GDPR börjar gälla den 25 maj, och EU:s nya lagstiftning ställer höga krav på hur persondata hanteras. Men trots hotet om styva viten ligger många företag efter i arbetet för att leva upp till regelverket.
– Jag tror att de flesta är dåligt förberedda. Det finns en tendens till att man ser det helt svart eller helt vitt. Antingen tror man att ingen kommer få böta – eller så tror man att alla kommer få böta. Sanningen ligger någonstans mitt emellan. Det viktiga att komma ihåg är att det här är ett kontinuerligt arbete som kräver en förändring av arbetssättet. Man kan inte bara jobba mot den 25:e, utan måste se över processen för hur man hanterar persondata, säger Philip Rubin, Key Account Manager på Xensam.
Gör en analys
Hur ska man då agera om man tillhör de bolag som inte har kommit så långt med anpassningen? Xensam rekommenderar att man börjar med att analysera företagets nuvarande situation. Hur stort är ”glappet” till GDPR-kraven? Man ska bland annat kunna svara på vilken typ av persondata som företaget sitter på, var den finns, varför man har lagrat uppgifterna – och hur de skyddas.
Steg två är att göra en riskanalys kring hur utsatt datan är. För att sedan upprätthålla efterlevnaden kan man ta hjälp av Xensam, som har kompletterat sitt SAM-verktyg med en GDPR-lösning.
– Vår lösning hjälper till att hitta farlig mjukvara och applikationer som utgör en GDPR-risk. Allt flaggas som antas vara en GDPR-risk, och man ser det direkt i vyn där man jobbar. Man får stödrapporter kring vilka användare som jobbar på vilka maskiner. Man kan se huruvida de delar känslig information, och vår lösning upptäcker de datorer som inte har ett adekvat virusskydd. Man kan också se om man har haft inbrott i en GDPR-källa, säger Oskar Fösker som arbetar med service delivery.
Strävar mot automatisering
Deras lösning märker också ut huruvida tillverkaren följer riktlinjerna kring GDPR. Xensam strävar mot att automatisera stora delar av SAM-arbetet. Samtidigt konstaterar Philip Rubin att en stor del av ansvaret ligger hos användaren själv.
– Man ska se vår lösning som ett verktyg – ett hjälpmedel i en organisations arbete med GDPR-frågor men det ska inte ses som en ”one stop shop” som löser allting, arbetet med GDPR är mer än att bara se var riskerna finns, det stora arbetet sker inom organisationerna, säger Rubin.
Har ett gott syfte
Företaget måste bygga processer för att hantera datan och en ansvarig person måste utses. Det ligger oftast inget ont uppsåt bakom att personal hanterar persondata fel, utan det handlar om okunskap – därför måste alla känna till innebörden av den nya dataintegritetspolicyn. Slutligen ska man komma ihåg att GDPR har ett gott syfte.
– Många ser det bara som en börda som ska implementeras – men i slutändan måste man inse att det här inte är ett problem, utan att lagen är till för att skydda alla i Europa, säger Oskar Fösker.