Ny dataskyddsförordning från EU (GDPR)

Just nu är det många som hör av sig till mig för att fråga om GDPR (General Data Protection Regulation), EUs nya förordning för stärkt skydd av känsliga personuppgifter.

EU har jobbat med förordningen sedan 2012 och strax före jul kom Europaparlamentet, ministerrådet och kommissionen överens om lagen. Den politiska texten görs nu om till lagtext (juridiskt och lingvistiskt) och vi kan vänta oss mindre redaktionella förändringar i texten, som formellt beslutas någon gång i sommar.

Bakgrunden till den nya lagen är att EU-medborgarna förlorat kontrollen över sina personuppgifter i takt med utvecklingen av Internet, sociala nätverk, sakernas internet (IoT) och Big Data. Men ett annat motiv är att lagstiftningen för skydd av personuppgifter inom EU varierar mycket från land till land och EU räknar med att det kostar företagen i medlemsländerna miljardbelopp att följa olikheterna.

Förordningen kommer att påverka alla företag och organisationer som är verksamma inom EU på ett genomgripande sätt och jag beskriver här vad lagen innebär och hur du kan förbereda dig redan nu.

Till att börja med vill jag poängtera den viktiga förändringen när man går från ett EU-direktiv till en EU-förordning. Till skillnad från det gamla dataskyddsdirektivet från 1995 som varje medlemsland själva tolkade till nationell lag – i Sveriges fall till PUL – är en förordning direkt implementerbar – det vill säga att den ersätter tidigare nationell lagstiftning. Den nya dataskyddsförordningen reglerar hur företag och organisationer ska behandla känsliga personuppgifter och cybersäkerhet.

 

Dataskyddsförordningen ersätter PUL

Dataskyddsförordningen kommer att ersätta den svenska personuppgiftslagen, PUL, från 1998 och påverkar de flesta företag, kommuner och myndigheter i Sverige på ett mycket genomgripande sätt. De som bryter mot förordningen riskerar gigantiska administrativa böter om fyra procent av sin globala omsättning eller 20 000 000 EUR. Jämfört med de vitesbelopp som finns idag kan samma överträdelse ge miljarder kronor i böter istället för hundra tusen för ett globalt företag.

Intrång måste rapporteras

Dataskyddsförordning

De flesta företag, kommuner och myndigheter uppfyller inte den kravlista som kommer med förordningen idag och det innebär att många behöver göra omfattande förändringar av IT-systemen och utbilda stora delar av personalstyrkan. Dataförordningen kräver att myndigheter och företag (som har omfattande hantering av personuppgifter) omgående måste informera kunder och myndigheter så fort man har utsatts för någon form av cyberbrott där personuppgifter kan ha läckts. Idag finns det ett stort mörkertal när det gäller cyberbrott och det finns en ovilja att berätta om att man har blivit utsatt för t.ex intrång. Denna del av förordningen kommer inte bara innebära förändringar i hur man skyddar sig mot cyberbrott utan kommer att kräva nya planer och processer i hur man hanterar rapporteringen av brotten.

Kort tid till införande

När förordningen formellt antagits i sommar har man bara två år på sig att säkerställa att regelverket följs. Detta är något som de flesta inte är beredda på eller har kunskap om och jag tror därför att många kommer att behöva hjälp med att se över både processer och system. Det betyder självklart inte att det är omöjligt att följa förordningen redan före 2018 då den börjar gälla i sin helhet.

Här kommer några tips på vad man kan göra redan nu för att förbereda sin verksamhet:

  1. För upp frågan på ledningsnivå så att ledningen får förståelse för vad dataskyddsförordningen innebär vad gäller både ansvar och konsekvenser. Du kan exemplifiera både vilket ansvar verksamheten har och de vitesbelopp man riskerar om förordningen inte följs.
  2. Utse ett personuppgiftsombud – PUO. Är din organisation en myndighet eller har ni omfattande hantering av personuppgifter kräver lagen att ni utser ett personuppgiftsombud som ska ha egen budget och rapportera direkt till ledningen. PUO ska kunna både juridik och IT och Datainspektionen kommer troligen införa certifiering av ombuden för att säkerställa kunskapen.
  3. Säkerställ att ni avsätter både tid och budget under 2016 och 2017 så att ni får en chans att noga förstå dataskyddsförordningen och göra de förändringar som krävs planerat och strukturerat.
  4. Kartlägg var inom organisationen man hanterar känsliga personuppgifter. Glöm inte att informationen finns i både IT-systemen och inom skilda verksamhetsprocesser.
  5. Ta hjälp tidigt i processen. Det finns både IT-bolag och juristfirmor som redan nu jobbar med GDPR för att kunna hjälpa kunderna med allt från planer, processer, utbildningar till informationssäkerhet och systemförändringar.

Jag personligen tycker att det är positivt att EU tar integritet och informationssäkerhet på så här stort allvar. Det ska bli oerhört spännande att få hjälpa alla typer av verksamheter med den här frågan och det ska bli intressant att följa hur bolag utanför EU kommer att anpassa sina lösningar för den europeiska marknaden.

Micke Augustinson (CISSP)
Konsultchef säkerhet

Läs mer:

Datainspektionen – EU:s dataskyddsreform

EU skärper hantering av personuppgifter

Ekonomit – Kostsamt att missa nya regler för dataskydd

Cygates erbjudande inom IT-säkerhet och informationssäkerhet.

 

 

Boka en analys av era molntjänster

Cygates molnanalys syftar till att på ett smidigt sätt ge en detaljerad ögonblicksbild av hur er IT-miljö exponeras mot molnbaserade tjänster och vilka säkerhetsaspekter som bör beaktas.

Läs mer om analysen