Ökad kravbild

 

Information är en av de viktigaste tillgångarna i ett företag – om information försvinner, stjäls eller skadas kan det få allvarliga konsekvenser för verksamheten. Den 25 maj 2018 ersätts den svenska personuppgiftslagen (PUL) av EU:s dataskyddsförordning GDPR, något som får stor påverkan på informationssäkerhet, IT-system, roller, processer och rutiner.

Registrering av personuppgifter måste ske korrekt och transparent.

– Med GDPR ökar kraven på behandling av personuppgifter betydligt – registrering av personuppgifter måste ske korrekt och transparent, samt på ett sätt som finner stöd i lagen. Den registrerade har dessutom rätt att begära ett registerutdrag, säger Rickard Svenningsson, revisionsledare på RISE Certifiering.

Det här ställer krav på företags informationssäkerhetssystem, vilket innefattar såväl de tekniska IT-systemen som de organisatoriska säkerhetsåtgärderna. Med ett ledningssystem för informationssäkerhet enligt standarden ISO 27001 skyddas informationstillgångarna genom processer som går att hantera, mäta och förbättra. Strukturen som ett ledningssystem innebär tillåter också verksamheten att fokusera på sin kärnverksamhet.

 

Säkerställer överensstämmelse

 

– Ett bra ledningssystem innehåller just de policys och riktlinjer, processer och rutiner som verksamheten behöver. Inte mer. Det betyder att ett ledningssystem kan innehålla få dokument och kräva minimalt med administrativt arbete. Samtidigt innebär ledningssystemet just den systematik som garanterar att man lever upp till gällande lagar, men även verksamhetens och omgivningens krav, säger Rickard Svenningsson. 

Många verksamheter har idag dålig koll på vilken och hur information lagras, och om det är tillåtet enligt lag. Medan brott mot PUL sällan innebär straffåtgärder kan brott mot GDPR ge sanktioner på upp till fyra procent av omsättningen.

Mitt råd är att inte vänta med att säkerställa överensstämmelse med GDPR.

– Mitt råd är att inte vänta med att säkerställa överensstämmelse med GDPR. Att etablera samt informera om nya rutiner så att samtliga inom organisationen lever upp till dem tar tid. Och med GDPR räcker det inte med goda avsikter, avslutar Rickard Svenningsson.

 

3 goda råd på vägen mot säkrare informationshantering:

 

Nr 1Skapa ett tydligt ägarskap! Ledningssystemet ska ägas av högsta ledningen och vd, därutöver bör informationsägare och dataskyddsombud utses. Det sistnämnda kommer att bli obligatoriskt för vissa organisationer i och med den kommande dataskyddsförordningen.

 

Nr 2Börja med en kartläggning av verksamheten för att skapa förståelse för hur information hanteras inom företaget. Inventera alla typer av personuppgiftshantering, såväl gamla som nya behandlingar, i stora IT-system liksom i enkla Word- och Excel-filer. Upprätta gärna så kallade registerbeskrivningar över hanteringen. Därefter, ta reda på de rättsliga grunderna till hanteringen, noterar brister och tar fram åtgärdsplaner.

 

Nr 3Efter en väl genomförd kartläggning kan organisationen skapa ett ledningssystem för informationssäkerhet utifrån den egna verksamheten. Ett bra ledningssystem kräver inte alltid en stor mängd dokumentation utan ska innehålla den dokumentation som tillför värde till företagets processer. Genom att välja lämpliga tekniska och organisatoriska åtgärder kan företaget säkerställa sin informationssäkerhet.