Hjälp dina kunder förbereda sig inför nya dataskyddslagen

EU beslutar om ny dataskyddslag - så påverkar det företag i Sverige

EU:s nya dataskyddsförordning ska börja tillämpas i mitten av 2018. Lagen ersätter de gamla direktiven kring dataskydd och samlar/enar de dataskyddslagar som finns runt om i EUs medlemsländerna.

De förändringar som främst kommer att påverka organisationer och företag är:

  • Dataskydd måste vara en inbyggt i organisationers affärsprocesser i alla system , nätverk och applikationer och erbjudas per automatik.
  • Personlig data får enbart behållas så länge som anses nödvändigt. Därefter måste informationen förstöras på ett säkert sätt eller anonymiseras.
  • Rätten att bli glömd. Användare har möjlighet att be att deras personliga data skall raderas. De har också rätt att be att en kopia av deras personliga data skickas till en tredje part.
  • Obligatorisk intrångsinformation. När organisationer drabbas av intrång som kan äventyra personlig data har de skyldighet att omedelbart rapportera detta till myndigheterna samt de individer som påverkas.
  • Straffavgifter för de organisationer som inte efterlever kraven. Böter på upp till 4% av organisationens årliga omsättning (world wide) eller 1 miljon EUR kan utdelas.

Vad är personlig data?
All information om en individ, oavsett om den har att göra med personens privatliv, yrkesliv eller offentliga liv. Detta inkluderar namn, foton, e-postadress, IP-adress, bankuppgifter, medicinsk information och till och med inlägg på social media.

Vilka påverkas?
General data Protection Regulation kommer att påverka alla organisationer som hanterar personlig data från en medborgare i ett EU-land. Detta betyder att företag som är baserade utanför EU, men som säljer varor eller tjänster till individer som är medborgare i ett EU-land, måste efterfölja den nya lagen.

När kommer lagen att träda i kraft?
Lagförslaget kommer att antas 24 maj 2016. Därefter tar det 2 år tills att lagen träder i kraft, dvs 25 maj 2018.

Varför borde jag bry mig redan nu?
För vissa organisationer kommer lagförändringen kräva omfattande förändringar av datahanteringen. 2 år kan definitivt behövas för att hinna implementera förändringarna.

Hur kan jag förbereda mig?

  1. Börja med att få en förståelse kring hur din organisation hanterar personlig data idag samt vilka som har tillgång till den.
  2. Begränsa tillgången till personlig data beroende på affärsbehovet och implementera system för att upptäcka och mota all obehörig tillgång till denna data.
  3. Utvärdera vilka säkerhetskontroller din organisation redan har implementerade för att skydda data, hur effektiva de är och vilka hål ni måste fylla igen. 
  4. Sätt en plan för vilka förbättringar som behöver genomföras med tanke på kompetens, program, processer och teknologi.
  5. Sätt upp en process för att meddela då dataintrång sker.

Men allra först: kontakta din leverantör av lösningar för IT- och datasäkerhet! 

Du har god tid på dig att förbereda din organisation. Använd de råd och tips du kan få!

Infinigate hjälper dig gärna!

Här kan du göra en snabbtest för att se hur väl förberedd din organisation är inför den nya lagen

Källor till ovan information:
Europeiska Kommissionen
Rapid7
Sophos