Inde i maskinen podcast:Microsoft har store planer for Windows 10 efter sommeren

Artikel top billede

Ny skrap EU-datalov får konsekvenser for dig: Sådan kan du ruste din virksomhed

ComputerViews: EU er på vej med en omfattende opdatering af den 19 år gamle persondata-lov. Alle virksomheder og alle it-chefer i Danmark vil komme til at mærke konsekvenserne af den nye lov. Se nogle af dem her.

ComputerViews: For første gang i mange år er den europæiske data-beskyttelses-lov ved at blive opdateret, og det er noget, der vil få konsekvenser for stort set alle danskere og danske virksomheder.

De kommende EU-regler betyder nemlig, at organisationer og virksomheder risikerer markante straffe og sanktioner, hvis de ikke lever op til reglerne.

Reglerne vil til gengæld i langt højere grad end tidligere kræve, at virksomhederne kan dokumentere, at deres personhenførbare data - altså oplysninger, der kan anvendes til at identificere enkelt-personer - ikke misbruges, ligesom de skal leve op til en række skærpede krav om behandling af persondata.

Ideen er, at virksomheder og organisationer skal tvinges til at få totalt overblik og kontrol over data-flowet gennem virksomheden i hele den såkaldte 'data life cycle' - en ting, som mange virksomheder i dag i meget stor udstrækning forsømmer, fordi sikkerhed omkring person-data ikke bliver regnet for at være decideret forretnings-kritiske.

For EU gælder det, at den teknologiske udvikling buldrer afsted med så høj fart, at de nuværende regler for beskyttelse af borgernes eller virksomhedernes private data er faldet helt bag af dansen.

Den nuværende forordning på området stammer således helt tilbage fra 1995 og er for længst blevet overhalet af den teknologiske udvikling med sociale medier, cloud computing og lignende, hvor data forbindes på kryds og tværs og bliver vigtigere og vigtigere, mens hacker-industrien på den anden side modnes og professionaliseres.

Samtidig sigter EU efter med de nye regler at få formuleret et samlet regelsæt for databeskyttelse på tværs af hele Europa, hvor der i dag gælder vidt forskellige regler i de forskellige lande.

Ligeledes vil EU med de nye regler indføre en slags 'one-stop'-funktion, hvor organisationer og borgere skal kunne nøjes med at henvende sig ét sted fremfor hos en lang række instanser, hvis uheldet skulle være ude.

Strafferammen skærpes

Med de nye regler skærpes strafferammen for brud på reglerne ganske markant.

EU varsler nemlig bøder på op til to procent af den globale omsætning for brud på datasikkerheden eller maksimalt en million euro for de alvorligste brud.

Til sammenligning er Datatilsynets hidtil højeste bøde på 25.000 kroner.

Samtidig - og det er måske reelt det værste for virksomhederne - indfører EU skrappe regler, når det gælder pligten til at informere om brud.

Virksomheder skal nemlig selv inden for en kort tidsramme efter opdagelsen af et brud på datasikkerheden, selv informere samtlige ramte organisationer og personer om, hvad der er sket.

Datatilsynet skal orienteres inden for 24 timer, mens alle involverede skal informeres 'hurtigst muligt.'

Tab af omdømme er det værste

Det er en ganske alvorlig sanktion for virksomhederne, for for mange virksomheder hører netop tab af troværdighed og omdømme nemlig til blandt de værste konsekvenser ved brud på it-sikkerheden.

Det teknologiske og det produkt-mæssige samt eksempelvis en (lille) bøde fra Datatilsynet kan nemlig oftest relativt hurtigt ordnes efter et eventuelt hacker-angreb eller brud på datasikkerheden, mens tab af troværdighed overfor kunder, leverandører, partnere og lignende kan få langvarig negativ effekt for forretningen.

