Embed Size (px)
Citation preview
Varför GDPR är viktig och vad du behöver göra för att komma tillrätta med den
GDPR kommer att få en dramatisk
effekt på hur organisationer hanterar
uppgifter om kunder, anställda och
andra. Förordningen kommer att träda i
kraft i maj 2018 och den innebär att alla
företag, myndigheter och enheter inom
den offentliga sektorn som kommer i
kontakt med en EU-invånares data måste
omvärdera sina datahanteringsmetoder
för att verifiera att de uppfyller kraven och
därigenom undviker stora bötesbelopp
och dålig publicitet. Det gäller även
organisationer som har hyr datatjänster
inom EU, oavsett var slutanvändaren
eller användaren finns.
Organisationer av alla storlekar måste
börja planera nu för att kunna ha alla
processer implementerade i tid. Detta
dokument är avsett som en rättfram
guide om GDPR och som omfattar dess
bakgrund, nyckelregler, påföljder och
bästa praxis för att kunna hantera denna
historiska milstolpe inom uppgiftsskydd.
Guiden är främst avsedd för dem som
inte är specialister men som har någon
roll inom IT, säkerhetsfrågor
eller företagsledningen.
Varför GDPR är viktig och vad du behöver göra för att komma tillrätta med denBeredskap, tekniska verktyg, smarta idéer och expertråd kan hjälpa dig att uppfylla de svåra utmaningarna som kommande regler om uppgiftsskydd innebär
GDPR måste ses som en del i det större sammanhang som uppgiftsskyddsbestämmelserna utgör. I Europa har det funnit lagar om uppgiftsskydd i över fyrtio år och dataskyddsdirektivet (1995) har hjälpt till att fastställa regler för informationshantering. Men dessa regler var inte uppskattade och de har inte följt med i tiden och de är inte anpassade till denna digitala tid då företagen och deras processer i huvudsak är elektroniska.
Tidigare lagar var även begränsade i sin omfattning, straffen var ofta lindriga och de enskilda EU-länderna hade olika egna sätt att tolka direktivet. somehow exempt is redundant. Med GDPR är det en väldigt stor skillnad och något av det viktigaste att komma ihåg är att det harmoniserar reglerna över alla EU-länder, snarare än att som tidigare lämna det åt varje enskild medlemsstat. Observera
även att förordningen träder i kraft långt innan Storbritannien avser att lämna EU, Storbritannien utgör därför inget undantag från förordningen. Storbritanniens dataskyddsmyndighet har också klargjort att Brexit inte kommer att påverka antagandet av GDPR som en del i den brittiska lagstiftningen.
En annan viktig faktor är att GDPR kräver ett tydligt samtycke: det innebär att uppgifter som sparas om en person endast får användas för det specifika syfte som överenskommits med personen. Definitionen av vad dessa uppgifter kan gälla är väldigt bred och kan omfatta inte bara namn, adress, e-post och telefonnummer, utan även uppdateringar på sociala medier, bilder och IP-adresser.
Organisationer måste se till att de tillhandahåller ”rätten att radera”: det vill säga möjligheten att information om enskilda personer kan raderas på begäran.
Slutligen, och kanske mest skrämmande medger GDPR möjligheter till mycket större böter på upp till 20 miljoner euro eller, om det beloppet är högre, 4 procent av den årliga globala omsättningen för det senaste räkenskapsåret. Det innebär att bötesbeloppen i princip kan röra sig om flera hundratals miljoner eller till och med miljarder euro, och det här är en helt annorlunda omfattning av böter än vad som någonsin tidigare har tillämpats i Europa. Dessa böter kommer givetvis också att innebära skador på företagets goda rykte, vilket i sin tur i stort sett kan bli dyrare än värdet för själva böterna. Företag som till exempel TalkTalk, Target, Sony och Yahoo har alla fått sina varumärken uppmärksammade i medierna och förknippade med dataskyddsproblem, och i vissa fall kan de ekonomiska konsekvenserna vara betydande: Yahoos dataskyddsproblem för e-post var till exempel specifikt orsaken till en rapporterad sänkning i pris med 350 miljoner dollar under den pågående försäljningen till Verizon.
GDPR: En introduktion
För att uppfylla kraven enligt GDPR
måste organisationer utnämna särskilda
uppgiftsskyddsombud, som kan vara
antingen en intern eller extern person
med ansvar för att förordningen följs.
