Den 25 maj var det ett år sedan EU:s dataskyddsförordning GDPR trädde i kraft. Men vad har vi egentligen lärt oss? Brian Wagner från Amazon Web Services ger sin syn på erfarenheterna från det första året.
Grattis på ettårsdagen GDPR!
Mest läst i kategorin
Vid det här laget har det nog gått upp för de flesta organisationer att GDPR inte är en rak och enkel lag att implementera. Även om det talats mycket och skrivits ännu mer har det blivit tydligt att GDPR inte är ett färdigt ramverk med klara och koncisa kravställningar. Det medföljer ingen checklista eller referensarkitektur. I stället har företag lagt tid och resurser på att göra sin egen tolkning av hur de ska applicera GDPR inom verksamheten.
Funderingar kring GDPR brukar kretsa kring tre huvudfrågor.
Är jag trygg med mitt personuppgiftsbiträde?
Vad ska jag göra med den data jag redan hanterar?
Hur designar jag mina produkter och tjänster ur ett integritetsperspektiv?
I molnet appliceras dessa frågor ofta på en modell byggd kring delat ansvar. Organisationer måste noggrant kontrollera sina personuppgiftsbiträden och det ligger på dem att säkra sin egen data. Men många har upptäckt att deras molnleverantör redan har allt som krävs för att tillgodose GDPR-kraven, vilket gjort resan betydligt enklare.
GDPR kräver att personuppgiftsbiträden ska förstå vilken data de lagrar, var den lagras, vem som har tillgång och varför. Att förstå teknologin och infrastrukturen bakom är därför centralt. Vi har även märkt hur företag efterfrågar mer transparens från molnleverantörer om hur de skyddar sina produkter och tjänster och vilka kontrollmekanismer de själva har implementerat i sin roll som personuppgiftsbiträden. Och i de tillfällen där kunden valt en extern leverantör utanför egen kontroll har fasta standarder som SOC, ISO och PCI blivit måttstockar för leverantörens pålitlighet.
När det kommer till dataägarens ansvar visar det gångna årets GDPR-erfarenhet att förvaltningen av persondata berör i princip alla delar av deras teknikplattformar. Att börja om från noll är med andra ord inget gångbart alternativ. Istället utforskar företag nya verktyg och teknologier för att hålla koll på var deras data befinner sig så att de kan fatta välgrundade beslut om hur de ska skydda den ytterligare och begränsa tillgången för icke-behöriga.
Företag har också börjat tänka på dataskydd och integritet när de utvecklar nya applikationer eller som ett tydligt kriterium vid val av nya leverantörer. Här har leverantörer av molntjänster och deras ekosystem av partners spelat en stor roll – inte minst för att de erbjuder nyckelfärdiga lösningar för att hitta och katalogisera data.
Ett år av GDPR har hjälpt företag att reflektera över sin roll i att skydda data om alla de personer de interagerar med på daglig basis. För företag som likt oss på Amazon Web Services (AWS) erbjuder den infrastruktur som företagen använder för att köra dessa produkter har GDPR lett till innovation och utveckling av nya verktyg. AWS har fler än 500 funktioner och tjänster fokuserade på säkerhet och regelefterlevnad, och det finns partners inom Amazon Partner Network som är redo att hjälpa företag ta nästa steg på sin säkerhetsresa.
Till sist är den allra viktigaste konsekvensen av GDPR att EU-medborgarna fått utökad integritet och stärkt skydd av personlig information. Vi är inte i mål ännu, och branschen måste fortsätta driva på för att höja säkerhetsribban ytterligare. Men vi har kommit en bra bit på vägen.
Grattis på ettårsdagen, GDPR, må du fortsätta verka i många år framöver!
Brian Wagner, Head of Compliance, EMEA, AWS Financial Services