GDPR – Vad du står inför

GDPR

Vi får många förfrågningar om GDPR och hur det kommer påverka just deras verksamhet.

Tyvärr är svaret är inte så enkelt - det beror nämligen på många faktorer!

Många organisationer resonerar att GDPR är samma sak som PUL men det finns många och stora skillnader, framförallt vad gäller vitesbelopp och inte minst kundlojalitet. För att förklara lite mer så har jag ritat upp ett litet scenario.

 

Tänk dig följande situation:

Anders är anställd på ett större bolag med verksamhet i Sverige. Bolaget har byggt upp sitt varumärke under många decennier. Säkerheten har byggts på med åren och inga incidenter har upptäckts förutom som Anders uttrycker det ”slarviga anställda” som tar med egna telefoner och paddor. Eftersom VPN-tunneln jämnt strular och jobbet måste göras är det väl förståeligt att vissa anställda hittar på egna lösningar att dela dokument och spara dem i molnet. Hittills har väl inget hänt, vad Anders vet i alla fall.

 

Nu är det den 25:e maj 2018. Plötsligt kommer samtalet.

En journalist börjar ställa frågor om intrång, dataläckage, molntjänster, GDPR, incidentrapporter, Indien och upprinnelsen verkar vara den där upphittade datorväskan som glömdes på bussen. Tyvärr låg post-it lappen där med den hypersvåra teckenkombinationen som gjorde det säkert. Därav fusklappen!?! Det var även synd med alla gamla USB-minnen som knappt används idag även låg där. Vad fanns i dessa, det vet knappt stackarn som glömde väskan?!

 

Journalisten frågar om vi har några kommentarer innan de går för tryck.

 

Panik uppstår och enorma resurser läggs nu på att ta reda på vad som eventuellt har hänt? Vad som eventuellt försvunnit? Vilka som eventuellt berörts? Var fanns den där policyn? Är det den anställdes fel? Han nämnde dock något för någon månad sedan men då fick han bara en ny dator och kunde börja jobba igen. Han hade ju redan sina inloggningsuppgifter så det blev ju knappt något besvärligt extrajobb - då.

 

Tidningsrubrikerna är ett faktum:

IT-skandal! 

- Bolaget visste om att det hade hänt - gjorde inget

- Risk för ID-kapning och bedrägeri!

- Kommentar Åsa 42: ”Jag trodde bolaget brydde sig om kunderna”

Och med det kommer det naturligtvis råd från dem för att byta leverantör... 

- Så flyttar du dina kunduppgifter till ett annat bolag – Dataportabilitet

- Så begär du ut alla uppgifter som finns om dig – Registerutdrag

- Så får du bort dina uppgifter – Bli glömd och raderad

 

Visst; Det kanske inte går så illa...


Men vilken organisation vill bli statuerad som exempel? Ska man gratulera? Vad är värst? Rejäla böter eller riskera att förlora kunder? Kanske både och? 

 

Har ni en genomarbetad plan och är kunskaperna uppdaterade? 

Vad är känsliga personuppgifter?

Om ni inte redan startat och börjat analysera vad som är personuppgifter bör ni börja nu!
Vilket syfte har det och varför har vi sparat det? Vilket flöde har personuppgifterna i våra system och vilka system hämtar data mellan varann? Skugg-IT, är det reglerat i den IT-policy som skrevs i början av 2000? Knappast…Och hur var det nu med den där duktiga programmeraren i Indien eller var det Sri Lanka, som Kenneth ibland kontaktar via Skype?

 

Hur förberedd är vi på möjliga dataintrång eller läckage och vad gör vi om det händer?
Med IT-skandalen på Transportstyrelsen, avsteg från rekommenderade krypteringsförfarande hos Polisen i färskt minne så får man en riktig funderare om varför respekten för säkerhet åsidosätts så enkelt. Undrar hur mycket tid och resurser som fått läggas ner på detta efter att det uppdagades? Tänk vad många myndigheter som fått prioritera om sina (läs: våra) resurser för att kartlägga, analysera och städa upp efter ledningens alla missar.

 

GDPR är en lag som träder i kraft den 25 maj 2018.
Anpassningstiden fram till dess har varit 2år. Nu är det inte lång tid kvar.

 

Testa dina kunskaper

Vad vet du om GDPR och konsekvenser? Testa dina kunskaper i vårt Quiz

Kanske blir det en aha upplevelse, eller så kan du kanske känna dig lite lugnare.


 

Om du känner att tiden rinner iväg och arbetet känns svåröverskådligt så kan vi hjälpa dig.

Vi på Innofactor har stärkt upp vårt team för att ha kapacitet att hjälpa dig att klara efterlevnad av GDPR-målen. Tveka inte att höra av dig, jag eller mina kollegor är bara ett samtal bort!

 

 

Torbjörn Johansson

Business Consultant - GDPR