Skal bedriften gjøre kun én ting før 2018, bør det være dette
Den siste tiden har det vært mye snakk om GDPR, det som på norsk kalles personvernforordningen. Det er ikke rart, for innen mai 2018 må alle norske bedrifter og offentlige institusjoner ha orden i sine IT-systemer og rutiner. Dokumentert orden. Store bøter kan være resultatet hvis dokumentasjonen ikke er på plass. En opprydning krever oftest at man har en idé om hvor det skal ryddes, men det er ikke alltid like lett med personvernforordningene.
En som derimot har stålkontroll på personvernforordningen er sikkerhetsarkitekt Bjørn Tveøy hos Atea. Han, sammen med sikkerhetssjef Kenneth Tonum, har ansvar for å holde Ateas IT-systemer for kunder i tråd med både personvernforordningen og ISO-standarder.
– Her i Norge har vi jo en personopplysningslov og forskrifter som er basert på et EU-direktiv fra 1995, forklarer Bjørn. Den norske personvernloven er datert 2001, fra lenge før Facebook eksisterte, og konsepter som skylagring var helt i fødselen. Det betyr allikevel ikke at den gamle loven er helt utdatert.
– Når jeg leser GDPR i dag minner det om da jeg leste den nåværende loven for 15 år siden. Det som er nytt er nettorienteringen: Den er oppdatert til å gjenspeile internettalderen. Hovedprinsippene i den nye forordningen med de 99 artiklene er de samme som vi har allerede, med en del endringer hist og her, sier Bjørn.
Hva gjør så personene som lever i internettalderen forskjellig fra hvordan man levde før nettet gjennomsyret livene våre? Sosiale medier og fjernlagring av data er én ting, men også mer inngående informasjon har blitt mer spredt.
– Nå etterlater vi jo personopplysninger overalt hvor vi ferdes, både på nett og utenfor. Et viktig tiltak i den nye forordningen er å regulere dette bedre, forklarer Bjørn.
Noen kan det allerede
For enkelte sektorer er det kanskje ikke mye nytt i den nye forordningen. Spesielt banker, forsikringsselskaper, sykehus, og statlige virksomheter som håndterer store mengder personopplysninger – Skatteetaten, NAV, og Barnevernet for å nevne noen – er godt rustet til å møte de nye reglene uten større justeringer. Disse sektorene lever i en virkelighet der hensynet til sikkerhet og personvern er ekstremt i forhold til andre.
Verre er det muligens med andre bedrifter og offentlige foretak som til nå ikke har hatt like strenge regler å forholde seg til. Et godt eksempel er alle virksomhetene som får bøter etter tilsyn fra Datatilsynet. Disse bøtene vil kunne øke betydelig med den nye forordningen.
– For de profesjonelle bedriftene er det kanskje ikke så mye nytt å finne, men det er en del endringer som må til, forteller Bjørn.
Større ansvar på databehandlere
I skyverdenen opererer man ofte med begrepene dataeier og databehandler. Disse kan være det samme foretaket, for eksempel en bedrift som håndterer alle sine løsninger internt. Samtidig velger stadig flere å sette ut oppgavene. Dermed kan en bedrift stå ansvarlig som dataeier, med en stor mengde informasjon som skal lagres og forvaltes riktig. Det blir opp til aktører som Atea å være databehandleren, og å stå for lagringen og IT-driftstjenestene som gjør at dataeier kan gjøre sine oppgaver med opplysningene. Med de nye reglene blir det stadig strengere krav til at en dataeier må sikre at databehandlerne de bruker følger regelverket. Dermed må dette i mye større grad dokumenteres internt.
– Vi må nok i mye større grad interessere oss for våre kunders personopplysninger. Slik det er i dag er det god oppmerksomhet rettet mot kunders sensitive personopplysninger. Men andre personopplysninger er det faktisk ikke sikkert at dataeier informerer oss om, forklarer Bjørn.
En av tingene som nå forsvinner er muligheten databehandlerne har hatt til å fraskrive seg ansvar gjennom kontrakten. Databehandler blir medansvarlig med dataeier for at personopplysningene er tilstrekkelig sikret. Nøyaktig hvor presspunktet kommer til å ligge dersom noe skulle skje er et av mange ubesvarte spørsmål som dukker opp i kjølvannet av den nye personvernforordningen.
– Siden vi må ta mer ansvar for kundenes data, må vi sørge for tillit fra dataeierne, sier Bjørn.
Slik sikrer du deg
Så hvordan kan en dataeier sikre at databehandleren overholder de strenge kravene til den nye personvernforordningen? Det har Kenneth svaret på. Kort fortalt; dataeiere må sikre at deres databehandler følger standarder strenge nok til å dekke personvernforordningen.
Hos Atea er kravet til streng sikkerhet blitt til en verdifull ressurs for kundene. De har sikret seg sertifisering etter ISO 27000-standarden, og etterlever den nøye i rollen som databehandler.
– Fra en ståstedet til en CSO er det tross alt sikkerhet vi selger til kunden. Det som ISO 27001 og Ateas styringssystem for Informasjonssikkerhet ivaretar, uansett om det er en On-Prem løsning, skytjeneste fra Atea, en public skytjeneste fra for eksempel Microsoft eller IBM, eller en hybrid av disse, er integritet, konfidensialitet og tilgjengelighet. Det er vår oppgave som databehandler, sier Kenneth.
– En sikkerhetsstandard, som ISO 27001 stiller 21 overordnede og 114 funksjonelle krav som på et eller annet vis skal etterleves, forklarer Kenneth. Det betyr at sertifiserte databehandlere som Atea jobber hardt og kontinuerlig for å opprettholde og forbedre sikkerheten, det er godt nytt for kundene som får et skriftlig bevis på sikkerheten rundt sine data.
Mye frihet til å tilpasse lokalt
Det kan være litt vrient å tolke den kommende personvernforordningen for bedrifter som ønsker å være i forkant. Det skyldes kompleksiteten i EU-forordningen, der mye er overlatt til de enkelte medlemsland å bestemme selv.
– Det er jo et ekstra spenningsmoment, sier Bjørn. – For å få med landene i EU på dette er det mulig å lokalt tilpasse mange av de 99 artiklene. Ellers hadde det vel vært et salig styr å få de ulike landene til å enes om en tekst.
For selv om vi teller knapt ett år og tre måneder til GDPR trer i kraft er ikke retningslinjene så klare som bedrifter kanskje kunne ønsket seg. – Vi får se hva som skjer når resultatene av arbeidet som ledes av Justis- og beredskapsdepartementet slippes. Så langt er det sluppet ut nesten ingenting.
Bjørn har en egen teori om hvordan innføringen av GDPR kommer til å arte seg i de ulike landene: – Jeg tipper at for Norge kommer reglene til å bli temmelig like de vi allerede har, men andre europeiske land må belage seg på veldig store forandringer. Så rådet til virksomhetene er: Sørg for at du oppfyller kravene i dagens personopplysningslov og forskrift.
Å starte i mai 2018 er for sent!
Gjør nettskydrømmen til virkelighet med Atea
Tilpasset akkurat din bedrift, uten store investeringer. Sikkert og effektivt.
Lær mer her »Bli med på sikkerhetsdagene 2017
Møt ekspertene som kan veilede bedriften og gjøre dere klare til innføringen av GDPR.
Velg din by her »På vei opp til skyen?
Skal du velge skyløsning i 2017? Book en workshop, så kommer vi til deg!
Book en workshop »