GDPR − en skrämmande möjlighet för finansiella verksamheter

Det är bråttom. Ni som inte har inlett arbetet att anpassa er verksamhet till den nya datalagstiftningen behöver sätta fart nu. Den 25 maj 2018 träder EU:s nya dataskyddslag GDPR i kraft och klockan tickar. Här får du några goda råd från experterna.

Se presentationerna från seminariet

De som inte efterlever GDPR riskerar höga böter, betydligt högre än med den tandlösa Personuppgiftslagen, men det viktigaste skälet att efterleva GDPR är risken att skada sitt varumärke. Marknaden kommer att straffa de som inte vet vad som gäller, menar Sofia Edvardsen, vd på affärsjuristerna Sharp Cookies Advisors;

- Leverantörerna kommer att ha fantastiska verktyg för att hjälpa er, men det räcker inte. Ni behöver också förändra kulturen i företaget och hitta nya processer som efterlever riktlinjerna i GDPR.

Sofia Edvardsen var en av talarna vid ett seminarium om GDPR som Interxion höll tillsammans med City Network i Stockholm den 28 mars. Det handlade om hur man ska göra för att efterleva de nya regulatoriska kraven med hjälp av moderna IT-infrastrukturtjänster. I publiken satt främst aktörer från den finansiella sfären, och de fick samma budskap från alla talare på scenen: Börja med en GAP-analys.

- En GAP-analys hjälper till att identifiera de största svagheterna i systemet. Hur sannolikt är det att den här applikationen, plattformen eller systemet kommer att ställa till problem och hur allvarligt skulle det vara? Börja med att åtgärda de största säkerhetsriskerna först, var rådet från Daniel Gustafsson, ansvarig för enterprise services och compliance på IaaS-leverantören City Network.

- Finansiella aktörer har redan en hel del erfarenhet av rapporteringskrav till myndigheter, men den nya dataskyddsförordningen GDPR innebär en betydlig förändring och uppstramning även för dem. Själva processen att bli compliant kommer att variera från fall till fall − för vissa kommer det att bli väldigt dyrt och andra kommer säkert billigare undan. Men en sak är säker, enligt Daniel Gustafsson − de löpande administrationskostnaderna kommer att öka. Det beror till stor del på att den nya lagen kräver bättre loggning, bättre monitorering och betydligt bättre strukturer för att hantera begäranden om rapporter och utdrag till myndigheter, kunder och slutanvändare.

- GDPR hjälper er att ta ett större ansvar för er data, vilket är bra. Det är också en bra anledning att börja titta på hybridlösningar och kanske fundera på om det finns något som ni inte behöver äga själva längre. GDPR tvingar er att modernisera, sa Daniel Gustafsson.

Patrick Lestennet, ansvarig för affärsutveckling av finansiella tjänster på Interxion, framhöll också värdet av GDPR och att den nya lagen kan stimulera innovation och skynda på en nödvändig digitalisering:

- GDPR är en viktig styrelsefråga och flera banker, som Barclays, ser den nya förordningen som en möjlighet att öka digitaliseringstakten i sina tjänster. De anser att GDPR erbjuder en metod för digital transformation.

Sofia Edvardsen på Sharp Cookie Advisors summerar GDPR

  • Accountability – alla aktörer ska kunna styrka att de efterlever lagen och denna princip gäller även underleverantörer.
  • Delat ansvar – Alla involverade aktörer delar ansvaret för att datan hanteras på rätt sätt, vilket ger leverantörer med dokumenterat god kunskap GDPR en fördel.
  • Transparens – Ni måste kunna redovisa vilken data som hanteras och hur den skyddas.
  • Rättelse och borttagning – Individen har rätt att begära både rättelse och att, åtminstone till viss del, få sin data raderad.
  • Ökat inflytande för privatpersoner – GDPR ger privatpersoner rätt att säga nej till vissa typer av databehandling.
  • Data protection officer – I alla företag där personlig data utgör en central komponent för verksamheten måste det finnas en DPO.
  • Ingen "onödig" persondata – Det är inte tillåtet att aggregera mer persondata än vad som är relevant för verksamheten.

Bästa tipsen från Daniel Gustafsson på City Network

  • Utse en data protection officer, DPO och bli bästis med den personen. Hen kan hjälpa företaget att undvika allvarliga misstag.
  • Använd bara system och appar med dokumenterad sårbarhetshantering.
  • Gör en genomlysning av hela informationskedjan i företaget, inklusive LAN, mobiler, cross connect rooms och så vidare.
  • Börja i liten skala. Identifiera och åtgärda de största säkerhetsriskerna först.

De tre största utmaningarna enligt Patrick Lastennet på Interxion

  • Se över säkerheten på alla nivåer – kryptering är centralt så att datan inte är användbar i fel händer.
  • Hantering av krypteringsnycklar – det har blivit en allt viktigare fråga hur man skyddar sina krypteringsnycklar.
  • Rapportering och spårbarhet – Det räcker inte att ni skyddar datan på rätt sätt, det måste kunna dokumenteras också.

Se presentationerna från seminariet