IT-expert: "Ett strutsbeteende"

Den nya regleringen ställer bland annat tuffare krav på hur data ska skyddas och hanteras. Information ska bland annat struktureras på ett tydligare sätt än i dag och företag måste bland annat med enkelhet kunna ta fram, men också radera kundinformation om en kund kräver det. 

Den senaste tiden har det kommit en rad undersökningar som visar att svenska företagare och myndigheter generellt är dåligt insatta i GDPR och vad det innebär.

34 procent

En ny undersökning från brittiska konsultblaget Opinium visar att hela 34 procent av svenska chefer inte vet vilken typ av persondata de lagrar och var den finns i dag. Sverige placerar sig därmed i botten inom EU. I undersökningen ingick 102 svenskar i beslutsfattande positioner på svenska företag och myndigheter med över 500 anställd.  

En annan rapport som släpptes i augusti i år av it-säkerhetsbolaget NTT Security visar att bara 40 procent av världens chefer har koll på GDPR. 1.350 beslutsfattare i större bolag (inklusive banker) i elva olika länder deltog i den undersökningen.

Johan Noren är affärsutvecklare på it-säkerhetsbolaget Infingate med närvaro i nio länder. Han föreläser också om compliance-frågor och är inte förvånad över resultaten ovan. 

– De företag jag är ute och pratar med kring GDPR har extremt dålig koll på det. Många talar om att det handlar om processer, medan andra känner att de inte kan få bukt med de olika sektionerna i förordningen och hur man skyddar data med kryptering, säger Johan Noren. 

"Går alltid utreda"

Han upplever att svenskar generellt har låg kännedom om kryptering, vilket är en viktig komponent i GDPR. De flesta använder fortfarande vanliga användarnamn och lösenord. 

– Det är ett strutsfenomen. Många gör en utredning som inte leder någon vart. Det behövs därför ny vett- och etikett kring hur man skapar överblick över data och höjer sin datasäkerhet. Jag välkomnar därför GDPR och hoppas att den leder till en förbättring. 

Om man inte följer GDPR kan man påföras böter som uppgår till 2 eller som mest 4 procent av årsomsättningen, vilket blir enorma bötesbelopp för stora bolag.

– Många borde damma av sina it-säkerhetsmanualer. För de flesta har välformulerade it-riktlinjer, men som de inte lever efter. För varför skulle annars företag drabbas av skadlig kod, trots att det i dag finns tydlig vägledning i hur man underhåller sina system och hur man använder så kallade sårbarhets-scanners? Uppenbarligen förlitar sig bolag istället på falsk trygghet.

Ta hjälp av affärsjurister

Datainspektionen blir det organ i Sverige som ska kontrollera att bolag följer lagen. Johan Noren uppmanar alla som berörs av den nya förordningen att gå någon utav de många GDPR-utbildningar som Datainspektionen erbjuder kostnadsfritt. Han tycker också att företagare ska prata mer med affärsjurister som ofta har djupa kunskaper om nya förordningar av detta slag.

– De flesta har bra koll på sina applikationer och huruvida det finns en öppning in i företagets hård- och mjukvara. Men om man inte uppdaterar och konfigurerar sina system så spelar det ingen roll vad man har för skydd, konstaterar Johan Noren.

Han framhåller dock att det finns många bolag som kommit långt i sitt compliance-arbete när det kommer till GDPR. Det gäller framför allt de aktörer som har någon form av finansiella krav på sig. 

– Men inte heller de är tillräckligt bra när det kommer till ansvarsfördelning kring vem som ansvarar för vad och vad man använder för autentisering inom området datasäkerhet. Det man istället främst tittar på och har processer för är finansiella uppgifter. Men med GDPR måste du ha ett mycket bredare fokus.

Få register

Och det är hög tid att agera, för från och med maj måste alla företag och myndigheter rapportera it-incidenter i sina system till Datainspektionen. 

– Om du inte rapporterar intrång så bryter du mot lagen. Du måste veta hur många som drabbats av exempelvis en cyberattack och förmedla den informationen. Men få har sådana register på plats i dag, säger han.

Landsting och kommuner har dock varit tvungna att strukturera data på ett tydligare sätt då de enligt PUL måste vara mer transparenta. Det ska exempelvis gå att spåra vem som ändrar i en sjukvårdsjournal.

– De har en bra grund att stå på, men det betyder inte att de har hundra procentig koll på GDPR, säger Johan Noren

Han tillägger att PUL är mer otidsenlig än någonsin.

– När lagtexten PUL skrevs 1995 skickade svenskarna i genomsnitt 0,4 sms per månad, medan det i dag rör sig om ofantliga mängder data som skickas och passerar olika system varje sekund.