Fortsatt ikke klar for GDPR?
Mange tenker mer på hva de skal ha på seg 17. mai enn på EUS personverndirektiv GDPR som treffer oss 25. mai.
Med risiko for tung bøtelegging for de som ikke følger regelverket kan manglende forberedelser for betydelige konsekvenser. Under følger noen tips og en overordnet oversikt over hva man bør ha kontroll på.
Vårens nyheter har vaert preget av at fremmede makter har bidratt til å påvirke valget i verdens mektigste land, USA og nok et hackerangrep på flere vitale steder i den vestlige verden. Digitaliseringen endrer samfunnet vårt på flere måter enn vi noen gang klarte å forutse og det digitale trusselbildet er i stadig endring. Sakene bekrefter først og fremst at det er bare et spørsmål om tid før et virkelig storangrep vil treffe norske virksomheter.
Parallelt med dette kommer EUS nye personvernforordningen GDPR. Dette lovverket, som skal gi enkeltpersoner flere rettigheter over egen data, handler om mye mer enn kun It-sikkerhet for enkeltindividet. Direktivet vil legge føringer på hva man bør gjøre for å sikre fortløpende kontroll. Det går an å sette noen tiltak i kombinasjon av teknologi, tjenester og rutiner som automatiserer overvåking av bedriftens It-miljø i kombinasjon med selvmeldingsrapport til datatilsynet innen tidsfristen på 72 timer. Det omfattende direktivet gjelder for alle virksomheter som behandler persondata om borgere av EU/EØS-LAND. Dermed omfatter direktivet også virksomheter i land utenfor EU. Frem mot 1. juli 2018 har GDPR for mange handlet om å investere tid, krefter og ikke minst penger i å vaere innenfor kravene. Sannsynligvis betyr dette at en har revidert eller opprettet rutiner for mange av de prosessene en har relatert til data bedriften behandler, det viktige nå er at en følger opp de rutinene og sørger for at de blir etterlevd og utført.
Det skal koste å behandle informasjon om andre personer. Det er et ansvar en må vaere bevisst.
Allikevel mangler mange virksomheter fortsatt kontroll på nettverk, data (hvilke type data man har, og hvor og hvordan den er oppbevart) eller hvordan de bør agere om bedriften blir hacket. Informasjonsbølgen i forbindelse med GDPR og hva man må gjøre kan vaere overveldende. Det gjør at mange etter hvert har fått overdose GDPR og satt seg på gjerdet, litt frustrert over hva som er viktig og ikke minst hvordan man vedlikeholder personopplysninger og Itsystemer etter at man har gjort en Gdpr-tilnaerming:
●●1. Dersom bedriften din tar de nødvendige grepene for å få kontroll på personopplysninger og databehandleravtaler man har med diverse tjenestetilbydere, er man mer eller mindre i tråd med Datatilsynets retningslinjer. Å komme hit eller godt på vei kan man gjøre sammen med Gdprrådgivere som har erfaring på hvilke grep som må til. Det som er viktig å huske, er at man vedlikeholder løsningen fremover etter fullført Gdpr-revisjon. Til dette bruker man en ombudsmann. Dette er en tjeneste man kan leie inn om man ikke ønsker å ha denne stillingen i egen organisasjon.
●●2. Deretter er det viktig å få oversikt over eget nettverk og hvor rustet dette er opp mot dagens trusselbilde. Dette kan lett gjøres ved å foreta søk etter sårbarheter og gjennomgå resultatene sammen med eksperter som kan gi råd om tilpasninger og forbedringer. En fin guide med grunnprinsipper er utarbeidet av Nasjonal sikkerhetsmyndighet (NSM).
●●3. Når skroget er tettet og nettverket sikret, er det viktig å implementere et verktøy som logger og overvåker at forsøk og eventuelle innbrudd blir hurtig avdekket og respondert på. Dette kalles et SIEM og kan kjøpes både som en on prem-løsning eller tjeneste.
●●4. Når en hendelse oppdages, enten av de som overvåker løsningene, eller av egen It-avdeling er det viktig kunne håndtere hendelsen. Om en ikke har kapasitet og kompetanse selv, er det lurt ha tilgang på et team som kan bistå med det. Det samme teamet vil da dokumentere hendelsen og bistå med rapporten som skal til Datatilsynet innen 72 timer. Da vil bedriften kunne vise til at de har gjort en solid innsats for å beskytte og håndtere persondata, og dermed redusere risiko for bøter. ●●5. I tillegg til dette kan man investere i en cyberforsikring som inkluderer et incident response team. Da har man økonomisk dekning i forbindelse med hendelsen, i tillegg til at en får riktig og nødvendig kompetanse til å bistå innenfor tidsrammene en må forholde seg til.
Dette er en overordnet sjekkliste, men om man kan svare godt eller har en plan for hvordan punktene over løses kan man som administrerende eller styremedlem puste roligere og bruke dette som en avklaringsliste sammen med Hrog markedsavdelingen, systemeiere og It-sjefen.
Ønsker alle en riktig god 17. mai og velkommen til GDPR, 25. mai.
Digitaliseringen endrer samfunnet vårt på flere måter enn vi noen gang klarte å forutse og det digitale trusselbildet er i stadig endring.