Annons
Annons
Sponsrat innehåll från Qnister

Därför är dataskyddsfrågor mer aktuella än någonsin

2018 var året då GDPR infördes och många företag slet sitt hår under arbetet med att få allt på plats. Att GDPR-arbetet nu skulle vara över är en vanlig missuppfattning – tvärtom är lagen mer aktuell än någonsin. Företag börjar nu hamna under lupp på allvar med höga viten, vilket kräver att man nu måste se till att ha en långsiktig strategi på plats.
Facebook
Twitter
LinkedIn
E-post
Öka textstorlek

Den 25 maj 2018 infördes GDPR i hela Europa. Ett datum som markerade dagen då alla bolag var tvungna att ha processer på plats för att säkerställa regelefterlevnaden kring dataskydd. Så här ett drygt år senare kan man konstatera att långt ifrån alla har lyckats implementera GDPR helt och hållet. Dataskyddsbolaget Qnister , som bland annat erbjuder ett molnbaserat verktyg för att strukturera GDPR, menar att det finns ett antal åtgärder som är viktiga att se över om man vill undvika incidenter med allvarliga konsekvenser och kostsamma viten.

– Några av de viktigaste bitarna att få på plats är ett artikel 30-register som är ett register över dina personuppgiftsbehandlingar. Att informera de registrerade om lagstadgad information är också viktigt och att få personuppgiftsbiträdesavtal på plats med externa leverantörer av exempelvis molntjänster. Du bör också ha en rutin redo för att kunna hantera incidenter och samtidigt ha tillräckliga organisatoriska och tekniska säkerhetsåtgärder, säger Niclas Nordström, dataskyddsspecialist på Qnister.

Börjar se effekter i Europa

En viktig princip inom GDPR är att man måste säkerställa att endast de personer som behöver ha tillgång till utvalda personuppgifter har det. Tillräcklig säkerhet i form av brandväggar, loggning, behörighetsstyrning och fysisk säkerhet är också nödvändigt att se över. Vi börjar nu se effekter runt om i Europa där företag varit tvungna att betala stora summor i böter på grund av att de har hanterat personuppgifter i strid mot GDPR. Vi har inte sett något i Sverige än så länge men det finns en hel del händelser som är under utredning av Datainspektionen så det är bara en tidsfråga, menar Niclas.

– Nyligen fick ett sjukhus i Portugal 400 000 kronor i böter på grund av otillräcklig behörighetsstyrning som syftar till att endast de som ska ha tillgång till information har det. De hade klassat 985 anställda som läkare medan det endast fanns 296 legitimerade läkare. Det innebar att för många anställda på sjukhuset fick tillgång till journaler och dokumentation som endast läkare skulle ha insyn i.

Google bötfällda

Google är ett annat färskt exempel på ett bolag som har fått höga böter för en incident. I deras fall handlade det om att de inte gav tillräckligt lättillgänglig information till sina användare. Något som resulterade i 50 miljoner euro i vite.

– De fick böter på grund av felaktiga samtycken där informationen inte var tillräckligt transparent. Personer som gett sina uppgifter till Google fick ta del av krångligt formulerad information och behövde klicka sig fram till den i för många steg enligt tillsynsmyndigheten i Frankrike. Korrekt är istället att ha en länk i direkt samband när användaren registrerar sig – man ska inte behöva leta efter informationen.

Läs mer om verktyg och rutiner för att strukturera dataskyddsarbetet här

"Måste ha rutin på plats"

Gällande personuppgiftsincidenter dök nyligen ett exempel upp i media där 1177 förlorade kontrollen över känslig information. Om personuppgifter exempelvis kan hamna i fel händer klassas det som en personuppgiftsincident. Beroende på omfattning och typer av personuppgifter kan incidenten vara mer eller mindre allvarlig, men alla typer av incidenter ska loggas. 

– Man måste ha en rutin på plats kring hur anställda ska hantera incidenter. Det kräver också att anställda har fått lämplig utbildning så att de vet vad en personuppgiftsincident är och att de själva kan identifiera incidenter. 61 procent av alla rapporterade incidenter har skett på grund av den mänskliga faktorn och kan man arbeta förebyggande har man vunnit mycket. Hantera inte fler uppgifter än ni behöver, kryptera information och vidta säkerhetsåtgärder.

Arbetet måste ske löpande

Målet ska vara att skapa en kultur där man själv vill upptäcka brister innan Datainspektionen eller andra aktörer gör det. 

– GDPR är ingen engångsinsats utan arbetet måste ske löpande. Det kommer hela tiden nya praxis och riktlinjer och böterna eller framför allt den felaktiga behandling som ligger till grund för böterna visar på vad man måste se över lite extra, men den kan även ge vägledning till vad som kan vara en okej behandling. Allt fler granskas och inom bara tre till fem år ser experterna att dataskyddsfrågor kommer anses lika viktiga för företagen som exempelvis det miljömässiga hållbarhetsarbetet för många anses vara idag. Det är med andra ord hög tid att sätta igång.

Läs mer om Qnister här

Facebook
Twitter
LinkedIn
E-post
Detta innehåll är sponsrat av Qnister och ej en artikel från Dagens industri
Vi har förtydligat vår personuppgiftspolicy. Läs mer om hur vi hanterar personuppgifter och cookies