GDPR

GDPR innebär att ha koll på processer, informationsklassning och accessrättigheter. Det är ett omfattande arbete som skapar mycket stress just nu.

Är dataskyddsförordningen nya millenniebuggen?

Den personliga integriteten blir bättre med EU:s nya regler. Men för landets företag och organisationer tar arbetet mycket kraft och fokus från sådant man kanske hellre skulle ha prioriterat.

– Det är inte helt nattsvart även om det så klart kulle vara roligare att fokusera på exempelvis digitalisering, säger Tomas Bräne, CIO på Camfil.

EU:s nya dataskyddsförordning – GDPR – ska ersätta personuppgiftalgen, PUL, den 25 maj nästa år. Den som inte har påbörjat förberedelserna nu kommer att få det rejält jobbigt att hinna med. Så pass att många kallar det för den nya millenniebuggen.

På många håll ute i landet är företag och myndigheter igång med styrgrupper och förberedelser, men det kommer ändå att bli tufft att hinna med. Det visar inte minst en rundringning i Radar Ecosystems CIO-nätverk.

– Industriföretag som vi är nog inte riktigt först ut med det här arbetet om man säger så. Däremot har man hållit på med det länge i banker, i försäkringssvängen och i detaljhandeln, säger Tomas Bräne.

Alla är väldigt nervösa. Men på samma sätt som med millenniebuggen – om du tittar tillbaka på det om två år var det kanske inte så märkvärdigt. Arbetet borde ha gjorts ändå, säger Tomas Bräne på Camfil.

Tomas Bräne, CIO på Camfil

Tomas Bräne, CIO på Camfil.

Camfil, med huvudkontor i Stockholm, är ett av världens största företag på renluftslösningar, exempelvis filter för fläktsystem i kontorsfastigheter. Verksamheten är spridd i över 30 länder med sammanlagt knappt 4 000 anställda och 27 fabriker. Med hög förvärvshastighet har verksamheten vuxit snabbt på senare år vilket har lett till en bred systemflora. Det innebär också att verksamheten på många håll är småskalig. GDPR påverkar olika beroende på hur verksamheten lokalt ser ut.

– Det här är inte ett it-projekt utan ett legalt affärsprojekt, säger Tomas Bräne.

Camfil har satt upp en styrgrupp bestående av den nordiska säljchefen, HR-chefen och CIO. Dessutom en något motvillig CFO.

– Han menar nog att det här är ett it-projekt. Och mycket kommer också att drivas från it. Den som praktiskt håller i arbetet är en extern konsult, en it-projektledare. Men arbetet går tvärs över hel verksamheten och IT kan inte göra det här på egen hand, säger Tomas Bräne.

Mycket kommer att handla om att gå igenom hur information är klassad och vem som har access till vad. Det innebär att inventera många olika system, särskilt personal- och lönesystem (HR), affärssystem och kundvårdssytem (CRM).

Det är bra att få en spark i häcken nu, säger Tomas Bräne.

– Som i alla CRM-system händer det nog att säljare skriver in personinformation om kunder som civilstånd och fritidsintressen. Många system är säkert också tillgängliga för väl många användare. Det måste vi se över. Vi måste också motivera och dokumentera varför vi lagrar det vi gör.

Mycket av den här typen av arbete borde många organisationer redan ha genomfört, inte minst för att följa dagens lagstiftning i PUL. Den stora skillnaden med GDPR är att konsekvenserna blir mycket mer kännbara för den som inte uppfyller kraven vid en granskning av Datainspektionen. Straffavgiften är upp till fyra procent av omsättningen eller 20 miljoner euro, beroende på vad som blir högst.

– Sedan är de kanske inte i första hand ute efter att granska ett industriföretag som oss utan bolag med väldigt mycket persondata som Facebook och Google.

– Men även om det i praktiken inte blir så kännbart för oss måste vi ändå köra det här nu.

Fördelarna som Tomas Bräne ser det är att arbetet innebär en rejäl skjuts uppåt för cybersäkerhetsarbetet.

– Informationsklassning måste göras men det är mycket annat som kommer emellan. Därför är det bra att få en spark i häcken nu.

Dessutom innebär GDPR-anpassningen en allmän genomgång av systemfloran, inklusive backuprutiner. Som konsulthjälp använder Camfil framför allt sin juristfirma.

Tanken är inte alls att tvinga företag att sluta registrera personuppgifter. Det handlar om att skapa tydlighet och transparens, säger advokaten Joel Zetterström på Vinge.

På Domstolsverket i Jönköping ser situationen likartad ut. Arbetet är igång i en analysfas, men det praktiska arbetet börjar efter sommarsemestrarna. Mycket berör HR och domstolarnas verksamhetssystem.

– Hittills har det här främst varit en fråga för våra jurister. Men IT kommer att bli mer involverat framöver, liksom flera andra kompetenser. Vi ska sätta samman en bredare arbetsgrupp men är inte klara ännu, säger Magnus Petzäll, CIO på Domstolsverket.

Magnus Petzäll, CIO på Domstolsverket.

