Säkerhetsblogg

GDPR – Vad innebär det…egentligen?

EU’s nya Dataskyddsförordning (GDPR) träder i kraft den 25 maj 2018 och är förmodligen ett av de mest diskuterade ämnena bland säkerhetsintressenter under andra hälften av 2016. Men vad betyder det egentligen? Vad blir konsekvenserna för mig? För mitt företag?

Den nya förordningen är användarcentrerad, dvs. den är utformad helt och hållet med användaren i åtanke. Du och jag, och alla andra äger vår egen data.

I tidigare sekretessbestämmelser har fokus varit på företag som behandlar personuppgifter och vad de får och inte får göra med informationen. I GDPR ligger istället fokus på vilka rättigheter individen har gällande hens personuppgifter. Den som hanterar sådana uppgifter måste se till att de uppfyller kraven på individens rättigheter. Man har vänt på steken!

Som en bonus har även definitionen av personuppgifter reviderats. Numera står det att all data som direkt eller indirekt kan identifiera en levande person är PII (Personally Identifiable Information). Det innebär att alla som jobbar med Data Mining och Big Data-applikationer kommer att få stora utmaningar när de kombinerar eller vill samköra data från olika källor. Uttryckligt samtycke från individen krävs för att samla in, lagra och bearbeta data och man måste även kunna ange syfte. Om syftet ändras krävs ett nytt samtycke. Detta innebär naturligtvis att företag runt om i Europa nu måste se över hur de samlar in, lagrar och behandlar personuppgifter.

Även om det finns tekniska verktyg som kan hjälpa ett företag med hanteringen av PII, som till exempel krypterad lagring och pseudonymization, kan inte GDPR uppfyllas genom enbart teknik. Den finns ingen genväg.

  • Du måste ändra rutiner, processer, policies, och troligen affärsmodell.
  • Du måste utbilda dina anställda.
  • Och, du måste dokumentera allt det ovanstående, eftersom kravet på att kunna bevisa hur du hanterar PII är mycket tydligt i den nya förordningen.

Jag har bara skrapat på ytan, men de nya reglerna kommer verkligen att tvinga företag att anpassa sitt sätt att arbeta. I ett framtida inlägg kan jag även ta upp vilka påföljderna kan bli om man inte följer reglerna.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com