Finans Nyhet

IT-expert: ”Ett strutsbeteende”

Taggar i artikeln

Digitalisering EU GDPR IT Unionen
GDPR eller General Data Protection Regulation är den dataskyddsförordning som från och med den 25 maj nästa år ska gälla för alla företag och organisationer inom EU som behandlar personuppgifter. Foto: Pixabay.
Publicerad

I maj införs EU:s datakyddsförordning GDPR som ersätter PUL i Sverige. Men banker och företag är generellt dåligt förberedda på den nya lagen, enligt it-expert. "De bolag jag pratar med har extremt dålig koll regleringen och borde damma av sina it-manualer", säger Johan Noren, affärsutvecklare på it-säkerhetsbolaget Infingate, till Realtid.se.

Realtid.se har tidigare berättat om den utbredda okunskapen kring EU:s nya allmänna datakyddsförordning GDPR (General Data Protection Regulation) som införs i maj nästa år och ersätter personuppgiftslagen (PUL) i Sverige. 

Den nya regleringen ställer bland annat tuffare krav på hur data ska skyddas och hanteras. Information ska bland annat struktureras på ett tydligare sätt än i dag och företag måste bland annat med enkelhet kunna ta fram, men också radera kundinformation om en kund kräver det. 

Den senaste tiden har det kommit en rad undersökningar som visar att svenska företagare och myndigheter generellt är dåligt insatta i GDPR och vad det innebär.

Annons

34 procent

En ny undersökning från brittiska konsultblaget Opinium visar att hela 34 procent av svenska chefer inte vet vilken typ av persondata de lagrar och var den finns i dag. Sverige placerar sig därmed i botten inom EU. I undersökningen ingick 102 svenskar i beslutsfattande positioner på svenska företag och myndigheter med över 500 anställd.  

En annan rapport som släpptes i augusti i år av it-säkerhetsbolaget NTT Security visar att bara 40 procent av världens chefer har koll på GDPR. 1.350 beslutsfattare i större bolag (inklusive banker) i elva olika länder deltog i den undersökningen.

Johan Noren är affärsutvecklare på it-säkerhetsbolaget Infingate med närvaro i nio länder. Han föreläser också om compliance-frågor och är inte förvånad över resultaten ovan. 

Annons

– De företag jag är ute och pratar med kring GDPR har extremt dålig koll på det. Många talar om att det handlar om processer, medan andra känner att de inte kan få bukt med de olika sektionerna i förordningen och hur man skyddar data med kryptering, säger Johan Noren. 

"Går alltid utreda"

Han upplever att svenskar generellt har låg kännedom om kryptering, vilket är en viktig komponent i GDPR. De flesta använder fortfarande vanliga användarnamn och lösenord. 

– Det är ett strutsfenomen. Många gör en utredning som inte leder någon vart. Det behövs därför ny vett- och etikett kring hur man skapar överblick över data och höjer sin datasäkerhet. Jag välkomnar därför GDPR och hoppas att den leder till en förbättring. 

Annons

Om man inte följer GDPR kan man påföras böter som uppgår till 2 eller som mest 4 procent av årsomsättningen, vilket blir enorma bötesbelopp för stora bolag.

– Många borde damma av sina it-säkerhetsmanualer. För de flesta har välformulerade it-riktlinjer, men som de inte lever efter. För varför skulle annars företag drabbas av skadlig kod, trots att det i dag finns tydlig vägledning i hur man underhåller sina system och hur man använder så kallade sårbarhets-scanners? Uppenbarligen förlitar sig bolag istället på falsk trygghet.

Ta hjälp av affärsjurister

Datainspektionen blir det organ i Sverige som ska kontrollera att bolag följer lagen. Johan Noren uppmanar alla som berörs av den nya förordningen att gå någon utav de många GDPR-utbildningar som Datainspektionen erbjuder kostnadsfritt. Han tycker också att företagare ska prata mer med affärsjurister som ofta har djupa kunskaper om nya förordningar av detta slag.

– De flesta har bra koll på sina applikationer och huruvida det finns en öppning in i företagets hård- och mjukvara. Men om man inte uppdaterar och konfigurerar sina system så spelar det ingen roll vad man har för skydd, konstaterar Johan Noren.

Han framhåller dock att det finns många bolag som kommit långt i sitt compliance-arbete när det kommer till GDPR. Det gäller framför allt de aktörer som har någon form av finansiella krav på sig. 

– Men inte heller de är tillräckligt bra när det kommer till ansvarsfördelning kring vem som ansvarar för vad och vad man använder för autentisering inom området datasäkerhet. Det man istället främst tittar på och har processer för är finansiella uppgifter. Men med GDPR måste du ha ett mycket bredare fokus.

Få register

Och det är hög tid att agera, för från och med maj måste alla företag och myndigheter rapportera it-incidenter i sina system till Datainspektionen. 

– Om du inte rapporterar intrång så bryter du mot lagen. Du måste veta hur många som drabbats av exempelvis en cyberattack och förmedla den informationen. Men få har sådana register på plats i dag, säger han.

Landsting och kommuner har dock varit tvungna att strukturera data på ett tydligare sätt då de enligt PUL måste vara mer transparenta. Det ska exempelvis gå att spåra vem som ändrar i en sjukvårdsjournal.

– De har en bra grund att stå på, men det betyder inte att de har hundra procentig koll på GDPR, säger Johan Noren

Han tillägger att PUL är mer otidsenlig än någonsin.

– När lagtexten PUL skrevs 1995 skickade svenskarna i genomsnitt 0,4 sms per månad, medan det i dag rör sig om ofantliga mängder data som skickas och passerar olika system varje sekund.

GDPR ersätter PUL

I drygt 20 år har personuppgiftslagen, PUL, gällt i Sverige och reglerat vem som får hantera personuppgifter. Men den 25 maj nästa år så ersätts PUL av EU:s nya allmänna dataskyddsförordning GDPR – General Data Protection Regulation –som anger regler för informations- och databhandling.

PUL har ofta anklagats för att vara tandlös, vilket GPDR syftar till att råda bot på. Om ett företag brister i sin behandling av personuppgifter kan de tvingas betala en så kallad administrativ sanktionsavgift på upp till 20 miljoner kronor eller som mest 4 procent av årsomsättningen.

I Sverige blir Datainspektionen kontrollorgan, men det kommer också att finnas en central dataskyddstyrelse i EU som tar fram riktlinjer och beslutar om tolkningar.

Syftet med GDPR är att få till en mer harmoniserad dataskydds-lagstiftning inom EU. Dataskyddsdirektivet inrättades inom unionen redan 1995 och skapade en gemensam grund att stå på, men det regelverket har varit upp till varje land att tolka och genomföra. Med GDPR blir det samma lagtext i alla EU-länder. 

Så funkar GDPR

Lagen kretsar mycket kring integritetsskydd och ökad kundmakt över data. Något som stärks i GDPR är skyldigheten att informera om hur man hanterar personuppgifter, vilka uppgifter man hanterar och varför.

Under vissa omsätndigheter ska kunder och medborgare ha rätt att säga nej till personuppgiftsinsamling för att exempelvis kunna slippa direktreklam. Man ska också ha rätt att bli "bortglömd". Exempelvis företag och banker ska radera all information om dig om du kräver det som kund.

I det ökade medborgarskyddet ingår även möjligheter till att försvinna från sökmotorer. Det kräver dock att sökresultatet är oriktigt, irrelevant, eller överflödigt.

Annons