Havde denne regel været gældende ved eksempelvis opdagelsen af det omstridte hacker-indbrud i CPR-registreret ville det altså have betydet, at CSC 'hurtigst muligt' efter opdagelsen ville skulle have informeret samtlige berørte danskere - altså flere millioner - om den mulige kompromitering af deres CPR-nummer.

Der vil komme flere sager

Der vil utvivlsom følge flere sager af denne karakter, som vi i dag slet intet hører om.

For i det skiftende it-sikkerhedslandskab regnes det i dag for en grundlæggende tendens, at ingen virksomheder er i stand til at holde alle hackere og al malware ude.

Det kan du læse mere om her: Hackerne kommer - og du kan (næsten) intet gøre

Her handler det i stedet om at være dygtig til at beskytte sig rigtigt og mod den rigtige malware.

De skrappe regler har her netop til hensigt at forandre virksomhedernes syn på it-sikkerhed:

It-cheferne skal tvinges til at have totalt styr på al data i virksomheden og på dens vej gennem virksomheden, hvor vi ved, at det langt fra er alle virksomheder, der i dag er klar over, hvorvidt der er blevet stjålet data fra virksomhederne, ligesom de i givet fald ikke ved, hvilke data, der er blevet stjålet.

Det gjaldt også CSC, der først langt tid efter det store CPR-hack opdagede, at der havde været ubudne gæster på besøg.

Det kan du læse mere om her: Det store CPR-hack - så alvorligt er det.

Især de større firmaer er i dag allerede begyndt at rumle med ideen om at hyre data-sikkerheds-chefer (DPO eller 'data protection officers'), og EU arbejder med en plan om at tvinge alle virksomheder til at udnævne en databeskyttelses-ansvarlig.

De ansvarlige skal tage vare på virksomhedens datasikkerhed, der jo inden længe vil kunne komme til at koste dyrt.

Det kan du læse mere om her: Tvang: Skal dit firma ansætte en databeskyttelses-chef eller smutter du under søgelyset?

DPO'ens (eller hvad vi nu skal kalde ham) opgave ligger lige for, og virksomheder kan sådan set sagtens gå i gang med at forberede sig på det kommende EU-regelsæt, hvor der for tiden arbejdes med en indkøringsfase på to år efter, at det formelt vedtages.

Nogle relevante opgaver i forberedelsen frem mod direktivets indførelse:

Få overblik over data - og rens ud?

Hvornår har du sidst gennemført en data-audit, hvor du har fået klarlagt nøjagtigt, hvor virksomhedens data er gemt samt hvor meget, der er anvendeligt og hvor meget, der er junk?

Vi har tidligere skrevet om den såkaldte 'skygge-it,' der får lov til at blomstre, hvis CIO'en mister grebet om it-styringen i virksomheden.

Det kan du læse mere om her: Den frygtede skygge-it: Når it kommer ud af kontrol.

En oprydning og gennemgang af al data vil gøre det langt nemmere at skabe overblik, når først EU-regelsættet træder i kraft, og hammeren vil begynde falde, hvis der er datalæk eller lignende - også selv om it-afdelingen ikke havde nogen anelse om, hvad der skete.

Få styr på ejerskab

Hvem har ansvaret for de forskellige data i virksomheden?

I mange virksomheder sejler det ofte (ligesom data sejler rundt), men med de varslede EU-bøder i gigantstørrelse er det vigtigt, at der kommer ansvarlige ejermænd - en DPO, et eksternt firma, en CIO, en it-chef - på de forskellige data, som sørger for, at data-håndteringen lever op til de nye regler.

Det kan der være mange fordele i, og selv om data-beskyttelses-regelsættet sikkert først kommer til at træde rigtigt i kraft om et par år, kan det være en god ide allerede nu at begynde at tænke i disse baner, så virksomheden er forberedt og veltrimmet - ikke bare for EU's skyld, men også for egen skyld.

En veltrimmet virksomhed med styr på compliance fungerer altså bare bedre end det modsatte.

Forbered dig på det værst tænkelige

Hvad vil virksomheden gøre, hvis der pludselig kommer et brud på datasikkerheden for dagen?