Organisationerna kommer även att
behöva se över sina processer och
skapa handlingsplaner och upprätta
bestämmelser eller riskera att hamna i
tillsynsmyndigheternas klor, med möjliga
stora böter som följd.
Men den goda nyheten är att genom att
agera nu och implementera de korrekta
verktygen och processerna kommer
GDPR att kunna hanteras och de åtgärder
som vidtas för att uppfylla kraven kommer
att bli en konkurrensfördel, förbättra
företagets rykte om att följa bästa praxis
och fungera som en plattform för bättre
datainsikter.
I korthet:
• GDPR definierar på ett mer strikt sätt
hur EU-invånares data måste hanteras,
även i länder utanför Europeiska unionen
• Den kräver tydligt samtycke från
invånarna om att data kan samlas in och
tydlighet om för vilka syften som dessa
data ska kunna användas
• Den specificerar omfattningen av vad
som utgör personliga uppgifter till att
inkludera sociala medier, fotografier,
e-postadresser och till och med datorers
IP-adresser
• Uppgifterna måste vara överförbara via
öppna och populära filformat
Uppgifter har aldrig varit så omtalade
eller lika värdefulla. Några ser det som
”den nya oljan”: en källa med råmaterial
som kan förädlas för att skapa stor makt
och rikedom, i det här fallet genom att
identifiera mönster och trender som leder till
möjligheter eller för att minska riskerna. Data
i webberan används för marknadsföring till
oss baserat på vår sökhistorik, transaktioner,
preferenser och intressen. Organisationer
kan även gräva fram data i försvarssyfte,
till exempel för att upptäcka beteenden
som påvisar ett bedrägeri eller något
annat kriminellt beteende.
Behovet av uppgiftsskydd
Ackumulering av data och undersökningar
av dem har skapat stora förmögenheter
för webbjättar som till exempel Google och
Facebook, men nästan alla organisationer
idag innehar kunduppgifter, uppgifter
om de anställda, uppgifter om möjliga
kunder och annan personligt identifierbar
information (PII). Och utmaningen är att
eftersom data har ökat i värde har vi sett
en parallell ökning av attacker och hot
inriktade på att stjäla data.
Organisationer sparar idag dessa uppgifter
inte bara på mobila enheter, stationära
datorer och på datacenterservrar, utan
de finns även på webbaserade tjänster
från tredje part och i det offentliga molnet.
Att få insikt i vilka personuppgifter som
organisationen förfogar över och säkerställa
att kraven enligt GDPR följs blir inte
någon lätt uppgift, särskilt i större företag
som vanligtvis har flera olika databaser,
kundrelationshanteringssystem, kalkylblad
och annan programvara som körs i olika
versioner, på olika operativsystem och på
olika maskinvaruplattformar.
I januari 2016 beräknades det att över
510 miljoner människor bor i de länder
som styrs av Europeiska unionen, mer
än en och en halv gånger hela
befolkningen i USA.
[1]Genom åren har många förordningar
antagits, framför allt dataskyddsdirektivet
som i Europa tolkas av olika
dataskyddsmyndigheter, som till exempel
dataskyddsmyndigheten i Storbritannien
(Information Commissioner’s Office, ICO)
och i Frankrike (Commission Nationale
de l’Information et des Libertés, CNIL)
samt respektive myndighet i de enskilda
delstaterna i Tyskland och så vidare. De
varierar i perspektiv och omfattning, men
något som är konsekvent är att de böter
som dessa myndigheter har utfärdat har
varit relativt låga, vanligtvis begränsade
till några hundra tusen euro, även för
fall då dataöverträdelserna hamnade på
löpsedlarna, som t.ex. fallen med Talk
Talk (2015) och Sony PlayStation
Network (2011).
EU och dataskydd
Som advokaterna hos Pinsent Masons
påpekade, ”Varken CNIL, myndigheterna i
Hamburg [ansvariga för Google i Tyskland]
eller ICO har utnyttjat alla sina befogenheter
mot organisationer som bröt mot reglerna.”
