I december (2015) förväntas en ny EU-dataskyddslag (GDPR) att drivas igenom. Lagen kommer att innebära massiva förändringar för alla de instanser som idag verkar under PuL och PDL och utan förebyggande insatser kan lagen komma att lamslå hela IT-avdelningar.
Såväl privat som offentlig sektor står inför mycket stora utmaningar då Europarådet förväntas godkänna General Data Protection Regulation (GDPR) i december i år.
Förordningen kommer automatiskt att omsättas till nationell lagstiftning vilket medför verksamhetskritiska förändringar i hanteringen av personuppgifter och patientdata. Peter Törnqvist, ansvarig för offentlig sektor hos mjukvaruföretaget Websense, förtydligar problematiken:
– Vi har ju sedan länge svensk lagstiftning som exempelvis PuL och PDL, men det har saknats eftertryckliga konsekvenser för de som inte har efterlevt regelverken. Allt pekar nu på att GDPR träder i full kraft från januari 2018 och då förändras förutsättningarna betydligt. En överträdelse kommer att betyda viten/böter på upp till 2 procent av organisationens omsättning, vid varje tillfälle en överträdelse sker. Det kommer sannolikt att fånga ledningens intresse och en effekt kan mycket väl bli att många planerade IT-projekt får ställas in redan under nästa år och en bra bit in i 2018.
Ta kontroll över flödet
De senaste årens fokus på tillgänglighet 24/7 är i sig inte problematiskt. Men när detta sker på bekostnad av informationssäkerhet tappar man snabbt och lätt kontrollen. Vi vet t.ex. att flera organisationer fortfarande är helt blinda för mer än 50% av sin organisations webbtrafik (https) där många transaktioner av känslig information sker till molntjänster, webb-mail och till personliga lagringsytor som DropBox.
GDPR kommer att ställa stränga krav på spårbarhet och kontroll genom hela kedjan av informationsflödet. Var finns berörd informationen lagrad, vem/vilka har åtkomst till och får arbeta med den, hur får den distribueras osv.
Det går självklart att kombinera tillgänglighet och säkerhet, men då behöver man göra rätt från början. GDPR handlar om informationssäkerhet och riskhantering.
Websense mjukvara TRITON erbjuder organisationer att genom endast ett centralt gränssnitt snabbt och effektivt få kontroll över, och insikt i, hur informationsflödet ser ut inom deras verksamheter.
Det är viktigt och avgörande att redan idag skaffa sig en bild av nuläget för att kunna prioritera det kommande arbetet med nya processer och teknologier som kommer att behövas för att kunna påvisa efterlevnaden av GDPR.
Alla läcker information
Törnqvist understryker att den stora mängden information som delas idag sker via webb eller e-post. I Websense TRITON kombineras ett starkt skydd mot att skadlig kod kommer in, med ännu starkare skydd för att förhindra att information läcker ut och om något avviker från normen höjs en varningens flagga och olika åtgärder kan vidtas. Det gäller också klienten som informationen skickas ifrån. Programvaran kan med andra ord identifiera och motverka brister i de kanaler vi använder för att kommunicera, oavsett om det gäller skadlig kod, dataförlust eller oavsiktligt informationsläckage.
– Jag vågar påstå att alla läcker information. I samtliga analyser som jag har deltagit i under 2013-2015 har informationsläckage förekommit. Det borde vara en naturlig hygienfaktor att regelbundet analysera sin organisations informationsflöden. Inte bara för att mäta efterlevnaden av lagstiftningar och standarder utan lika mycket för att kunna bedriva ett effektivt arbete med informationssäkerhet, och riskhantering.
Kaos kan inte uteslutas
I förlängningen handlar det kommande arbetet om riskhantering och Törnqvist betonar att konsekvenserna av att prokrastinera kan – förutom att vara extremt kostsamt – skapa en del kaos för hela verksamheten då fokus måste riktas mot ”hur ser nuläget ut och var börjar vi?”
– Med TRITON kan all information samlas på en plats och rapporter om ett nuläge regelbundet skickas till berörda parter. Det är kortfattat en klok investering man inte har råd att avstå, avslutar Peter Törnqvist.
Websense
Mäster Samuelsgatan 60
111 21 Stockholm
Tel: 08-505 165 70
E-post: ptornqvist@websense.com
www.websense.com