Informationssäkerhet – att säga eller att göra, det är frågan

Informationssäkerhet har hamnat högt upp på organisationers agenda, särskilt efter nya dataskyddsförordningen GDPR, men även efter skandalen kring Transportstyrelsen 2017. Många organisationer arbetar flitigt med digitaliseringen och säkerheten kring hantering av digitala data, men ändå kommer det fortfarande in många klagomål och anmälningar till Datainspektionen om personuppgiftshantering á la GDPR.

GDPR – kvalitétsarbete eller laguppfyllnad?

Den 25 maj 2018 implementerades dataskyddsförordningen GDPR i EU, som är en del av informationssäkerheten. Nyligen publicerade Datainspektionen en Nationell integritetsrapport som visar hur implementeringen av GDPR har gått för Sveriges organisationer. Gällande arbetet med integritet och dataskydd har IT- och telekombranschen kommit längre än andra branscher. Hälften av offentliga och privata verksamheter anser att de arbetar aktivt med dataskydd bl.a. genom ett mer strukturerat kvalitétsarbete kopplat till sina egna verksamheter.

Datainspektionens integritetsrapport visar hur företag, myndigheter och andra organisationer arbetat för att anpassa sig till förordningen. Trots många inkomna klagomål, anmälningar och minskat förtroende för sociala medier och appar visar rapporten att organisationer har åstadkommit mycket under året.

Mycket har åstadkommits, men hur långt har man egentligen kommit?

Majoriteten av medborgarna i Sverige vet vad GDPR är och vilka rättigheter förordningen ger oss som privatpersoner, men enligt Datainspektionen saknar hälften av Sveriges verksamheter ett aktivt och kontinuerligt arbete med dataskydd. Utifrån rapporten går det också att antyda en bristfällig kompetens om hur förordningen ska implementeras i mindre verksamheter, samt ett lågt intresse från ledningsgrupper inom vissa organisationer. Myndigheter och kommuner, å andra sidan, står inför andra utmaningar eftersom de ofta har många och äldre system som tar lång tid att integrera med nya interna system samt molntjänster.

Hur arbetar Savecore med informationssäkerhet & GDPR?

Savecore erbjuder konsulttjänster och tekniklösningar som kan underlätta er organisations arbete med informationssäkerhet. Anders Nordlander arbetar i kunduppdrag som certifierat dataskyddsombud och har mångårig erfarenhet inom informationssäkerhet.

Så här gör du

Här ger Anders sina insikter i hur man som organisation ska hantera detta.

1. Varför ska man arbeta med informationssäkerhet?
Allt är en förtroendefråga mellan olika parter. Att värna om personlig integritet är väsentligt då det både handlar om personuppgifter och organisationers digitala information. Om information läcks är det viktigt att organisationen agerar effektivt enligt fastställda rutiner för incidentrapportering. Informationen behöver klassas då det finns olika typer av information och digitala data. Man behöver ha koll på vem som har tillgång till och var informationen kommer ifrån samt ha en sund livscykelhantering; när ska informationen sparas? När ska informationen arkiveras eller gallras? Hur gör man det med bäst säkerhet?

2. Vad ska man tänka på kring GDPR?
Som organisation ska man arbeta transparent och vara tydlig med hur man använder sina kunders personuppgifter och data. Ju mer transparent, tydligt och informativt man arbetar, desto mer förtroende får man hos sina kunder. Informationssäkerhet med fokus på personuppgiftshantering och GDPR ska vara en del i organisationers dagliga kvalitétsarbete och styras genom verksamhetsstyrning, d.v.s. främst genom ansvar och befogenheter.

3. Hur går man tillväga?
Genom sunt förnuft, att kommunicera och öka medvetenhet i sin organisation har man goda förutsättningar att kunna arbeta kvalitativt med informationssäkerhet. Det kan låta självklart, men i praktiken handlar det mest om att få med alla på resan. För att påbörja ett effektivt informationssäkerhetsarbete med fokus på personuppgiftshantering och GDPR är grunden att fastställa syfte och ändamål med behandlingen av ovanstående. Inställningen bör vara att inte hantera mer personuppgifter än vad man behöver. Här kommer återigen sunt förnuft in i behovsbilden; vad är det man verkligen behöver? Självklart måste man hålla koll på förutsättningarna kring egna verksamheter för laguppfyllnad, men när det kommer till praktiken så handlar det mest om hur man gör och inte vad man säger att man gör.

Kontakta anders@savecore.se eller sales@savecore.se för mer information.

Blogginlägg skrivet av Albin Jonsson Fjällby.

Läs mer

IT-säkerhet 2019: Detta behöver du ha koll på
Molntjänster – en utmaning och möjlighet
Hjälp med GDPR?