Ny skrap EU-datalov får konsekvenser for dig: Sådan kan du ruste din virksomhed

ComputerViews: EU er på vej med en omfattende opdatering af den 19 år gamle persondata-lov. Alle virksomheder og alle it-chefer i Danmark vil komme til at mærke konsekvenserne af den nye lov. Se nogle af dem her.

Annonce:
Annonce:
ComputerViews: For første gang i mange år er den europæiske data-beskyttelses-lov ved at blive opdateret, og det er noget, der vil få konsekvenser for stort set alle danskere og danske virksomheder.

De kommende EU-regler betyder nemlig, at organisationer og virksomheder risikerer markante straffe og sanktioner, hvis de ikke lever op til reglerne.

Reglerne vil til gengæld i langt højere grad end tidligere kræve, at virksomhederne kan dokumentere, at deres personhenførbare data - altså oplysninger, der kan anvendes til at identificere enkelt-personer - ikke misbruges, ligesom de skal leve op til en række skærpede krav om behandling af persondata.

Ideen er, at virksomheder og organisationer skal tvinges til at få totalt overblik og kontrol over data-flowet gennem virksomheden i hele den såkaldte 'data life cycle' - en ting, som mange virksomheder i dag i meget stor udstrækning forsømmer, fordi sikkerhed omkring person-data ikke bliver regnet for at være decideret forretnings-kritiske.

For EU gælder det, at den teknologiske udvikling buldrer afsted med så høj fart, at de nuværende regler for beskyttelse af borgernes eller virksomhedernes private data er faldet helt bag af dansen.

Den nuværende forordning på området stammer således helt tilbage fra 1995 og er for længst blevet overhalet af den teknologiske udvikling med sociale medier, cloud computing og lignende, hvor data forbindes på kryds og tværs og bliver vigtigere og vigtigere, mens hacker-industrien på den anden side modnes og professionaliseres.

Samtidig sigter EU efter med de nye regler at få formuleret et samlet regelsæt for databeskyttelse på tværs af hele Europa, hvor der i dag gælder vidt forskellige regler i de forskellige lande.

Ligeledes vil EU med de nye regler indføre en slags 'one-stop'-funktion, hvor organisationer og borgere skal kunne nøjes med at henvende sig ét sted fremfor hos en lang række instanser, hvis uheldet skulle være ude.

Annonce:

Strafferammen skærpes
Med de nye regler skærpes strafferammen for brud på reglerne ganske markant.

EU varsler nemlig bøder på op til to procent af den globale omsætning for brud på datasikkerheden eller maksimalt en million euro for de alvorligste brud.

Til sammenligning er Datatilsynets hidtil højeste bøde på 25.000 kroner.

Samtidig - og det er måske reelt det værste for virksomhederne - indfører EU skrappe regler, når det gælder pligten til at informere om brud.

Virksomheder skal nemlig selv inden for en kort tidsramme efter opdagelsen af et brud på datasikkerheden, selv informere samtlige ramte organisationer og personer om, hvad der er sket.

Datatilsynet skal orienteres inden for 24 timer, mens alle involverede skal informeres 'hurtigst muligt.'

Tab af omdømme er det værste
Det er en ganske alvorlig sanktion for virksomhederne, for for mange virksomheder hører netop tab af troværdighed og omdømme nemlig til blandt de værste konsekvenser ved brud på it-sikkerheden.

Det teknologiske og det produkt-mæssige samt eksempelvis en (lille) bøde fra Datatilsynet kan nemlig oftest relativt hurtigt ordnes efter et eventuelt hacker-angreb eller brud på datasikkerheden, mens tab af troværdighed overfor kunder, leverandører, partnere og lignende kan få langvarig negativ effekt for forretningen.

Havde denne regel været gældende ved eksempelvis opdagelsen af det omstridte hacker-indbrud i CPR-registreret ville det altså have betydet, at CSC 'hurtigst muligt' efter opdagelsen ville skulle have informeret samtlige berørte danskere - altså flere millioner - om den mulige kompromitering af deres CPR-nummer.

Der vil komme flere sager
Der vil utvivlsom følge flere sager af denne karakter, som vi i dag slet intet hører om.

