Blog-header

Kvadratbloggen

Kvadrat är livsstilsbolaget med visionen att göra sina konsulter till världens lyckligaste yrkesmänniskor

Dela

GDPR – Är du förberedd inför den nya EU-förordningen?

cover

Antalet brott relaterade till identitetsstöld och personuppgifter har ökat drastiskt under de senaste åren. Den 25 maj 2018 träder därför den nya EU-förordningen för skydd av personuppgifter – dataskyddsförordningen, även kallad GDPR (General Data Protection Regulation) – i kraft för att höja säkerheten kring personuppgifter. Dataskyddsförordningen ställer höga krav på alla företag och myndigheter som hanterar personuppgifter, och för många organisationer innebär detta ett omfattande förändringsarbete.

May-Lis Farnes har lång erfarenhet av att arbeta med informationssäkerhet och av att hjälpa organisationer att arbeta hållbart genom en väl genomförd implementering av nya rutiner och system för informationssäkerhet. Trots att de nya kraven inte träder i kraft förrän våren 2018, är det hög tid att börja arbeta med förändringsarbetet redan nu, menar May-Lis. Vad kommer de nya kraven att innebära och hur kan organisationer börja arbeta redan idag?

Hej May-Lis. Berätta lite om dig själv och ditt intresse för informationssäkerhet.
– I mitten av 1990-talet var jag produktchef på Telia och ansvarig för att lansera Telia Internet till det svenska folket, vilket var fantastiskt spännande – framförallt är det häftigt att vi, såhär 20 år senare, inte kan föreställa oss ett liv utan internet. Men internet har också en baksida. Dels har det gett oss en kanal där vi kan öppna upp våra liv för allmänheten, oberoende av tid och rum, vilket gör att det är lätt för utomstående att ständigt ha koll på vad vi gör och vart vi befinner oss. Men framförallt lämnar vi hela tiden digitala spår efter oss när vi “vandrar” omkring på nätet och i den fysiska världen. Vi lämnar ut både personliga och känsliga uppgifter om oss själva varje gång vi till exempel registrerar oss för att e-handla, för att bli medlem någonstans eller när vi gör betaltransaktioner. Detta gör att det finns ett enormt behov av att skydda våra personuppgifter, och det är något som jag under de senaste 16 åren har arbetat med och fördjupat mig i genom mitt arbete med informationssäkerhet.

Varför har EU infört dataskyddsförordningen och vilka är de största skillnaderna jämfört med den lagstiftning vi har idag?
– Syftet med dataskyddsförordningen är att ytterligare säkra och skydda våra personuppgifter. Tidigare har varje land haft en nationell lagstiftning – i Sverige heter den PuL, det vill säga Personuppgiftslagen, som de flesta nog redan känner till. Dessa nationella lagar har i sin tur baserats på ett EU-direktiv om dataskydd. För att säkra en enhetlig och strängare lagstiftning har EU nu tagit fram en förordning om dataskydd – GDPR – som gäller över nationell lagstiftning och som ska implementeras i alla medlemsländer. Den nya förordningen ställer höga krav på hantering och skydd av personuppgifter och framförallt allt på ett nytt arbetssätt i framtiden. Detta för att minska oron om att inte leva upp till kraven.

Antal brott och olyckor relaterade till identitetsstöld – där personuppgifter stulits eller kommit i orätta händer – har ökat under de senaste åren och detta är en av de viktigaste orsakerna till att EU har verkställt denna förordning. Situationen har helt enkelt blivit ohållbar och kraven och trycket på en lösning har ökat. Den nya EU-förordningen skärper kraven på specifika roller med tydligt ansvar, på hantering av personuppgifter och på säkerheten kring lagring av dessa. Exempel på nya krav är rapportering av incidenter, transparens, och införande av sanktioner för de som inte lever upp till kraven.

