Den nya EU-lagstiftningen för hantering av personinformation, kallad dataskyddsförordningen kommer innebära en hel del merarbete för företag och myndigheter.
När EU-parlamentet klubbar de nya reglerna i början av nästa år har medlemsstaterna två år på sig att implementera lagstiftningen. Men företag som påverkas bör påbörja arbetet med omställningen redan nu.
– Arbetet måste genomsyra ett företag uppifrån och ner. Ledningens engagemang krävs för att göra resurser tillgängliga, säger Carl Önne, senior konsult inom informationssäkerhet på Certezza i Stockholm.
Läs också: EU:s nya datalagar är klara – miljardböter för it-företag som missköter sig
Så vad ska göras? Och hur? Carl Önne ser dessa åtgärdspunkter på regleringens olika områden:
1. Rätten att bli glömd
Med vissa undantag, som rättsliga myndigheter och sjukvården, kommer enskilda personer att ha rätt att kräva att information om dem ska tas bort. Det kan innebära att applikationer och tjänster behöver göras tillgängliga för individerna, med vilka de kan begära att information om dem raderas. Följande jobb behöver göras:
- Inventering av var information finns och var raderingsbegäran ska kunna göras.
- Utredning av följdverkningar, typ vad innebär det att personuppgifter i databas A raderas. Vilka andra databaser påverkas och i vilka andra databaser måste data modifieras?
- Modifiering eller nyutveckling av applikationer och tjänster, till exempel att lägga till en ”Glömknapp”, samt skriva programkoden för att utföra raderingen.
Vem gör jobbet? Ytterst är det utvecklare som behöver få händerna skitiga, med allt vad det innebär av planering och projektledning.
2. Dataskydd som standard
När applikationer och tjänster utvecklas ska de innehålla säkerhetsfunktioner i ”rimlig omfattning”. Ett exempel är att personuppgifter och känsliga data krypteras.
Vem gör jobbet? Det är återigen utvecklare och personer runt omkring dem, som projektledare, samt it-säkerhetsarkitekter som får mer att göra.
3. Portabilitet
En person ska kunna flytta data från ett ställe till ett annat. Det innebär att ett företag som hanterar personuppgifter ska kunna göra den tillgänglig i ”strukturerade vanligt använda maskinläsbara format”. Det är oklart exakt hur detaljerad information som ska göras tillgänglig. Att försäkringsbolag A ska kunna skicka personuppgifter till försäkringsbolag B är glasklart, men ska man också kunna skicka information om försäkringar?
Vem gör jobbet? Förutom utvecklare och till dem kopplad personal behövs det säkerligen integrations- och databasexperter. Man behöver till exempel utreda vilka data som finns och var de finns.