CNIL gav Google 100 000 euro i böter
för obehörig insamling av data gällande
de data som insamlats genom företagets
tjänst Street View medan motsvarande
myndighet i Hamburg gav sökmotorjätten
145 000 euro i böter. Många kritiker har
påpekat att det är småsummor för ett
företag som har tiotals miljarder dollar
i intäkter per år.
Enligt GDPR kommer myndigheter i EU
teoretiskt att kunna ge företag hundratals
miljoner eller till och med miljarder euro i
böter. Med bötesbelopp i den storleken
så är det inte att undra på att GDPR har
orsakat oro bland företagen.
Det är viktigt att även notera att GDPR
inte bara gäller för EU-medlemmar
utan även för alla företag som samlar in
uppgifter under EU:s jurisdiktion. Stora
böter kommer även att leda till stora
mängder skadlig publicitet, vilket får vissa
att påstå att ett stort bötesbelopp skulle
kunna leda till att ett företag går under.
Rent sakligt kommer företagen att behöva
förbereda sig noggrant för att undvika att
bli föremål för böter enligt GDPR. Vissa
företag har tidigare avsatt en budget för
betalning av böter och redovisat det som
en del i riskerna i affärsverksamheten,
men det kommer inte längre att vara
något tillämpligt alternativ med GDPR,
där böter kan omvandla en årlig vinst
till en förlust.
GDPR behandlar ett grått område när
det gäller hur organisationer kan använda
personligt identifierbar information och där
det föregående direktivet på många sätt
handlade om att personer kunde ”välja
att inte delta” och nu ändrar GDPR det till
att personer kan ”välja att delta”. Det gör
konceptet med samtycke väldigt tydligt,
specifikt och otvetydigt och klargör att
organisationer inte kan använda uppgifter
utan ett tydligt samtycke och endast för
de specifika angivna ändamålen.
Tydligt samtycke
En vårdgivare som tillhandahåller ett
fettsugningsingrepp får till exempel inte
föra patientdata vidare till ett gym som vill
locka denna person att bli medlem och
ser ett samband mellan en person som
vill genomgå fettsugningsproceduren och
hålla sig i form.
Detta är en stor förändring. Personuppgifter
är idag hårdvaluta för webben. Genom
”gratistjänster” som t.ex. webbsökning eller
molnbaserad e-post eller sociala nätverk
”betalar” vi för dessa tjänster genom att
tillhandahålla information. GDPR blockerar
effektivt detta fria flöde av personuppgifter
genom att inrikta sig på hur data samlas in,
används och delas.
Att man har rätt att bli bortglömd har
blivit ett begrepp i en tidsålder där vi alla
har våra personuppgifter sparade online
oavsett om vi vill det eller inte och oavsett
om vi har en bredbandsanslutning, en
dator eller en telefon eller inte.
Ibland kallas det även, mer korrekt, för
”rätten till att raderas” och artikel 17 i
GDPR ger enskilda personer rätten att
kräva att deras personuppgifter raderas
och att bearbetningen av dem i vissa
situationer ska upphöra.
Rätten att bli bortglömd
• Data inte längre används för dess
ursprungliga syfte
• Givet samtycke återkallas och det inte
finns någon berättigad anledning till att
bearbetningen ska fortsätta
• Personen inte är myndig
• Data bearbetades ursprungligen på
något olagligt sätt
• Det finns en lagstadgad skyldighet
Det finns några undantag då rätten att
radera kan vägras. Det har för det mesta
att göra med yttrandefrihet, rättsliga krav
och forskning i det allmännas intresse,
men GDPR uppmanar generellt att
datatillsynsmyndigheterna måste uppfylla
rätten att få uppgifter raderade och i
möjligaste mån dela begäran av radering
med alla relevanta tredje parter.
Rätten att radera inkluderas specifikt
i GDPR på ett sätt som skiljer sig från
det tidigare dataskyddsdirektivet. Det
är en viktig och mycket synlig del i den
övergripande lagstiftningen.
En registeransvarig är en person som
självständigt eller som en del i ett
team specificerar för vilket syfte som
personuppgifter ska användas och
hur dessa data ska bearbetas.
Registeransvariga och registerförare
En registerförare är en tredje part som
inte är anställd av den registeransvarige
och som organiserar, anpassar, inhämtar,
avslöjar eller delar uppgifterna på den
registeransvariges vägnar.
En annan mycket viktig aspekt av GDPR
är vad som kallas för överträdelseanmälan.
