5 tips hur du snabbt får koll på GDPR
Många är stressade inför starten av GDPR men det finns smarta metoder att ta efter. Region Västmanland är nästan klara med sitt arbete och här finns deras rekommendationer.
– Jag tycker att flera borde göra som vi. Alternativet är att investera i säkerhet utan en strukturerad metod och då riskerar man att hamna fel samt att pengarna kanske inte räcker till, säger Michael Patriksson, informationssäkerhetssamordnare i Region Västmanland.
Nu är det ett drygt år fram tills att EU:s nya dataskyddsförordning, GDPR, träder i kraft. Än så länge har företag och organisationer kommit väldigt olika långt i sitt förebyggande arbete. Några som började tidigt och som nu ligger i framkant är Region Västmanland där Michael Patriksson ansvarar för arbetet.
Hans tankegångar gick som så att det egentligen inte är så stor skillnad mellan dagens PUL och framtidens GDPR. Mest handlar det om att ha ordning och reda, menar han.
– Det handlar om att ha rätt säkerhet kring hanteringen av personuppgifter i it-systemen. För att hitta vad som i varje enskilt fall är rätt säkerhet krävs det att man har ett strukturerat arbetssätt, en metod för att besluta om investeringar i säkerhet. Utan en sådan metod blir det mera ad hoc, man inför det man tror är rätt och så mycket som budgeten tillåter.
Michael Patriksson, informationssäkerhetssamordnare och personuppgiftsombud, Region Västmanland.
Så, för att Michael Patriksson och hans kollegor skulle kunna påbörja arbetet var de också tvungna att bestämma sig för vad som är rätt säkerhet. Tidigare har många organisationer överinvesterat i viss säkerhet och underinvesterat i annan, men Region Västmanland inventerade först alla register och informationsklassade sedan alla system enligt ISO-standarden 27001.
– När vi väl hade gjort det så kunde vi mäta registerna mot olika skyddsnivåer som vi mappade upp. Sedan är det ett pågående arbete att köra en gap-analys och jämföra den nivå man ligger på mot vad man borde ligga på. Då kan man se var det saknas säkerhet och var det eventuellt har överinvesterats.
– Det finns alltså olika säkerhetskategorier där det på nivå ett kanske inte gör något om systemet ligger nere i en timme, medan det på nivå tre är mycket allvarligt med avbrott på tio minuter.
Michael Patriksson ville egentligen sätta igång med det nya säkerhetsarbetet redan innan den nya dataskyddsförordningen kom på tal. Sedan när hajpen slog till och alla började prata om GDPR så blev timingen perfekt.
– Det har gått väldigt smidigt. Det kan ibland knorra sig när man går ut i en organisation och pratar om stora förändringar, men här har hela ledningen hängt på och förstått att det är klart vi ska jobba på det här sättet.
Michael Patrikssons tips inför GDPR-inträdet
- Ha ordning och reda på system och tjänster, det är en hörnsten i förordningen.
- Informationsklassa enligt ISO-standarden 27001, det är en genväg för att leva upp till kraven på rätt säkerhet i artikel 32 i GDPR.
- Se över era rutiner för incidentrapportering, förordningen innehåller nya krav bl.a. rapportering till Datainspektionen.
- Se över era rutiner för riskanalyser. Planerar ni att genomföra större förändringar i verksamheten är ni skyldiga att genomföra och dokumentera riskanalys innan beslut fattas.
- Om ni som företag eller organisation har outsourcat tjänster så se till att ni har biträdesavtal som är anpassade efter de nya kraven i GDPR, bland annat de som rör incidentrapportering.
Läs mer om ämnet: