Sveriges komplettering kring GDPR

I fredags publicerades utredningen kring Dataskyddsförordningen till Regeringen. Dokumentet landade in på lite över 500 sidor och innehåller en hel del intressanta vinklingar och förslag. Den största nyheten är dock utan tvekan att utredningen rekommenderar att Dataskyddsförordningens sanktioner skall gälla även för våra statliga och kommunala myndigheter. De administrativa sanktionsavgifterna får ett maxbelopp på 10 miljoner svenska kronor för mindre allvarliga överträdelser respektive 20 miljoner svenska kronor för allvarligare överträdelser.

De svenska kommunerna fick sig en riktig kalldusch i samband med MSB:s utredning om informationssäkerheten i kommunerna tillsammans med alla offentliga rapporter som finns att läsa i ämnet efter några snabba sökningar. Tilläggas bör att det finns väldigt bra skrivna instruktioner och vägledningar från MSB kring hur kommunerna bör arbeta med just informationssäkerheten och MSB släppte i år ett ytterligare förtydligande i frågan här.

Om vi tittar på några spännande siffror som kom fram i samband med MSB:s undersökning:

• 41 % av kommunerna saknar helt en utpekad funktion för informationssäkerhet
• 58 % har inadekvat informationsklassning
• 41 % har ingen riskanalys avseende informationssäkerhet
• 59 % kontrollerar inte efterlevnaden av säkerhetskontroller
• 56 % har ingen hantering av säkerhetsbrister
• 61 % har inte med säkerhetsaspekter i upphandling
• 58 % utbildar inte medarbetare i säkerhet

Hur Sveriges kommuner skall klara av att vara redo för GDPR:en till Maj 2018 skall bli spännande att följa. Speciellt med tanke på att informationsklassningen är så avgörande för hanteringen av personuppgifter – klarar man inte av att klassificera sin information är det nog föga troligt att man klarar av att identifiera alla personuppgifter. Den stora avsaknaden av riskanalyser är även den en stor oro då GDPR:en kommer med stora krav på konsekvensbedömningar som en del i arbetet med att säkra upp personuppgiftsbehandlingen. Lagen ställer även krav på att upphandlingar skall ta i beaktande “Inbyggt dataskydd och dataskydd som standard”, vilket blir ett stort steg för kommunerna som ofta inte ens tar hänsyn till säkerhetsaspekter i sina offentliga upphandlingar.

På vår GDPR Summit den 30:e Maj kommer vi avsätta en hel session till just vad Regeringens utredning kom fram till och vilka konsekvenser detta kommer att kunna få för svenska företag och myndigheter. Har ni inte bokat er plats ännu så skynda att reservera den 30:e Maj i kalendern och anmäl er här

Mats Hultgren

IT Strategist and Information Security Advisor at Addlevel with engagements ranging from implementation of strategic security frameworks to strategic governance of IT-services.

mats.hultgren@addlevel.se