Enligt de nya reglerna måste
registeransvariga, efter att ha mottagit
information från registerförare, informera
deras respektive dataskyddsmyndighet
om en överträdelse inom 72 timmar efter
att de blivit medvetna om överträdelsen.
Myndigheten kommer sedan att meddela
vad organisationen behöver offentliggöra
och vad de behöver meddela kunderna.
Meddelande om överträdelser
Systemet med överträdelsemeddelanden
finns redan i olika former i USA och sådana
meddelanden leder ofta till allmänhetens
kännedom och uppmärksamhet i
medierna, men förespråkare för systemet
säger att det innebär öppenhet och
möjlighet att upptäcka trender, till exempel
vid liknande angrepp på organisationer.
En anmälan till myndigheten måste
åtminstone beskriva överträdelsen av
personuppgifter, problemets omfattning,
uppgiftsskyddsombudets kontaktuppgifter,
sannolika konsekvenser av överträdelsen
och vilka åtgärder som har vidtagits. (Vissa
aspekter kan genomföras i faser snarare
än allt på en gång.)
För optimal verkan måste organisationer
uppdatera och konfigurera om tjänsterna så
att de kan identifiera säkerhetsöverträdelser
snabbare och ha en handlingsplan i
beredskap.
Utmaningens omfattning är överväldigande.
Över hälften av de företag som tillfrågades
förväntade en framgångsrik cyberattack
inom ett år, enligt en rapport. Det
genomsnittliga antalet dagar då attackerna
funnits på nätverket innan de detekterats är
omkring 200 dagar, enligt en annan rapport.
Även om meddelandet om överträdelser
görs när överträdelsen upptäcks kommer
eventuella tecken på slapphet när det gäller
att upptäcka sådana överträdelser sannolikt
att leda till högre böter.
Uppgiftsskyddsombud
GDPR kräver att uppgiftsskyddsombud
utnämns, som kommer att vara ansvariga
inför myndigheterna. Detta kan bli en
betydande roll eftersom ombudet i större
företag ofta kommer att ha det som sin
enda arbetsuppgift och ett stödjande
team till hjälp. I mindre företag kan det
ansvaret falla på en enskild person
som arbetar inom en annan avdelning:
personal som arbetar inom den juridiska
avdelningen kan vara en given möjlighet,
men även IT-avdelningen ka ha personal
som lämpad för uppgiften eftersom det
krävs teknisk kompetens för att skydda
och övervaka data.
Tyskland har redan ett försprång
här eftersom uppgiftsskyddsombud
sedan länge varit ett inslag i
organisationsstrukturen, men för andra
länder blir det en stor omställning.
Uppgiftsskyddsombud på heltid
kommer att krävas i situationer
därkärnverksamheten är inriktad
på databehandling (till exempel
direktreklamföretag eller kreditbyråer)
eller där man behandlar känsliga
data, till exempel med patientregister,
socialtjänsteregister eller kriminalregister.
Rollen som uppgiftsskyddsombud
kan anlitas som tredje part på den
registeransvariges vägnar, men den
personen måste kunna få tillgång till IT-
systemen och ha en god kännedom
om den gällande datalagstiftningen.
Mer än det tillräckliga: gränsöverskridande överföringar
GDPR tillåter överföring av personuppgifter
till andra länder som EG anser ha ett
”tillräckligt” skydd av personuppgifter.
Även utan denna bedömning om tillräckligt
skydd kommer en överensstämmelse
med de bindande företagsreglerna att
vara tillräcklig.
GDPR förtydligar även att det inte är
tillåtet att personuppgifter överförs till
något land utanför EU på grund av
något rättsligt krav i det andra landet.
Från hygienfaktor till ett incitament?
Finns det något positivt med GDPR?
Absolut. GDPR kommer att medföra att
oansvarig och hänsynslös användning av
personuppgifter lyfts fram i offentlighetens
ljus och ökar vår medvetenhet om hur
data används (och ibland missbrukas).
Men GDPR kan även bli en katalysator
för förändring inom organisationer i
och med att implementeringen av nya
datahanteringsstrukturer och revideringen
av arbetsflödena kommer att skapa
effektivitet och en plattform för mer
databaserade insikter. GDPR kan verka
vara en rent defensiv åtgärd, men
förordningen kan även fungera som en
stimulans för bredare förändringar och
kan i sin tur skapa affärsmöjligheter.
