Den nya förordningen som ersätter Personuppgiftslagen ger ett starkare skydd för den personliga integriteten och ett ökat ansvar för företagen. Ateas it-chef Maria Bratt ser positivt på förändringarna.
”Det är viktigt att komma ihåg att ett företag aldrig äger personuppgifter om en annan individ. De har dem bara till låns”
- Det är viktigt att komma ihåg att ett företag aldrig äger personuppgifter om en annan individ. De har dem bara till låns. Jag tycker att det är bra att lagen införs eftersom det nu blir ännu viktigare för företagen att ha koll på varför de lånar personuppgifter, hur de lånas och om de ska lånas vidare till någon annan. Jag tror det kommer att bli en hygienfaktor för företagen att ha koll på sina personuppgifter. Framförallt därför att människor i allt högre grad kommer välja företag utifrån hur deras personuppgifter hanteras, säger Maria Bratt.
Förutom att den nya förordningen medför stränga böter för de företag som inte följer den och att det nya regelverket är lite mer komplext rent tekniskt så ser Maria Bratt framförallt tre stora förändringar som hon tycker det är extra viktigt att ha koll på.
- Företag och organisationer måste ha klart för sig varför de behandlar personuppgifter, vilka de uppgifterna är och hur de hanteras, men de måste också, vid begäran, kunna ta bort alla personuppgifter, både strukturerade och ostrukturerade, som förekommer i mail exempelvis. Använder man underleverantörer för personuppgiftsbehandling, som leverantörer av drifts- eller molntjänster, införs en skyldighet att säkerställa att dessa lever upp till reglerna i förordningen.
På Atea är den personliga säkerheten en prioriterad fråga och att anpassa verksamheten till det nya regelverket (som också brukar förkortas GDPR) har i dagsläget stort fokus för hela koncernen.
- Vi har initierat ett koncernövergripande projekt som täcker alla bolag i Ateakoncernens sju länder i Norden och Baltikum (även det norska som inte är med i EU). I varje land har vi delprojekt där vi har avsatt resurser som bara arbetar med detta. Alla medarbetare på Atea är medvetna om att de måste hjälpa till och bidra för att i god tid få eventuella förändringar på plats, säger Maria Bratt.
Atea ser även över alla sina system och processer för att i god tid kunna anpassa dessa till de nya kraven.
- Vår outsourcingavdelning, samt några av våra datorhallar, är sedan länge ISO 27001-certifierade. Ett av de projekt vi arbetar med nu är att förbättra dokumentationen kring våra system så att de lever upp till förordningens krav. Våra kunder ska känna sig trygga med oss som leverantör.
Även rutinerna för att upptäcka, rapportera och utreda personuppgiftsincidenter ses över.
- Vi har redan idag ett insatsteam Security Incident Response Team (SIRT), som snabbt går in och utreder eventuella intrång eller försök till intrång. Så fort vi får ett larm går vi in och minimerar skaderisken. Enligt dataskyddsförordningen finns det i vissa fall en skyldighet att rapportera incidenter inom 72 timmar. Just nu ser vi över om vi lever upp till detta krav och vilka eventuella åtgärder som behöver vidtas.
- Man ska inte underskatta det arbete som krävs för att anpassa verksamheten till de nya reglerna. Det är en större insats än vad man vid första anblicken kan tro. Det kommer innebära både beteendeförändringar och teknikinvesteringar hos väldigt många företag.
Vill du ha mer information?
Kontakta Albin Zuccato ansvarig för säkerhetsenheten på Atea eller någon av hans kollegor om du har allmänna frågor om förordningen och Ateas arbete med denna: GDPR_hjalp@atea.se
Vill du ha hjälp med att projektleda ditt GDPR-arbete?
Kontakta någon av våra it-experter:
Mats Juhlen, mats.juhlen@atea.se
Carl-Magnus Brandt carl-magnus.brandt@atea.se