Magnus Petzäll, CIO på Domstols-verket.

Han anser att myndigheten redan har mycket på plats, den följer PUL och har ett aktivt och pågående cybersäkerhetsarbete.

– Men den ökande hotbilden utifrån som vi har sett på senare tid i kombination med kraven i GDPR ger oss anledning ta ytterligare ett steg i att klassa information och i att öka tydligheten i vem som har access till vad.

Med ökad hotbild menar Magnus Petzäll att cyberbrottligheten generellt har ökat, nyligen till exempel med den stora attacken av utpressningsvirus (ransomware). Däremot har Domstolsverket inte råkat ut för riktade attacker i större utsträckning än tidigare.

– En svår utmaning för oss är att vi vill gå från systeminnehåll till att informationsklassningen styrs av hur den hanteras i processerna.

Domstolsverket har inte tagit in extern kompetens ännu, men kan komma att göra det senare under året.

– Vi sitter vi på mycket av den juridiska kompetensen själva. Det handlar i så fall mer om hjälp med systemanpassningar och eventuell projektledning, säger Magnus Petzäll.

Advokaten Joel Zetterstöm på Vinge har bråda dagar. Han har inte minst föreläst för medlemmarna i Radars CIO-nätverk. Exemplen från både Camfil och Domstolsverket passar väl in i den generella bild han beskriver. Men det finns ännu mer att ha med sig.

Joel Zetterström, advokat på Vinge.

Joel Zetterström, advokat på Vinge.

Ett exempel är om en så kallad personuppgiftsincident inträffar. Det sker när en tredje man som inte är behörig eller obehöriga anställda tar del av personuppgifter eller personuppgifter försvinner eller förstörs. Händelsen måste rapporteras inom 72 timmar till Datainspektionen, eller dem som berörs.

– GDPR innebär att du måste ha många fler rutiner och policys på plats än i dag. Om du skriver ut dagens PUL är den på kanske 30 sidor. GDPR är på 200 sidor, säger Joel Zetterström.

Ett vanligt missförstånd är att lagen bara berör privatpersoners uppgifter och därför främst rör konsumentinriktade företag. Men det finns mycket företagsinformation som kan härledas till individer.

– Det räcker med att en uppgift indirekt kan härledas till en person. Om en annan aktör har nyckeln som kopplar uppgiften till personen är det en personuppgift, trots att du kanske inte skulle ha klassat den som en sådan vid första anblick.

Radar ser GDPR som en möjlighet att stärka konkurrenskraft och kundupplevelse.

Den stora fördelen med lagen enligt Joel Zetterström är att den ökar allmänhetens förtroende för IT-samhället.

– Tanken är inte alls att tvinga företag att sluta registrera personuppgifter. Det handlar om att skapa tydlighet och transparens.

Radar har tagit fram ett antal råd som din verksamhet bör följa i en Powerpointpresentation som går att ladda ned här. De viktigaste sex stegen att följa för att klara den nya dataskyddsförordningen är:

  1. Analysera all data som verksamheten använder.
  2. Kartlägg och dokumentera hur data rör sig i och mellan olika affärsprocesser.
  3. Gör en riskbedömning av de persondata som förekommer i era processer.
  4. Påbörja en säkring av data där riskerna är som störst.
  5. Uppdatera alla avtal med de partner som hanterar er data.
  6. Informera hela organisationen om GDPR, dess påverkan och omfattning.

Intressant att observera är att EU lägger en plattform för en digital ekonomi i och med den nya dataskyddsförordningen. Samtidigt positionerar sig EU som en säker hamn för data jämfört med USA som under Donald Trump snarare har valt den motsatta vägen. Att därför anpassa sig till regelverket på ett smart sätt innebär just nu en jättemöjlighet för europeiska företag att positionera sig framför många av konkurrenterna i USA och andra delar av världen.

GDPR-området har omgärdats av mycket FUD, Fear, Uncertainty och Doubt, vilket har drivit många IT-aktörers agendor. Radar ser GDPR som en möjlighet att stärka konkurrenskraft och kundupplevelse. Att kartlägga informationsflöden och dess arkitektur innebär inte bara en anpassning till lagen. Det lägger också grunden för att utveckla affärsmodeller och därmed stärka konkurrenskraften i den realtidsdrivna informationsintensiva nya värld vi verkar i.

Men är det en ny millenniebugg? Helt klart klirrar just nu kassorna hos advokatbyråer, IT-konsulter, säkerhetskonsulter och revisionsfirmor av pengar från kunduppdrag kring GDPR.

– Det rådde mer hysteri kring millenniebuggen. Så tror jag inte att man behöver känna nu. Det handlar om en lugn och sansad anpassning, säger Joel Zetterström på Vinge.

– Jag var med då och det är den nya millenniebuggen i så måtto att alla är väldigt nervösa. Men på samma sätt som med millenniebuggen – om du tittar tillbaka på det om två år var det kanske inte så märkvärdigt. Arbetet borde ha gjorts ändå, säger Tomas Bräne på Camfil.

Sverker Brundin

sverker.brundin@radareco.se