Med i EU-reglerne er kravet om, at virksomheden inden for 72 timer informerer alle berørte om et brud på datasikkerheden. Det kan være en stor opgave, som kræver, at man har styr på sine processer og handlemåder, inden uheldet er ude.

Hvem skal sende hvad ud? Hvem har ansvaret for udsendelsen? Hvem gør hvad hvornår?

Det kan være en fordel allerede i dag at begynde at kigge på disse processer, som også i dag kan vise sig nyttige.

Få styr på data

Grundlæggende handler det for virksomhederne om at:

- Kende virksomhedens data.

- Kende data-flowet gennem virksomheden.

- Fastslå ejerskab over data.

- Formulere en beredskabsplan.

- Udvikle nye processer, der understøtter gennemsigtigheden i data-flowet.

EU sigter efter at vedtage det nye regelsæt i løbet af 2015, men det kan meget vel være, at beslutningen vil trække ud.

Efter beslutningen vil der komme en indkøringsfase på to år, inden hammeren for alvor vil falde, så det kommende direktiv indføres i 2017 eller 2018.

Analysehuset IDC forventer, at EU i første omgang vil udvælge forskellige prøvesager blandt større virksomheder, som skal statuere over for andre virksomheder, at EU mener databeskyttelsen alvorligt.

Har din virksomhed styr på alle person-data? Giver EU-forordningen mening? Hvad er den største udfordring?

Giv dit besyv med i debatfeltet herunder.

Læs også:

Glem alt om privacy - de andre kommer til at vide alt om dig

Logning: Løbet er kørt forlængst - 'de' ved allerede alt om dig

Vil du undgå at blive overvåget? Så er der kun én vej frem

Otte vigtige software-tendenser for din virksomhed: Her er otte trends for enterprise software.

Hackerne kommer - og du kan (næsten) intet gøre

It-advokat: Giv dine personlige data væk på nettet




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Brand din forretning og skab nye leads med Microsoft Dynamics 365 til marketing

Vidste du, at Microsoft Dynamics også byder på stærk funktionalitet til marketingafdelingen? På kun 1 1/2 time inspirerer vi dig til, hvordan du kan bruge Dynamics 365 Marketing til at brande din forretning og skabe nye leads.

17. maj 2021 | Læs mere


Vælg den rigtige infrastruktur og it-arkitektur

Få indblik i, hvordan du kan sikre sammenhæng og overblik i et it-landksab, der konstant ændres. Dette kan blandt andet gøres med de rette strategisk og teknologiske vlag, så effektiviteten, stabiliteten og sikkerheden opretholdes. Den rigtige infrastruktur og it-arkitektur kan uden tvivl hjælpe dig med at skabe overblikket over dit it-landskab.

18. maj 2021 | Læs mere


Digital transformation og innovation: Inspiration til digitale succeshistorier

Kom ind bag facaden hos nogle af Danmarks bedste it-folk, og lær hvordan de arbejder med digital transformation og innovation. Du får muligheden for at høre, hvordan du kan bruge den nye teknologi til at få etableret det mest effektive udviklings- og innovationsmilø.

19. maj 2021 | Læs mere






CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Infrastruktur: Byg et velfungerende Data Estate i otte trin
Mange virksomheder trækker på så mange og righoldige datakilder, at det bliver stadig sværere at holde rede på alle de informationer, man har. Samtidig lever et traditionelt data warehouse sjældent op til hverken de aktuelle eller – i særdeleshed – fremtidige krav fra forretningen. Løsningen er at udvide til en egentlig Data Estate; et stykke kritisk infrastruktur som gør det muligt at opbevare, organisere, konsolidere og analysere organisationens samlede datamængde. Denne hvidbog giver et samlet billede af, hvordan man gennem otte trin bevæger sig mod at implementere og drage nytte af en Data Estate. Samt hvordan du prioriterer indsatsen, så den giver størst værdi for forretningen.