Förberedelser inför GDPR

Det börjar lacka mot jul och mitt i alla förberedelser med julgranar och pepparkakor så tänkte vi passa på att skriva ihop lite saker gällande den kommande Dataskyddsförordningen som man kan tänka på framför brasan. Vi har i en tidigare post skrivit ihop lite saker man som företag kan börja jobba på (se här).
Som en komplettering till detta tänkte vi nu gå in på lite olika saker som vi förespråkar när vi talar med företag om den kommande lagen. I många och mycket handlar det om att få kontroll och ordning på det man som företag redan sitter på i termer om teknologi och information.

Det finns risker med att tro att Dataskyddsförordningen (The General Data Protection Regulation, “GDPR”) endast är ett tillägg eller en anpassning av PUL. Vi hör tyvärr en del röster om att så länge man som företag bara har koll på sina avtal och register så är detta inte en stor sak. De som yttrar sig så ser bara toppen på isberget. Under ytan döljer sig allt som lagen inte uttryckligen direkt säger men som den förutsätter eller sådant som man förutsätter att alla företag redan gör idag.

En annan risk som vi ser är budskapet att ”Så mycket inte är beslutat ännu…”. Det finns absolut saker kvar att landa både från Bryssel och från den svenska staten men det finns betydligt mycket mer som redan är hugget i sten och som man som företag kan börja analysera och utreda. T.ex. den registrerades rättigheter, kraven på dataskydd i alla system som behandlar personuppgifter och konsekvensbedömningar avseende dataskydd (tänk riskanalys).

Tyvärr hör vi även många företag tala om att invänta prejudikat och att detta nog kommer att ta flera år innan dessa kommer samt att Datainspektionen är en snäll och högst resonable myndighet. Här menar vi att mekanismen för enhetlighet som finns beskriven i lagen kommer att påverka detta avsevärt. Mekanismen syftar till att inom EU skall t.ex. brott mot lagen hanteras enhetligt. Man skall med andra ord inte kunna få ett lägre straff i Sverige än vad man får i Tyskland. Det är även så att då flera länder i Europa har en mycket mer krävande implementation av det direktiv som PUL bygger på så kommer prejudikaten att med Svenska mått mätt komma väldigt fort då dessa länder fortlöpande dömer ut en hel del böter för brott och detta kommer knappast minska, snarare tvärtom.

Några exempel på vad man som företag kan börja dra i redan nu, utöver det som vi redan postat i den tidigare bloggartikeln:
  • Inventera alla ställen där ni på något sätt behandlar (detta inkluderar lagring) personuppgifter, direkt eller indirekt. T.ex. så kan man luras att tro att ett datornamn inte är en personuppgift men om man på något sätt, t.ex. genom att kombinera flera olika datorkällor kan spåra det till en fysisk person så är det en personuppgift. Ett annat favoritexempel är om ni kör Google Analytics på er hemsida, då behandlar ni även där personuppgifter.
  • Se över vilka personuppgifter ni redan idag sitter, på då ni kommer behöva kontakta dessa personer för ett förnyat godkännande om behandling.
  • Säkerställ att ni inte behandlar känsliga personuppgifter utan extra skydd. Ett typexempel är fackligtillhörighet som kan utläsas ur grupper i ett Active Directory (som är en öppen databas för alla på nätverket).
  • Inventera vilka molntjänster ni använder på företaget med t.ex. Cloud App Security från Microsoft och säkerställ om de hanterar personuppgifter.
  • Inventera alla era drifts/systemdokumentationer. Att ha dagsfärsk dokumentation kommer att vara till stor hjälp vid eventuellt incidentarbete och när det kommer till att kunna rapportera till Datainspektionen.
  • Börja arbeta med riskanalyser kring alla system som hanterar personuppgifter eller sådana system som är stödfunktioner. Koppla med fördel riskanalysen till förvaltningen av systemet så att den kontinuerligt hålls uppdaterad.
  • Följ upp efterlevnad av skyddsåtgärder på ett enhetligt och dokumenterat sätt. Mät och jämför med tidigare månad.
  • Om man på företaget arbetar med kodutveckling så börja inför automatiserade säkerhetstester av koden.
  • Gå igenom er efterlevnad av arbetsprocess-ramverk så som ITIL för att säkerställa kvalité och spårbarhet i alla led.
  • Börja skydda högpriviligierade konton på allvar. Detta är en av de absolut vanligaste bristerna vi ser. Ifrågasätt varför personal eller leverantörer skall ha höga behörigheter och för de fall där det inte kan hjälpas, skydda dessa konton med extra skyddsåtgärder (kan vara både tekniska och organisatoriska).

Självklart finns det massor mer att göra men dessa punkter är alla väldigt konkreta och de hjälper företag att upprätthålla informationssäkerhetshygienen. Har ni frågor eller behöver hjälp med ert informationssäkerhetsarbete så tveka inte att kontakta oss, vi kan hjälpa er med allt från ren IT-säkerhet och informationssäkerhetsstrategier till juridiska frågor gällande integritet.

Med detta önskar vi i Addlevels Informationssäkerhetsteam er alla en säker, pålitlig och oavvisligt god jul!

Med vänliga hälsningar,
Mats Hultgren

Mats Hultgren
IT Strategist and Information Security Advisor at Addlevel with engagements ranging from implementation of strategic security frameworks to strategic governance of IT-services.

mats.hultgren@addlevel.se