Fredagen den 4 maj arrangerade DF Norrbottens nya nätverk LulSec ett lunchseminarium kallat ”Genvägen till GDPR”. Det blev fullbokat och vi var ett 40-tal personer som samlades i Luleå Energi Arena.
LulSec är ett alldeles nytt nätverk inom DF Norrbotten. Det är till för alla som är intresserade av informationssäkerhet. Nätverksledare är Martin Lundgren, som forskar inom detta område vid Luleå tekniska universitet. Martin är även ordförande i DF Norrbotten sedan mars 2018. Det var också han som inledde lunchseminariet, hälsade oss välkomna och presenterade dagens talare, Pasi Hautamäki från Tieto i Luleå.
Det närmar sig deadline
Det stora deltagarantalet bekräftar att det finns ett stort intresse för den nya dataskyddsförordningen, GDPR, just nu. Det är ju bara några veckor kvar till den 25 maj, då den träder i kraft. GDPR står för General Data Protection Regulation och är ett regelverk för hela EU, som ersätter vår svenska personuppgiftlag, populärt kallad PUL.
Pasi Hautamäki inledde med ett par frågor till åhörarna:
– Hur många här har ännu inte påbörjat arbetet med GDPR?
Ingen räckte upp handen.
– Hur många är helt klara?
Ingen räckte upp handen nu heller.
Det är väl så läget är i de flesta organisationer. Alla har börjat men knappt någon lär vara helt klar förrän de sista dagarna innan den 25 maj.
En checklista
Pasi presenterade en checklista med 15 punkter, som ett exempel på vad man bör göra och hur man bör tänka när man arbetar med att anpassa sig till vad GDPR föreskriver. Den såg ut så här, på rubriknivå:
- Skaffa resurser
- Börja dokumentera
- Samordna organisationen
- Utse ansvariga
- Kommunicera internt
- Läs på principerna för behandling av personuppgifter
- Inventera vilka personuppgifter man hanterar
- Stäm av ändamålen
- Kartlägg systemen
- Avgör på vilka lagliga grunder uppgifter behandlas
- Ta det säkra före det osäkra – se till att ha samtycke!
- Kontrollera säkerheten
- Granska alla avtal
- Sätt upp rutiner/checklistor
- Utbilda medarbetare
– Checklistan är bara ett exempel. Det finns ofta fler saker att tänka på, säger Pasi och får hjälp av åhörarna med ett par punkter till:
- Hur man hanterar införande av nya system
Rutinerna för intern incidentrapporteringen (externt gäller 72 timmar mot Datainspektionen)
Pasi tryckte på att GDPR inte är en fråga enbart för IT-avdelningen utan för hela företaget eller organisationen. Att man ska följa regelverket ska vara väl förankrat och sanktionerat från ledningen. Det bör ske ”top down” och inte, som det ofta visat sig göra, på initiativ underifrån i organisationen.
Många organisationer behöver inrätta en ny befattning kallad Dataskyddsombud eller DPO (Data Protection Officer), för de som föredrar den engelska beteckningen. Det är Dataskyddsombudet som ansvarar för rapporteringen mot Datainspektionen.
Datasäkerhet
Pasi påpekar att förordningen nämner kryptering 19 gånger. Kryptering är alltså någonting som man förordar.
– Data som är krypterad är ingen data, det är ”gallimatias”, säger Pasi.
– Men man måste ha koll på sina krypteringsnycklar.
Han berättar också om ett elektroniskt ID som heter Freja eID och som är ett bra alternativ till de elektroniska bank-ID som finns. Läs mer om detta på www.frejaeid.com.
Pasi delade med sig av ett sätt att tänka för att få ett enkelt förhållningssätt till GDPR;
– Du lånar personuppgifterna och någon gång måste du lämna tillbaka dem och då måste du veta var du har dem!
Text: Bengt-Erik Johansson, Ord & Mening i Norr, www.ordochmening.se
Bild: Veronica Törnblom, LTU