For i det skiftende it-sikkerhedslandskab regnes det i dag for en grundlæggende tendens, at ingen virksomheder er i stand til at holde alle hackere og al malware ude.

Det kan du læse mere om her: Hackerne kommer - og du kan (næsten) intet gøre

Her handler det i stedet om at være dygtig til at beskytte sig rigtigt og mod den rigtige malware.

De skrappe regler har her netop til hensigt at forandre virksomhedernes syn på it-sikkerhed:

It-cheferne skal tvinges til at have totalt styr på al data i virksomheden og på dens vej gennem virksomheden, hvor vi ved, at det langt fra er alle virksomheder, der i dag er klar over, hvorvidt der er blevet stjålet data fra virksomhederne, ligesom de i givet fald ikke ved, hvilke data, der er blevet stjålet.

Annonce:

Det gjaldt også CSC, der først langt tid efter det store CPR-hack opdagede, at der havde været ubudne gæster på besøg.

Det kan du læse mere om her: Det store CPR-hack - så alvorligt er det.

Især de større firmaer er i dag allerede begyndt at rumle med ideen om at hyre data-sikkerheds-chefer (DPO eller 'data protection officers'), og EU arbejder med en plan om at tvinge alle virksomheder til at udnævne en databeskyttelses-ansvarlig.

De ansvarlige skal tage vare på virksomhedens datasikkerhed, der jo inden længe vil kunne komme til at koste dyrt.

Det kan du læse mere om her: Tvang: Skal dit firma ansætte en databeskyttelses-chef eller smutter du under søgelyset?

DPO'ens (eller hvad vi nu skal kalde ham) opgave ligger lige for, og virksomheder kan sådan set sagtens gå i gang med at forberede sig på det kommende EU-regelsæt, hvor der for tiden arbejdes med en indkøringsfase på to år efter, at det formelt vedtages.

Nogle relevante opgaver i forberedelsen frem mod direktivets indførelse:

Få overblik over data - og rens ud?
Hvornår har du sidst gennemført en data-audit, hvor du har fået klarlagt nøjagtigt, hvor virksomhedens data er gemt samt hvor meget, der er anvendeligt og hvor meget, der er junk?

Vi har tidligere skrevet om den såkaldte 'skygge-it,' der får lov til at blomstre, hvis CIO'en mister grebet om it-styringen i virksomheden.

Det kan du læse mere om her: Den frygtede skygge-it: Når it kommer ud af kontrol.

En oprydning og gennemgang af al data vil gøre det langt nemmere at skabe overblik, når først EU-regelsættet træder i kraft, og hammeren vil begynde falde, hvis der er datalæk eller lignende - også selv om it-afdelingen ikke havde nogen anelse om, hvad der skete.

Få styr på ejerskab
Hvem har ansvaret for de forskellige data i virksomheden?

I mange virksomheder sejler det ofte (ligesom data sejler rundt), men med de varslede EU-bøder i gigantstørrelse er det vigtigt, at der kommer ansvarlige ejermænd - en DPO, et eksternt firma, en CIO, en it-chef - på de forskellige data, som sørger for, at data-håndteringen lever op til de nye regler.

Det kan der være mange fordele i, og selv om data-beskyttelses-regelsættet sikkert først kommer til at træde rigtigt i kraft om et par år, kan det være en god ide allerede nu at begynde at tænke i disse baner, så virksomheden er forberedt og veltrimmet - ikke bare for EU's skyld, men også for egen skyld.

En veltrimmet virksomhed med styr på compliance fungerer altså bare bedre end det modsatte.

Forbered dig på det værst tænkelige
Hvad vil virksomheden gøre, hvis der pludselig kommer et brud på datasikkerheden for dagen?

Med i EU-reglerne er kravet om, at virksomheden inden for 72 timer informerer alle berørte om et brud på datasikkerheden. Det kan være en stor opgave, som kræver, at man har styr på sine processer og handlemåder, inden uheldet er ude.

Hvem skal sende hvad ud? Hvem har ansvaret for udsendelsen? Hvem gør hvad hvornår?

Det kan være en fordel allerede i dag at begynde at kigge på disse processer, som også i dag kan vise sig nyttige.

