Ny EU-lov: Kan du leve op til de nye krav om dokumentation?

24-06-2016

Efter fire års forhandlinger i EU står det nu klart, at den nye persondataforordning træder i kraft i begyndelsen af 2018. Forordningen betyder, at kravene til hvad du skal kunne dokumentere stiger eksplosivt, og at du bliver nødt til at justere din it-kultur for at leve op til dem.

Den nye persondataforordning betyder, at du nu – i modsætning til tidligere – skal underrette myndighederne, hvis der sker et brud på datasikkerheden, og at du altid kan dokumentere, at du overholder reglerne. Og så bliver der skruet alvorligt op for bødestørrelserne, så din virksomhed kan få en bøde på op til 4% af den årlige omsætning eller 20 millioner euro, hvis du ikke overholder reglerne.

 "Det bliver ekstremt vigtigt at kunne dokumentere, hvad du gør. Fordi der bliver større fokus på dokumentationen, er der også større mulighed for at blive kigget i kortene. Og der skal du leve op til helt nye krav, for eksempel inden for hvem der behandler de personfølsomme data, du ligger inde med. At gå fra udokumenteret til dokumenteret datahåndtering tager lang tid, så det er med at begynde tidligt," siger Bjarke Nielsen, der er sikkerhedschef i Itadel.

For det stopper ikke bare ved dokumentationen. Den nye EU-forordning betyder også, at du skal kunne bevise, at du lever op til dine egne procedurer for, hvordan du arbejder med dine data. Du skal have kortlagt hele det flow af data, der er i din virksomhed. Hvor ligger de? Hvor bevæger de sig hen, når du arbejder med dem, og kan du dokumentere, at personfølsomme oplysninger er slettet, hvis det bliver nødvendigt?

"Forordningen kalder det adgang baseret på arbejdsbetinget behov, og det betyder, at du kun skal have adgang til det, som din jobfunktion kræver – ikke mere og ikke i en længere periode end dit behov kræver. Derfor bliver logning centralt for din dokumentation. For du skal kunne afstemme dem, der har adgang med dem, der faktisk bruger systemet, og det er en svær øvelse," siger Bjarke Nielsen.

Den nye forordning kan betyde, at din virksomheds grundlæggende tilgang til at arbejde med data og it-systemer skal laves om. Altså skal du ikke bare have strukturen og de rigtige systemer til at hjælpe dig, du skal også sørge for, at alle de personer, der har adgang til dine data, forstår, hvordan de skal arbejde. Man bruger begrebet ”Privacy by Design” som et udtryk for, at sikkerheden skal tænkes ind i løsninger allerede i designfasen.

"De nye krav vil presse din virksomhed til at blive mere moden på it-sikkerhedsområdet. Og det er en lang rejse, fordi det også handler om, at den kultur, der allerede er opbygget i din virksomhed, måske skal laves om. Det er den samme rejse, vi selv har været på i Itadel med implementeringen af vores ISO 27001 certificering. Det stiller os godt i forhold til den nye forordning, men det er ikke nemt, og derfor er vi i gang med at investere i yderligere styrkelse af muligheder for loggning og access management generelt," forklarer Itadels sikkerhedschef, Bjarke Nielsen.