Marknadsföringsavdelningar kan
till exempel gynnas. Med uttryckligt
samtycke kan marknadsföringschefer
bättre inrikta sig på kunder som är mer
villiga att avslöja information eftersom de
vet exakt hur denna information kommer
att användas. Ingen påstår att GDPR
kommer att vara en snabbverkande
lösning, men med de nya processerna
implementerade och med mer robusta
dataplattformar kommer organisationerna
att bättre kunna utnyttja sina data och sin
långa erfarenhet. Vissa framåtblickande
organisationer kommer att arbeta med
GDPR samtidigt med olika bredare
digitala omvandlingsprojekt över olika
webbplatser och appar, vilket kommer att
bli en ansiktslyftning för företaget, dess
varumärke, affärspraxis och transaktioner.
Vad som ska göras nu
Ingen panik om du inte redan har börjat
planera inför er GDPR-överensstämmelse
men det är dags att börja nu. GDPR träder
i kraft i maj 2018, så de servicenivåavtal
som sluts nu måste inkludera dessa nya
åtgärder.
En uppenbar utgångspunkt är att
genomföra en fullständig datagranskning
med en bristanalys och en granskning
av alla processer och arbetsflöden, enligt
en så kallad konsekvensbedömning av
uppgiftsskyddet.
Många företag idag är skyldiga till
”skräplagring” med överflödiga, föråldrade
och irrelevanta data som sparas ifall de
möjligen skulle vara till nytta och eftersom
lagring idag är relativt billig och/eller att
administratörer inte kan bedöma vad
som behöver lagras och vad som kan
raderas. Dataminimering med rutiner för
att radera eller flytta arkiverade data bort
från kärnverksamheten, hjälper till att
klargöra vilka data som sparas och hur
de överlappar och replikeras.
Utför en jämförelse- och kontrastbedömning
av hur data hanteras idag och hur GDPR
kommer att kräva att dessa processer
förändras.
Säkerhetsprocesser måste granskas
noggrant och följas upp med regelbundna
tester och bedömningar. Men glöm inte
de enklare problemen, som t.ex. planering
för vad du behöver göra vid överträdelser,
inklusive ett kommunikationsprogram,
information till media och meddelande till
personalen för förbättrad medvetenhet.
Eftersom tolkningen och prejudikat ännu
inte har fastställts bör organisationer göra
en så sträng tolkning som möjligt
av värsta tänkbara fall.
Hur BlackBerry kan hjälpa dig
Som vi har beskrivit är GDPR en
betydande skillnad när det gäller
uppgiftsskydd i Europa, men det är
något som kan hanteras.
Utnämnande av ett uppgiftsskyddsombud
och ombearbetning av processer
kommer att behöva göras, men tekniken
kommer även att vara till hjälp. BlackBerry
tillhandahåller en omfattande uppsättning
verktyg för att säkra data, flagga hot,
granska tillgångarna och bedöma incidenter.
Som ett minimikrav ska organisationer
överväga:
• Synligheten för alla ändpunkter som
länkar till data som potentiellt omfattas
av GDPR
• En omfattande analys för att förstå
användningen av data
• En säker nätverksmiljö
• Kryptering av data i rörelse, i användning
och vilande på en slutpunktsapparat
• Ett identitetshanteringssystem som
autentiserar alla nätverksanvändare
• Ett omfattande system för förvaltning av
digitala rättigheter
• Möjligheten att säkra ändpunkter på
enheten, i applikationer och i datalager
över olika plattformar och olika enhetstyper
via en enskild integrerad plattform
• Skydd för entreprenörer likaväl som för
fast anställda
• Stöd från en organisation med praktisk
expertis inom allt ovanstående
BlackBerry erbjuder en portfölj med verktyg
och tjänster som kan hjälpa organisationer
att övergå till en överensstämmelse med
kraven enligt GDPR.
BlackBerry Enterprise Mobility Suite
ger ett flexibelt tillvägagångssätt genom
tjänster som erbjuder säkerhet och
produktivitet samtidigt som de bidrar till
ett överensstämmande med kraven enligt
GDPR. Efterhand som organisationens
behov utvecklas ger Enterprise Mobility
Suite möjlighet att lägga till ytterligare
funktioner efterhand som behovet uppstår.
