Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

5 tips hur du snabbt får koll på GDPR

gdpr foto .jpg

Många är stressade inför starten av GDPR men det finns smarta metoder att ta efter. Region Västmanland är nästan klara med sitt arbete och här finns deras rekommendationer.

 Jag tycker att flera borde göra som vi. Alternativet är att investera i säkerhet utan en strukturerad metod och då riskerar man att hamna fel samt att pengarna kanske inte räcker till, säger Michael Patriksson, informationssäkerhetssamordnare i Region Västmanland. 

Nu är det ett drygt år fram tills att EU:s nya dataskyddsförordning, GDPR, träder i kraft. Än så länge har företag och organisationer kommit väldigt olika långt i sitt förebyggande arbete. Några som började tidigt och som nu ligger i framkant är Region Västmanland där Michael Patriksson ansvarar för arbetet.

Hans tankegångar gick som så att det egentligen inte är så stor skillnad mellan dagens PUL och framtidens GDPR. Mest handlar det om att ha ordning och reda, menar han.

 Det handlar om att ha rätt säkerhet kring hanteringen av personuppgifter i it-systemen. För att hitta vad som i varje enskilt fall är rätt säkerhet krävs det att man har ett strukturerat arbetssätt, en metod för att besluta om investeringar i säkerhet. Utan en sådan metod blir det mera ad hoc, man inför det man tror är rätt och så mycket som budgeten tillåter.

michael patriksson1.jpg

Michael Patriksson, informationssäkerhetssamordnare och personuppgiftsombud, Region Västmanland.

Så, för att Michael Patriksson och hans kollegor skulle kunna påbörja arbetet var de också tvungna att bestämma sig för vad som är rätt säkerhet. Tidigare har många organisationer överinvesterat i viss säkerhet och underinvesterat i annan, men Region Västmanland inventerade först alla register och informationsklassade sedan alla system enligt ISO-standarden 27001.

 När vi väl hade gjort det så kunde vi mäta registerna mot olika skyddsnivåer som vi mappade upp. Sedan är det ett pågående arbete att köra en gap-analys och jämföra den nivå man ligger på mot vad man borde ligga på. Då kan man se var det saknas säkerhet och var det eventuellt har överinvesterats.

 Det finns alltså olika säkerhetskategorier där det på nivå ett kanske inte gör något om systemet ligger nere i en timme, medan det på nivå tre är mycket allvarligt med avbrott på tio minuter.

Michael Patriksson ville egentligen sätta igång med det nya säkerhetsarbetet redan innan den nya dataskyddsförordningen kom på tal. Sedan när hajpen slog till och alla började prata om GDPR så blev timingen perfekt.

 Det har gått väldigt smidigt. Det kan ibland knorra sig när man går ut i en organisation och pratar om stora förändringar, men här har hela ledningen hängt på och förstått att det är klart vi ska jobba på det här sättet.

Michael Patrikssons tips inför GDPR-inträdet

  1. Ha ordning och reda på system och tjänster, det är en hörnsten i förordningen.
  2. Informationsklassa enligt ISO-standarden 27001, det är en genväg för att leva upp till kraven på rätt säkerhet i artikel 32 i GDPR.
  3. Se över era rutiner för incidentrapportering, förordningen innehåller nya krav bl.a. rapportering till Datainspektionen.
  4. Se över era rutiner för riskanalyser. Planerar ni att genomföra större förändringar i verksamheten är ni skyldiga att genomföra och dokumentera riskanalys innan beslut fattas.
  5. Om ni som företag eller organisation har outsourcat tjänster så se till att ni har biträdesavtal som är anpassade efter de nya kraven i GDPR, bland annat de som rör incidentrapportering. 

 

6 april 2017 Uppdaterad 6 mars 2019 Reporter Fredrik Adolfsson säkerhet

Rekommenderad läsning

Personer 960640

GDPR-klagomål i fokus

12 mar 2021 säkerhet

Integritetsskyddsmyndigheten, IMY, kommer att ha ett övergripande fokus på GDPR och att utreda klagomål från enskilda personer de kommande två åren. Det står klart efter att myndigheten beslutat om ny tillsynspolicy. 

Gdpr Vård

GDPR-böter i vården

4 dec 2020 säkerhet

Datainspektionen har upptäckt brister i hur åtta vårdgivare styr och begränsar personalens åtkomst till huvudjournalsystemen. I sju av de åtta fallen kommer det leda till sanktionsavgifter på upp till 30 miljoner kronor.

H&M Foto 960640

Bot för medarbetardata

6 okt 2020 säkerhet

Insamling av känslig data om anställda i ett servicecenter i Tyskland har lett till gdpr-böter för H&M som nu ska betala motsvarande 367 miljoner kronor. Bolaget kommer även att ersätta de medarbetare som berörs.

Gdpr Hjalp Hund

Hjälp med GDPR

9 sep 2020 säkerhet

GDPR gör skillnad på personuppgiftsansvariga och personuppgiftsbiträden. Därför har Datainspektionen varit med och tagit fram en vägledning som ska klarlägga gränsdragningen mellan rollerna och ge klarhet i vilka följderna blir när man har någon av dem. 

Eu Flagga Gdpr 960640

620 mkr i böter

28 aug 2020 säkerhet

Sedan gdpr trädde i kraft 2018 har det delats ut böter på drygt 620 miljoner kronor. Italien har dömt överlägset högst belopp, närmare bestämt 470 miljoner och tvåa på listan är Sverige.

Godis Veritas Data
video
Ett samarbete mellan Veritas och Voister

Säker data med Veritas

26 jun 2020 säkerhet

Allt färre företag klassificerar sin data, det finns en ökad oro för kostnader i molnet och kritisk nertid för it ökar. Det visar en ny undersökning från Veritas. För att komma åt problemen krävs mer kontroll av information och ett ökat fokus på säkerhet.

Nätfiske 960640

Varning för nätfiske

26 maj 2020 säkerhet

Nästan var tionde personuppgiftsincident orsakas av ett it-angrepp och det vanligaste är nätfiske där mottagaren via mejl klickar på länkar. Det visar en ny rapport från Datainspektionen.

halsa-sjukvard.jpg

Incidenter fördubblas

9 mar 2020 säkerhet

Antalet incidenter med personuppgifter fördubblades hos myndigheter och hälso- och sjukvården under 2019. Det visar Datainspektionens nya rapport. 

öron på hund mot gul bakgrund.jpg
video

Lyssna in skyddet

27 feb 2020 säkerhet

Utvecklingen inom it-säkerhet går snabbt och att omge sig av kompetenta personer och lyssna på experter är två centrala delar för all verksamhet Det menar Pierre Pilstål, CIO, Plockmatic Group.