Hur kommer företag och myndigheter att påverkas och hur bör de förbereda sig för att kunna leva upp till de nya kraven innan dataskyddsförordningen träder i kraft?
– För många organisationer kommer införandet och förändringsarbetet att vara omfattande då det kommer att beröra organisationen, verksamhetens processer, dokumentation och de aktuella IT-system som hanterar och lagrar personuppgifter. Det handlar också om att ta fram ett framtida arbetssätt – Privacy by design – för att säkra att ändring av verksamheten eller utveckling av nya processer följer kraven.

Först behöver alla organisationer och deras ledning sätta sig in i de nya kraven och förstå hur dessa kommer att påverka verksamheten. Sedan rekommenderar vi att de gör en GAP-analys för att se vad som finns på plats redan idag, baserat på PuL, och vad som saknas för att leva upp till alla kraven i GDPR. Ledningen bör fråga sig om personalen behöver fortbildas eller om resurser med rätt kompetens behöver tillsättas – och ett projekt för implementering och införande av förändringarna behöver därför initieras.

För många organisationer kommer detta att innebära ett gediget förändringsarbete som kan omfatta allt från avtal, processer och informationssäkerhet, till IT-säkerhet och IT-system. Den tid det kan komma att ta ska inte underskattas. Det är därför viktigt att ledningen inte bara börjar fundera på detta nu, utan faktiskt även börjar arbeta aktivt. Organisationer som inte har säkerställt att de lever upp till de nya kraven och har ett framtidssäkert arbetssätt den 25 maj 2018, riskerar att sanktioneras på upp till 4% av sin totala omsättning.

Den 1 december kommer du, tillsammans med Tony Lindgren, att hålla ett morgonseminarium om just den nya EU-förordningen och vad den kommer att innebära för företag och myndigheter. Berätta, vad kommer ni att beröra och vad kommer besökarna att få med sig hem?
– Vi kommer att börja med att, på ett enkelt och övergripande sätt, gå igenom beskrivningen av de nya kraven. Sen kommer vi att gå in på vad organisationerna behöver göra för att säkra att de tar fram nödvändig organisation, rätt processer, riktlinjer och rutiner för informationssäkerhet och eventuella ändringar i IT-systemen. Vi kommer också att förklara att detta är ett förändringsarbete som kräver förankring i organisationen samt tydlig ledning och styrning för att lyckas med införandet.

Sen beskriver vi hur företag och myndigheter bör påbörja arbetet med utbildning och information samt hur de kan genomföra en GAP-analys. GAP-analysen ger underlag för hur arbetet med uppdatering av processer och rutiner ska genomföras samt hur IT-system bör prioriteras. Vi kommer också att beröra hur de nödvändiga åtgärderna bör arbetas med i projektform.

Vidare kommer vi att prata om hur ett systematiskt och proaktivt arbete med IT-säkerhet minimerar risker och ger ett effektivt sätt att arbeta med informationssäkerhet. Vi vill inspirera alla till att komma igång med förändringsarbetet i god tid, detta för att undvika osäkerhet, problem och kaos. Vi hoppas därför att våra besökare kommer att lämna seminariet med den information de behöver för att kunna påbörja planeringen av arbetet med GDPR-kraven – och därmed säkerställa att de den 25 maj 2018 inte behöver oroa sig för sanktioner.

Tack så mycket May-Lis. Är du mer nyfiken på GDPR och hur du och ditt företag kommer att påverkas?  Här kan du läsa mer och anmäla dig till morgonseminariet om GDPR den 1 december. 

may-lisMay-Lis Farnes är expert på informationssäkerhet och är van att jobba med riskanalyser och efterlevnad – complience – av lagar och andra regelverk. Hon har tidigare arbetat i både nationella och internationella projekt och bolag där hon hjälpt organisationer med införandet av strategier, kultur, värderingar, lagar och förordningar. May-Lis har en förmåga att alltid se möjligheter framför hinder och genom sin entusiasm och expertis driver hon projekt framåt och inspirerar andra till framgångar.