansvarsskyldighet.
- Etablera och förankra ett riskbaserat förhållningssätt i organisationen när det gäller hantering av särskilt känsliga personuppgifter.
- Gör konsekvensanalyser för att fastslå vilka eventuella risker som finns redan innan vissa data behandlas. På så sätt kan åtgärder för att begränsa riskerna sättas in i ett tidigt skede och minska eventuella skadekostnader.
- Dokumentera all information relaterad till behandling av personuppgifter. Vilken typ av data samlas in? Hur samlas den in, överförs och lagras? Hur skyddas dessa data från att röjas?
- Se över vem som har tillgång till personuppgifterna och till vem de delas, samt protokollför hur länge uppgifterna ska lagras. Så länge de lagras måste din organisation kunna säkerställa att de är krypterade och skyddade mot skada och intrång.
- Fastställ rutiner för att övervaka filer och mappar som innehåller personuppgifter så att alla intrångsförsök kan identifieras omedelbart och rapporteras.
Ett ramverk för ökad säkerhetskontroll
Förutom ett striktare säkerhetsansvar i det löpande arbetet, innebär GDPR att allt dataintrång ska kunna rapporteras inom 72 timmar. Det betyder att din IT-avdelningen även behöver etablera en säkerhetsstrategi som ramverk för att förebygga, bevaka och hantera eventuella dataintrång:
- Identifiera tänkbara tecken på intrång eller säkerhetsavvikelser (IOC) och etablera processer och system som kan upptäcka, larma och rapportera när sådana händelser uppträder.
- Implementera säkerhetssystem såsom brandväggar och IDS/IPS i organisationens IT-miljö för att förebygga attacker.
- Etablera säkerhetspolicys som underlättar löpande övervakning av aktiviteter för att upptäcka avvikelser eller otillåten hantering av användarna med tillgång till personuppgifter.
- Övervaka användare med tillgång till privileged accounts (konton med administratörsrättigheter) för att upptäcka avvikande beteenden som kan innebära säkerhetsrisker.
- Säkerställ att de åtgärder din organisation gör är tillräckliga för att skydda organisationens nätverk mot hot som otillåtna intrång, borttagning och delning samt kopiering och försök att kopiera uppgifter.
Genomförandet av denna säkerhetsstrategi hjälper inte bara till att uppfylla kraven från GDPR utan bör även ses som en möjlighet att höja säkerhetsnivån i organisationen.
Vill du veta mer om vad som krävs för att följa kraven och hur du kan förbereda din organisation, besök vår GDPR-resurssida.
Denna artikel är hämtad ur vår kundtidning Inuit forum 2017 som du kan ladda ner här.