Nedräkningen har börjat. På knappt ett år måste företagen hinna få full kontroll på sin hantering av personuppgifter när den nya dataskyddsförordningen GDPR (General Data Protection Regulation) träder i kraft, den 25 maj 2018. Det innebär också att it-säkerheten måste höjas, ordentligt. Brister den kan det leda till att kunddata sprids, något som ses som ett väldigt allvarligt brott och kan straffas med dryga böter. Men trots att det brinner i knutarna känner många företag inte till den nya lagen, något som bland annat Computer Sweden uppmärksammat.

Företagens it-sårbarhet är stor. Enligt Microsofts Security Bulletin 2016 rapporterades 530 sårbarheter i enbart Microsofts egen mjukvara, varav drygt en tredjedel var ”kritiska”. I mars tidigare i år uppgav så Försvarets radioanstalt (FRA) att svenska företag och myndigheter utsätts för it-attacker varje dag, och trenden är uppåtgående.

Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler

Så sent som den 12 maj i år inträffade Wannacry-attacken när viruset med samma namn spreds över världen. Wannacry infekterade över 230 000 datorer i 150 länder och ett antal svenska företag drabbades, däribland verkstadsjätten Sandvik. Om Wannacry-attacken hade inträffat efter att GDPR börjat gälla hade en rad företag riskerat vite på upp till 200 miljoner kronor, eftersom de inte kunnat leva upp till de högt ställda kraven. För när den nya dataskyddsförordningen börjar gälla kommer det att ställas än högre krav på företagens it-säkerhet.

Dataskyddsförordningen omfattar alla EU:s medlemsländer och ersätter nationella regler som personuppgiftslagen i Sverige. Den innebär bland annat att företagen måste vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. De måste också anmäla eventuella dataintrång till Datainspektionen senast inom 72 timmar. Eftersom personer har rätt att få sina register överförda till ett annat företag måste även den dataöverföringen säkras.

För att leva upp till kraven på it-säkerhet enligt GDPR behöver företagen göra ett antal nyckelinvesteringar:

Bygga in ett dataskydd i systemen, kallat privacy by design. Detta ska exempelvis säkerställa att åtkomsten till företagens personuppgifter begränsas och skyddas från intrång av obehöriga.

Det här är en artikel från IDG Opinion

Vill du också tycka till om något? Så här gör du.

Eftersom medarbetare använder sig av mobiltelefoner, surfplattor och bärbara datorer i arbetet kan de också befinna sig var som helst. Det gäller därför att säkerställa att kunddata inte följer med till platser den inte bör finnas på och att all data är legal och spårbar. Det kräver kontextbaserade it-lösningar för mobila arbetsplatser.

För att effektivt kunna skydda och bevara sin kunddata måste företagen veta exakt var de förvarar den. Därför är det helt nödvändigt med så kallad data governance, en slags processer som säkerställer hur företagen hanterar sin kunddata.

Läs också: "Välkommen GDPR! Det är dags att tala om fördelarna med den nya dataskyddslagen"

Slutligen måste företag kunna demonstrera att de vidtagit alla nödvändiga åtgärder för att efterleva GDPR vid en granskning. Om det inträffar måste företagen veta exakt vem/vilka som har haft behörighet till vilken data. Man måste också kunna berätta vem som har gett behörigheten och vid vilket tillfälle det skett.

Klockan tickar. Om knappt ett år träder dataskyddsförordningen i kraft. De företag som inte har kontroll på it-säkerheten innan dess riskerar att vakna upp till en baksmälla i mångmiljonklassen. Det är hög tid att börja förbereda sig, för nu är det bråttom.

Niels Billekop, Nordic Director på RES