Arbetsuppgifterna inför införandet av EU:s nya dataskyddsförordning GDPR är delvis lika för de flesta organisationer men i praktiken kommer det dock att skilja en del, det finns ingen standardlösning som fungerar för alla.

Först behöver vi reda ut en del självklarheter som inte är självklara för alla:

Myt 1: ”Dataskyddsförordningen gäller inte för oss.”
Jo, den gäller i princip alla, även föreningar.

Myt 2: ”GDPR gäller bara för nya system.” 
Sanningen är att lagen är teknikneutral och kommer även gälla papper.

Myt 3: ”Det räcker med att installera tekniska skydd.” 
Nej, planera för kompetensutveckling av användarna. En av de vanligaste orsakerna till säkerhetsproblem är den mänskliga faktorn.

Läs också: Sex måsten för att lyckas med den digitala transformationen

Myt 4: ”Produkter och tjänster kan certifieras för GDPR”.
Nej, det stämmer inte, trots att myten sprids av en del leverantörer och konsulter.

Myt 5: ”Alla data måste krypteras”.
Nej, det finns inget i lagen eller förtexterna som kräver kryptering. Det kan krävas om lagring av känsliga personuppgifter lagras.

Myt 6: ”Det krävs samtycke av den registrerade.” 
Nej, samtycke är ett av fyra kriterier för lagring. Avtal som innehåller text om lagring av personuppgifter är ett annat kriterium. Ett av de fyra kriterierna måste vara uppfyllda.

Det finns än så länge inte mycket enkel information att läsa om GDPR. Det som kan rekommenderas är en skrift från Datainspektionen.

Så hur ska ett företag praktiskt gå till väga för att förebereda för de nya reglerna? Praktiskt behöver arbetet planeras och utföras av en grupp. Den gruppen ska bestå av it-avdelningen tillsammans med personuppgiftsansvarig, jurister samt applikationsägare. Det kan vara nödvändigt att ta hjälp av konsulter om kunskap saknas i organisationen. Tänk på att bolagsrätt och it-rätt är inte samma kunskap.Gruppen går sedan igenom följande fyra steg:

1. Uppdatera systemdokumentationen
Det första som praktiskt behöver utföras är att uppdatera systemdokumentationen. Saknas det dokumentation är det akut att ta fram den. Det är tyvärr inte ovanligt att det saknas dokumentation av system och nätverk. Dokumentation bör kvalitetssäkras av till exempel internrevisor eller it-säkerhetsansvarig. Dokumentationen är grunden för att identifiera risker och hot.

Vad bör en dokumentation i form av systemskiss innehålla? Det här är ett antal exempel:

  • Fysiska komponenter som bland annat server, switchar, router, accesspunkter.
  • Logisk systemskiss som bland annat Active Directory, servrar för databaser, e-post, intranät med mera.
  • Kopplingar mellan system i form av logiska kopplingar samt nätverksanslutningar.
  • Systemskiss över respektive system samt de ingående komponenter och program.
  • Behörighetsstrukturer för respektive system.
Det här är en artikel från Expert Network

2. Inventera vilka system som används för lagring av personuppgifter
Vid inventeringen är det viktigt att reda ut vilka personuppgifter som lagras samt få klart vilket syftet är med lagringen. Syftet ska beskriva vilka uppgifter som lagras och vad de ska användas till och benämns som den lagliga grunden för er behandling av personuppgifter. Vid inventeringen är det också viktigt att klassificera om personuppgifter är av känslig karaktär. Det är bland annat hälsoinformation, facklig tillhörighet och etniskt ursprung. En sammanställning finns i Datainspektionens dokument som jag hänvisade till ovan.

3. Inventera leverantörsavtalen
Med dokumentation och inventering av laglig grund för lagring kan arbetet med inventering av avtal med leverantörer och konsulter påbörjas.

  • Kan leverantörernas system klara kraven på ”privacy by design”. Om leverantörerna inte kan garantera så säg upp avtalet nu, du får då ett starkt förhandlingsläge.
  • Har ni outsourcat eller använder olika molntjänster ska de avtalen med stor sannolikhet uppdateras. Även här kan avtalen behöva sägas upp.

Läs också: Utvecklarna är nyckeln till att uppfylla dataskyddsförordningens krav

4. Gör riskanalyser
Först nu kan arbetet att utföra risk och sårbarhetsanalyser samt troligen även GAP-analys (ett verktyg som används för att jämföra nuläget med det förväntade läget) genomföras. Det kan även krävas att en riskanalys av Privacy Impact assessment (en process för att identifiera och minimera riskerna med personuppgiftshantering) måste genomföras för analys av ”privacy by design” av egenutvecklade system.

Arbetet med dataskyddsförordningen är ett pågående arbete även efter förordningen träder i kraft den 25 maj 2018. Mycket arbete handlar då om att skapa rutiner, policy samt uppföljning.

Fakta

Befattning: Vd, Senior cloud advisor
Företag: NetIntegrate Sweden
Linkedin: Ove Bristrand
Twitter: @ovebri
E-post: ove.bristrand@netintegrate.se
Hemsida: www.netintegrate.se
Expertområden: Molntjänster, onlineutbildning, GDPR.
Bakgrund: Har uppdrag som konsult av molntjänster och intranät, utbildar användare samt studenter på yrkeshögskola i molntjänster och intranät samt utför och deltar i utbildningar online. Ove är även styrelsemedlem i Cloud Security Alliance Swedish Chapter.