SDK
Följande verktyg ingår i Enterprise Mobility
Suite:
Unified Endpoint Management (UEM)
hjälper till att åtgärda en av utmaningarna
när det gäller att säkra dagens företag:
den stora spridningen av olika enhetstyper,
från smarta telefoner till stationära datorer,
bärbara datorer, surfplattor, läsplattor och
smarta bärbara enheter och anslutna
slutpunkter. BlackBerry UEM har stöd för
de senaste containerteknikerna – Android
Enterprise, Samsung Knox och BlackBerry
Dynamics är enormt skalbara och kan
konfigureras med kontinuitetsplaner och
alternativ för katastrofåterställningar.
Programvaran kan distribueras på plats
eller i Microsoft Azure-molnet i önskat
område.
BlackBerry-programvara tillhandahåller
kryptering som en del i varje erbjudande,
vilket ger dataskydd över nätverk, på
enheter, i appar och i enskilda filer.
Särskilt relevant för GDPR erbjuder
BlackBerry kryptering av data i rörelse,
i användning och vilande, rollbaserade
kontroller och fjärråtkomstverktyg så
att data kan raderas eller återvinnas i
händelse av att enheter tappas bort
eller blir stulna.
BlackBerry Work bygger vidare på
företagets goda namn när det gäller
säker kommunikation med betydande
dataskydd för e-post och samarbete.
Allt detta i en enda produktivitetsapp ger
en smidig upplevelse vid bollande mellan
olika arbetsprogram samtidigt som det
utgör en säker container som förhindrar
förlust av data.
BlackBerry Workspaces erbjuder
en säker filsynkroniserings- och
delningstjänst med DRM-stöd (Digital
Rights Management) över alla enheter.
Workspaces ger organisationer möjlighet
att spåra hur filer delas – viktigt för GDPR
– och även ändra vem som kan komma
åt dessa filer efter att de har skickats.
BlackBerry Dynamics utökar den
säkerhet som används i BlackBerrys egna
appar för att skydda viktiga anpassade
program och tredjepartsprogram från
att manipuleras och möjliggör en säker
delning av data mellan appar och
användare.
BlackBerry Enterprise Identity möjliggör
enkel inloggning från vilken enhet som
helst, vilket ger säkerhet genom snabbare
åtkomst till säkrade appar.
BlackBerry 2FA ger IT-avdelningar
möjlighet att använda tvåfaktorsautentisering
för säker åtkomst och skyddar åtkomsten
till VPN-infrastrukturen, vilket skyddar viktiga
data.
För organisationer som inte har tid att
upprätta särskilda egna verksamheter
erbjuds konsulttjänster som ett sätt att
uppfylla kraven och implementera bästa
praxis utan att behöva ta uppmärksamhet
från den dagliga verksamheten.
BlackBerry erbjuder ett komplett utbud
av konsulttjänster för cybersäkerhet och
kan hjälpa dig att planera, distribuera och
hantera GDPR-implementeringen.
Mer att läsa
Avsnittet Top 10 operational impacts of
the GDPR (De 10 viktigaste sätten som
GDPR inverkar på verksamheten) är en
utmärkt, lättläst guide som publicerats
av International Association of Privacy
Professionals (IAPP).
Our Vision:To be the leading point of communications between UK based business technology leaders.
Our Mission:To provide focused peer led information, networking opportunities and knowledge sharing to help UK based business technology leaders be more effectiveCIO is the leading information brand for today’s busy chief information officer. CIO addresses issues vital to the success of chief information officers worldwide. CIO provides technology and business leaders with analysis and insight on information technology trends and a keen understanding of IT’s role in achieving business goals.
About the author:Martin Veitch is Editorial Director of IDG Connect. He has written about business and technology for over 25 years and has held senior editorial positions at ZDNet, IT Week and CIO.
© 2017 BlackBerry Limited. Med ensamrätt. Varumärken, inklusive men inte begränsat till BLACKBERRY, EMBLEM Design, BBM och BES är varumärken eller registrerade varumärken som tillhör BlackBerry Limited och de exklusiva rättigheterna till sådana varumärken är uttryck-ligen reserverade.Content: 05/17
