Säkerhetsblogg

Tekniska lösningar för GDPR

GDPR har varit på många läppar det senaste året, och organisationer av alla slag och i alla storlekar har arbetat hårt för att efterleva förordningen i tid. Dokumentation har varit en viktig del av anpassningsarbetet, någonting vi tidigare har behandlat här. Men GDPR handlar ju om mer än bara det.

För att kunna efterleva GDPR krävs inte bara juridisk kompetens, utan även teknisk. GDPR lyfter fram vikten av integritet, spårbarhet och transparens i behandlingen av personuppgifter. Där blir tekniska lösningar viktiga för att efterleva förordningen.

Hosting och GDPR – var finns ditt data?

En av de viktigaste tekniska frågorna att ställa är – har jag koll på var min data hanteras och lagras? Detta är en mycket relevant fråga, speciellt då molntjänster och virtuella datacenter som AWS och Azure ökat i popularitet. För att underlätta sin efterlevnad av GDPR gäller det att ha koll på vart sitt data finns, och speciellt om det lagras innan eller utanför EU/EEA. I Sverige har SKL (Sveriges kommuner och landsting) exempelvis rekommenderat att kommunernas data ska lagras i Sverige.

För företag med verksamhet i Sverige kan det därför vara en fördel att välja en hostingleverantör med datacenter i Sverige. Då kan man med säkerhet veta att datat finns i Sverige, och att leverantören inte bara förstår och följer GDPR utan även har koll på svenska lagar och branschspecifika regler och direktiv gällande hantering av känsliga uppgifter.

Logghantering för att följa kraven i GDPR

Spårbarhet är viktigt inom GDPR. En personuppgiftsincident (personal data breach) ska exempelvis anmälas inom 72 timmar. Företag måste kunna tillhandahålla bevis, och ha en bra överblick över vem som har gjort vad. Logghantering kan hjälpa företag efterleva GDPR.

Logghantering har tidigare använts mycket inom bland annat betalningsbranschen och sjukvården, där det har varit ett krav enligt säkerhetsstandarderna PCI DSS och HIPAA.

Övervakning och dokumentering av system är viktigt ur både ett säkerhetsperspektiv och ett complianceperspektiv. En logg är en automatisk dokumentation av en händelse, och har en tidsstämpel. Loggar ger en inblick i hur användare agerar och hur en applikation fungerar. Dessutom kan loggar ge ledtrådar om varför och hur någonting exempelvis har gått fel, och var otillåten trafik kommer ifrån. Med logghantering finns bevis tillgängligt, och företag kan lättare utvärdera situationer.

Vid en personuppgiftsincident är det väsentligt att det finns bevisunderlag, och det kan loggar bidra med. Logghantering ger adekvat spårbarhet och hjälper företag få en överblick över vem som har tillgång till vad – någonting som är jätteviktigt i GDPR-eran.

Tokenization och pseudonymisering

Alla de som på något sätt behandlar personuppgifter i EU eller om EU-medborgare, måste följa GDPR. Ett av kraven i GDPR handlar om pseudonymisering. Företag ska implementera tekniska lösningar där känsliga uppgifter inte ska kunna kopplas direkt till en person. Ett hjälpmedel för att uppnå detta är tokenization. Tokenization innebär att känsliga uppgifter såsom personuppgifter, flyttas ut och ersätts med ett oläsligt token. Personuppgifterna lagras istället lokalt.

Likt logghantering så används redan tokenization inom ett antal branscher, bland annat betalningsbranschen där det kan underlätta hanteringen av kortdata.

GDPR innebär en strängare syn på personuppgiftsbehandling, men uppfattningen att man ska skydda känslig information har funnits länge. De lösningar vi tagit upp här borde inte endast ses som sätt för företag att underlätta sin efterlevnad av GDPR, utan även som sätt att förbättra säkerheten i sina företag.

 

Här kan du läsa mer om GDPR:

Blockchain och GDPR – utmaningar och möjligheter

Privacy by design och programvaruutveckling

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com