Få styr på data
Grundlæggende handler det for virksomhederne om at:

- Kende virksomhedens data.

- Kende data-flowet gennem virksomheden.

- Fastslå ejerskab over data.

- Formulere en beredskabsplan.

- Udvikle nye processer, der understøtter gennemsigtigheden i data-flowet.

EU sigter efter at vedtage det nye regelsæt i løbet af 2015, men det kan meget vel være, at beslutningen vil trække ud.

Efter beslutningen vil der komme en indkøringsfase på to år, inden hammeren for alvor vil falde, så det kommende direktiv indføres i 2017 eller 2018.

Analysehuset IDC forventer, at EU i første omgang vil udvælge forskellige prøvesager blandt større virksomheder, som skal statuere over for andre virksomheder, at EU mener databeskyttelsen alvorligt.

Har din virksomhed styr på alle person-data? Giver EU-forordningen mening? Hvad er den største udfordring?

Giv dit besyv med i debatfeltet herunder.

Læs også:

Glem alt om privacy - de andre kommer til at vide alt om dig

Logning: Løbet er kørt forlængst - 'de' ved allerede alt om dig

Vil du undgå at blive overvåget? Så er der kun én vej frem

Otte vigtige software-tendenser for din virksomhed: Her er otte trends for enterprise software.

Hackerne kommer - og du kan (næsten) intet gøre

It-advokat: Giv dine personlige data væk på nettet



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


IT-JOB

Test Manager
VISMA CONSULTING A/S


Java-udvikler
LESSOR A/S



Se flere it-job hos

 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer & Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Få succes med sourcing

Sourcing er en af de vigtigste strategiske discipliner i moderne it-drift. Uanset om du overvejer at in- eller outsource og hvad enten det er globalt eller lokalt, så kræver det viden og styr på aftaler og kontrakter. Læs mere

Whilborgs Konferencecenter - 2750 Ballerup



Datasikkerhed

Aldrig tidligere har det været mere afgørende, at vores it-systemer og data er sikre, for aldrig tidligere har vi været så afhængige af data. Og aldrig tidligere har vores data og systemer været så udsatte med så mange indgangsveje og muligheder for at blive ramt: Cloud, mobilbrug, BYOD samt virksomhedernes ofte meget fragmenterede it-infrastruktur med mange forskellige applikationer på kryds og tværs har givet mange nye kanaler ind til virksomhedernes netværk og systemer. Læs mere

Comwell Hotel Aarhus - 8000 Aarhus



Skygge-it

Mange it-afdelinger kæmper for at håndtere det kontrol-tab, der følger med, når medarbejdere og afdelinger begynder at anskaffe egne it-løsninger, som ikke nødvendigvis er koordineret eller godkendt af it-afdelingen. På dette How To seminar får du overblik over værktøjer og metoder til at håndtere skygge-it, så du genvinder kontrollen og minimerer it-sikkerheds-risikoen. Læs mere

Wihlborgs Konferencecenter - 2750 Ballerup







Computerworld
For få år siden var IP-telefoni det mest hotte: Nu smutter kunderne igen
Leverandørerne af IP-telefoni oplevede først et sandt boom af kunder, mens tele-teknologien var på alles læber. Nu forsvinder kunderne igen.
CIO
Ny CIO til Pandora - henter top-CIO fra GN Store Nord
Smykkegiganten Pandora henter ny CIO fra GN Store Nord. Han skal stå i spidsen for at opbygge en global it-organisation.
Channelworld
Atea spiller central rolle i nye anholdelser i it-bestikkelsessag: 3A-it afviser ethvert kendskab
3A-it peger fingeren mod Atea i bestikkelsessagen, hvor 27 mennesker fra blandt andre Forsvarets Efterretningstjeneste, Rigspolitiet og Udenrigsministeriet er sigtet for at modtage bestikkelse.
White paper
Tjekliste: 10 tegn på, at du har behov for at modernisere din Backup og Recovery løsning
Gennemgå denne tjekliste for at afgøre, om dit miljø har behov for en mere moderne tilgang til backup og recovery. Hvis ikke du kan tjekke nogen af disse af, kan det være tid til at revurdere din databeskyttelse strategi.