GDPR – Ingen slipper undan längre

EU:s nya dataförordning kommer sannolikt att leda till att många verksamheter har en gedigen åtgärdslista att beta av till 2018.

Som alltid när nya lagar eller förändringar i största allmänhet analkas så blandas skräckpropaganda med diverse spekulationer och teorier. Antagligen så lär väl sanningen landa någonstans i mitten av allt detta. Jag har diskuterat detta med en del kollegor som undrar om verksamheter kommer att bry sig om sannolikheten att åka fast är låg. För så länge du inte läcker någon information så är ju sannolikheten för en revision obefintlig, möjligtvis med undantag för en del offentliga verksamheter kan tänkas. Men är det verkligen så?

En lag är en lag och precis som exempelvis bokföringslagen så är ju lagen om hantering av personuppgifter något som verksamheter ska följa. Gör man inte detta och man blir påkommen så blir det en påföljd. I personuppgiftsfallet lär påföljden hänga ihop med hur stor skada som skett samt hur oaktsam man har varit (om man nu har varit det). Därför tror jag ändå att de allra flesta verksamheter kommer att ta detta på allvar. De som har ett ledningssystem för informationssäkerhet kan med största säkerhet bocka av många av kraven direkt som rör konfidentialitet. Men sen medför den nya lagen en massa andra saker som är nya för de allra flesta, det rör både möjlighet att bli helt raderad från samtliga system samt möjligheten att bli manuellt hanterad m.m.

För de kunder som jag arbetar med så är incidenthantering på agendan. De nya kraven säger att ett intrång ska anmälas inom 72 timmar efter upptäckt. Handen på hjärtat, hur många verksamheter har ens möjlighet att upptäcka ett intrång?

Så jag tror att mer arbete behöver läggas på att upptäcka säkerhetsincidenter samt att man har en väl fungerande incidenthanteringsprocess om olyckan väl är framme.

// Hans Graah-Hagelbäck