Del 2: Här är 7 gdpr-konsekvenser för utvecklare

Att dataskyddsförordningen, även känt som GDPR, som börjar gälla i EU 25 maj 2018 kommer att få konsekvenser har nog de flesta förstått. Medborgares rätt att ”bli glömda” och till dataportabilitet, och begränsningar för vilka persondata företag och myndigheter får lagra är bara några exempel, liksom kravet på att ha en personuppgiftsansvarig.

Det är också nytt är även att även tredjepart som tjänsteleverantör, webbhotell och molnleverantörer kan få böter om de slarvar med skyddet av persondata.

Att inte följa GDPR kan bli dyrt. Det kan kosta upp till fyra procent av omsättningen eller 20 miljoner euro i böter, det som är högst.

Läs också: EU:s dataskydd en het potatis – sänke eller lyft för startups?

Men vem blir det som får göra jobbet med att modifiera existerande applikationer och databaser? Och dessutom ta höjd för dataskyddsfrågor i designen av nya lösningar? Jo, det blir i hög utsträckning utvecklare som får den bollen i sina knän.

Här berättar konsulterna Kristoffer Arfvidson och Patrick Bladh på Basalt om sju direkta konsekvenser för utvecklare, som dataskyddsförordningen medför.

1
Patrick Bladh och Kristoffer Arfvidson på Basalt.

1. Mer att utveckla

Helt plötsligt ställs en massa nya krav på hur data ska hanteras när de väl hamnat i databaser. Lösningar för datainsamling som tuffat på i åratal utan problem måste nu ses över och modifieras, kanske till och med skrotas för att ersättas med nya.

Någon måste designa och bygga de tekniska lösningar som krävs för att uppfylla alla nya krav som GDPR medför. Skriva koden helt enkelt, bygga om formulär, skriva nya sql-satser, samt tänka ut vilken information som skall sparas och på vilket sätt.

2. Existerande information blir en riskfaktor

Hur ofta har du som utvecklare funderat över hur avlusningsinformation och logginformation hanteras? Det är dags att göra det nu, eftersom datatjuvar potentiellt kan härleda information utifrån sådana datakällor. Det gäller framför allt under drift, men kanske även under utvecklingsfasen, beroende på vilka data som används då. Det senare gäller speciellt under agilt arbete då nya funktioner utvecklas parallellt med drift av applikationer.

3. Extremt svårt att avidentifiera data

”Det är inget problem, vi avidentifierar bara data”, kanske du har hört någon säga? Men det är sannerligen ett problem. Det är i själva verket extremt svårt att avidentifiera data på ett säkert sätt. Räkna med att lägga mycket tid och möda på det, om det behövs.

4. Påverkan på tidsplan och budget

Mer utvecklingsjobb medför, naturligtvis, fler jobbade timmar, flera utvecklare och framflyttade deadlines. Det fattar utvecklare, men fattar chefer och affärsansvariga det? Och om de fattar det, accepterar de det? Åtminstone projektledare och utvecklingschefer behöver se över sina argument.

5. Allmänt ökade kostnader

Man behöver inte bara ta hänsyn till direkt utvecklingsrelaterade kostnadsökningar. Det ambitiösare säkerhetsarbete som blir följden av GDPR kostar mer pengar i största allmänhet. Från vilka budgetar ska de pengarna tas? Som utvecklingsansvarig får man se upp så man inte blir sittande med Svarte Petter, i det här fallet att ansvara för allmänna it-säkerhetskostnader för applikationer som byggs.

Läs också: Svenska företag dåligt förberedda på EU:s nya dataskyddslag

6. Ställ krav på tjänsteleverantörer

Glöm inte säkerheten i den underliggande plattformen. Vilka krav behöver man ställa på sina leverantörer? Se till att inte du som utvecklare blir ansvarig för sådant som andra bör ordna.

7. Nya infallsvinklar på databaser

De nya kraven på datahantering medför inte bara jobbiga punktinsatser. Som utvecklare, arkitekt och designansvarig måste man ta på sig en kanske helt ny tänkarmössa. Det handlar om att se på databaser från ett angreppsperspektiv för att förstå hur de ska säkras.

Förutom att fundera på hur angrepp kan förhindras måste man anta att datatjuven redan slagit till. Hur kan man minska konsekvenserna om data blir stulna? Hur kan man säkerhetskopiera data så att de fortfarande är enkla att hantera? Vad finns det för möjligheter att upptäcka om en incident pågår eller har inträffat?