Det krävs en hel del förändringar inom företagen som hanterar persondata för att anpassa sig till nya lagen men över lag är förändringen positiv menar Daniel Akenine, teknik- och säkerhetschef för Microsoft med ansvar för bland annat tekniska policyfrågor och säkerhetsfrågor, är en av världens främsta IT-arkitekter. Han menar att den nya dataskyddsförordningen är komplicerad och kommer ta tid att förstå och implementera men att den också är positiv för utvecklingen. 

- En gemensam lag för hela EU kommer att förenkla handeln med hela EU-marknaden och förbättra säkerheten, säger han.  

Träder i kraft under 2018

Daniel AkenineAllmänna dataskyddsförordningen, GDPR, antogs i april i år och träder i kraft 25 maj 2018. Lagen kommer att förändra hur företag får behålla och hantera persondata i grunden. I EU anser man att integritet är en mänsklig rättighet, så ser det inte ut i till exempel USA och Asien. Därför antar man en gemensam lag som kan hantera känsliga uppgifter. Dessutom krävs en förändrad lagstiftning som är anpassad till den nya moderna tekniken. De nationella lagarna, till exempel svenska personuppgiftslagen, PUL, som kom på 90-talet, är inte tillräckligt moderna.

- Det blir också lättare för andra marknader att handla med EU-länderna om det är samma lag som gäller för till exempel kundregister överallt, säger Daniel Akenine.

GDPR stärker också skyddet av integriteten på många punkter i jämförelse med PUL.

GDPR stärker också skyddet av integriteten på många punkter i jämförelse med PUL och ger hårdare böter för de som inte följer lagen. Böterna för ett företag som slarvar med dataskyddet kan bli upp till 4 % av den globala omsättningen. Eftersom böterna är så pass höga blir det en större risk att hantera data. Daniel Akenine hoppas att det kommer leda till en förflyttning och en mobilisering inom branschen. Det kan öppna nya diskussions- och samarbetsytor som kan ge ytterligare positiva effekter i samhället, framförallt inom IT-säkerheten.

- GDPR kräver rapporteringsskyldighet kring sånt som förvanskats vilket kommer att leda till transparens. Om något läckt ska företaget kontakta både datainspektionen och individen vars uppgifter det handlar om, säger han.

Krävs förändringar i grunden

Lagen har inte som huvudsakliga syfte att höja samhällssäkerheten men det kan ge det som sekundär effekt. GDPR ger en tidsgräns om 72 timmar för den som hanterar personuppgifterna att meddela den som drabbats om uppgifter läckt medan det idag tar i snitt 200 dagar innan ett företag märker att de blivit hackade. Det krävs alltså förändringar i grunden för de allra flesta företagen som hanterar persondata.

För att anpassa sitt företag till den nya förordningen behöver genomsnittsföretaget gå igenom fyra steg.

För att anpassa sitt företag till den nya förordningen behöver genomsnittsföretaget gå igenom fyra steg. I Microsofts undersökning har de flesta, 67 procent, av deras kunder bara kommit till första steget. Det flesta tror dock att de hinner genomgå hela processen innan lagen träder i kraft men Daniel Akenine är osäker.

Kommer behöva diskutera

- Nu kommer vi behöva diskutera och tolka lagen innan alla är i hamn. Vad är till exempel en ”lämplig säkerhetsnivå” och hur mycket spår av data måste raderas enligt ”rätten att bli glömd”? Det kommer vi i branschen behöva diskutera fram och tillbaka innan alla tolkat lagen på samma sätt, säger han.

Foto: Microsoft