3, juli 2020
Varför GDPR-sanktionerna är det bästa som hänt cybersäkerhet
Data och GDPR
Data har blivit en av de viktigaste tillgångarna hos företag idag.
På grund av detta är incitamenten att hantera, korsreferera och publicera data högre än någonsin.
Oundvikligen kommer detta påverka den personliga integriteten.
Den naturliga konsekvensen är således (som så ofta) reglering. In kommer den nya dataskyddsförordningen GDPR! Ingen har väl vid det här laget missat diskussionerna kring de effekter denna har på företag i form av implementation och regelefterlevnad.
GDPR kommer innebära helt nya krav på företag i form av den övergripande hanteringen av data.
Det finns dock positiva aspekter kopplade till detta!
Det slutgiltiga målet med GDPR är att skapa en säker hantering och ägarskap av data. Förhoppningen är att det ska leda till ett bättre och säkrare internet, såväl för privatpersoner som för juridiska personer.
De två rollerna i GDPR
Precis som tidigare är det två roller som är centrala när det gäller hanteringen av personuppgifter:
- Personuppgiftsansvariga
I praktiken kommer alla organisationer vara Personuppgiftsansvariga på ett eller annat sätt, förutsatt att de hanterar persondata. - Personuppgiftsbiträden
Många företag (såsom exempelvis lönehanteringsföretag, reseföretag och marknadsföretag) kommer vara Personuppgiftsbiträden å andra företags räkning. Samtidigt kommer de vara Personuppgiftsansvariga för den data de hanterar för den egna verksamheten.
Hur GDPR kan leda vägen mot ett säkrare internet
Sanktioner är centralt i GDPR och något som kommer driva processen framåt. Sanktionerna beskrivs i artikel 83 i GDPR och kan drabba både Personuppgiftsansvariga och Personuppgiftsbiträden.
Sanktionerna kommer i två nivåer. Vissa typer av handlingar som bryter mot GDPR kan leda till böter upp till 10 miljoner Euro eller 2 % av den globala omsättningen det föregående räkenskapsåret (det som är högst). Medan andra kan leda till böter upp till 20 miljoner Euro eller 4% av den globala omsättningen det föregående räkenskapsåret (återigen, det som är högst).
Ska vi stanna där ett ögonblick? Böter till böter upp till 20 miljoner Euro eller 4% av den globala årliga omsättningen!
Så hur ska detta påverka sättet företag hanterar data?
Artikel 5 av GDPR redogör för de grundläggande principerna rörande hanteringen av persondata. Enligt artikeln ska data, bland annat, vara ”hanterat på ett sätt som säkerställer att lämpligt skydd av persondata, inklusive skydd mot otillåten eller olaglig hantering samt oavsiktlig förlust, förstörelse eller skada, genom användande av lämpliga tekniska samt organisatoriska åtgärder”.
Vidare kan man utläsa att ”hanteraren ska implementera lämpliga tekniska och organisatoriska åtgärder för säkerställande att, som standard, enbart den persondata som är nödvändig för det specifika ändamålet av hanteringen är hanterat”.
Artikel 32 fastställer kraven på data controllers och processors att ”implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå i paritet till risken”.
Enligt förordningen avgörs en säkerhetsåtgärds ”lämplighet” som situationsspecifik och beroende på "the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons".
Allt detta är ett väldigt invecklat sätt att säga att företag måste se över inte bara hur de lagrar och hanterar data, utan även implementationen av tekniska lösningar och styrdokument för att säkerställa att de är aktuella och inte sårbara genom externa attacker eller informationsläckor vid hantering.
Summa summarum
Datahantering kommer i allt högre grad regleras.
Detta innebär att företag kommer bli tvungna att vidta cybersäkerhetsåtgärder enligt bästa praxis för att skydda den persondata de behandlar, inklusive allt från e-mail till digitala arkiv. De kommer även få säkerställa att de inte lagrar information längre än absolut nödvändigt.
Bästa praxis bestäms av känsligheten hos den data som hanteras samt risken för privatpersoner om den skulle läcka ut.
Den positiva aspekten av detta är att nämnda sanktioner skapar starka incitament hos företag att efterleva GDPR. Resultatet är förutsägbarhet gällande de regulatoriska kraven på datahantering, och marknaden gillar förutsägbarhet.
Ökad reglering kan även leda till att frågan kring cybersäkerhet förflyttas tas upp på styrelse och ledningsgruppsnivå. Enligt en nyligen publicerad undersökning av Harvard Business Review ansåg bara 8% av styrelsemedlemmar att cybersäkerhet är en strategisk risk, medan 38% ansåg att ökad reglering är en strategisk risk.
Sammanfattningsvis, GDPR har möjligheten att skapa en långsiktig plattform för datadrivna affärsmodeller. I och med att stor mängde information är tillgänglig via internet har GDPR potentialen att öka cybersäkerheten och göra internet till en ännu bättre plats att göra affärer på.