2017-05-09

Kan du använda GDPR som motor för ditt arbete med informationssäkerhet?

Jag anser att du kan det i allra högsta grad. GDPR hänvisar till ett antal principer och metoder som är tillämpbara även utanför regelverkets tilltänkta område. Det gamla talesättet ”Kill two birds with one stone” tycker jag passar bra här.

Jag ska ge ett exempel:

Incidenthantering och rapporteringsskyldighet

Om du hanterar personuppgifter i din verksamhet är du enligt GDPR skyldig att rapporterar till Datainspektionen vid en incident som kan innebära en risk för fysiska personers rättigheter och friheter, enligt artikel 33

”1.Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.”

Om du dessutom är en statlig myndighet har du skyldighet enligt MSBFS2016:2 att rapportera allvarliga it-incidenter till Myndigheten för samhällsskydd och beredskap, MSB.

4 § Varje myndighet ska rapportera en it-incident senast 24 timmar efter det att myndigheten upptäckt den rapporteringspliktiga incidenten.

Vad innebär då detta?

Jag har två regelverk som kräver rapportering, det är olika typer av data och olika tidsaspekter. Det som förenar dem bägge är att jag måste rapportera, alltså är det metoden som jag kan likforma här och uppnå synergieffekter genom att använda samma metod för två olika ändamål.

Vad behöver jag då bland annat veta för att uppfylla båda regelverken?

  • Jag måste veta vilken data som jag har i min verksamhet.
  • Jag måste veta vilka som har access till denna data och om någon obehörig kan ha fått access till den.
  • Jag bör ha infört skyddande åtgärder för att ge denna data ett så bra skydd som möjligt.
  • Jag måste veta hur jag ska kontakta ansvariga myndigheter.

Om din verksamhet behöver följa båda dessa regelverk ser jag stora synergieffekter med att använda GDPR som motor för att båda regelverken ska få önskvärd effekt. Det finns även andra regelverk som påvisar behovet av incidenthantering och det är mitt motiv till att man kan använda GDPR som motor för att förbättra hela sitt informationssäkerhetsarbete.