Tanken är att Dataskyddsförordningen GDPR (General Data Protection Regulation) ska förbättra och skapa samstämmighet kring hanteringen av personuppgifter inom EU samt öka säkerheten. Bakgrunden är den ökande mängden dataintrång som skett på senare år med de konsekvenser som det inneburit.
GDPR ersätter PUL och innebär flera större förändringar när det gäller skydd och lagring av personuppgifter samt krav på den digitala säkerheten inom organisationer som hanterar sådana uppgifter. Samtidigt ställs betydligt högre krav på ansvarsskyldighet och redovisningsplikt i verksamheter som drabbas av intrång.
Vi tittar närmare på varför du behöver uppfylla Dataskyddsförordningen och hur IT kan bidra till anpassningen samt vad lagtexten egentligen innebär.
Att förena alla dina datalager och ha en tydlig förståelse för typen och syftet med datainsamling kommer att hjälpa din organisation att underlätta åtkomst till personuppgifter och ändringsförfrågningar vilket kommer leda till ökad säkerhet.
Organisationer som inte är rädda för att vidta de strikta åtgärder som krävs för att skydda sina kunders och anställdas personuppgifter kommer att visa att de tar integritetsfrågor på allvar vilket också kommer att påverka kundernas uppfattning positivt.
Det är inte realistiskt att kunna uppnå GDPR compliance på en dag. Compliance är en gradvis förbättringsprocess som kommer att leda till en kultur av "privacy by design" (även kallad "security by design") i din organisation. I och med GDPR har även begreppet "privacy by default" aktualiserats.
Den stora skillnaden mellan PUL och GDPR är att böterna för att inte följa reglerna är stora. Bötesbeloppets storlek beror bland annat på hur allvarlig överträdelsen av reglerna är, hur stor skada som skett, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig.
För allvarliga brott är bötesbeloppet upp till 20 miljoner euro eller fyra procent av årsomsättningen och för mindre allvarliga brott kan beloppet uppgå till 10 miljoner euro eller två procent.
IT-avdelningen spelar en central roll när GDPR ställer krav på att alla organisationer måste anamma ett helt nytt tänk kring personuppgifter. Tankar som i nästa steg måste omsättas i styrdokument och policys, utbildningar, lämpliga tekniska lösningar och fortlöpande analyser. I mångt och mycket behöver hela organisationen anpassa sig till den nya lagstiftningen, men i de flesta fall hamnar mycket av det här arbetet på dig och din IT-avdelning.
Vi har sammanställt en checklista med handfasta råd och åtgärder för hur du kan förbereda din organisation för GDPR. Sammanfattningsvis bygger checklistan på dessa 12 steg:
Checklistan med utförligare beskrivning finns att läsa i vårt kunskapspaket om GDPR.
Med 99 artiklar att följa är GDPR-förordningen en flerstegsprocess. Här är en checklista över teknik som hjälper dig att komma igång.
Kraven i GDPR-förordningen är långa och komplexa. Då det inte finns någon enda teknisk lösning som kan hantera hela förordningen finns det många krav på compliance i GDPR som kan förenklas med rätt IT-verktyg.
Låt oss titta på några av artiklarna i GDPR och hur våra lösningar kan hjälpa dig att uppfylla dessa krav.
"[Personlig data ska] samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).”
DataSecurity Plus åtkomstgransknings-rapporter hjälper dig att identifiera avvikande dataåtkomst, insamling, modifiering och radering.
Skicka meddelanden till berörda myndigheter om sådana avvikande aktiviteter sker med Log360s färdiga varningsprofiler.
Relaterade produkter
DataSecurity Plus
"[Personlig data ska] vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).”
Schemalägg skanning av alla enheter i din organisation med Desktop Central för att säkerställa tillgänglighet och integritet av personuppgifter.
Övervaka och ta bort föråldrade eller felaktiga data med hjälp av filanalys- och lagringsanalysrapporter i DataSecurity Plus.
Granska databaser med Log360 för att fastställa hur länge data har lagrats och radera personuppgifter så snart lagringsgränsen har uppnåtts.
Relaterade produkter
"[Personlig data ska] behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).”
Förbättra synligheten till användare/enheter som försöker komma åt företagstjänster och data med Desktop Centrals Conditional Exchange Access.
Log360s fördefinierade varningsprofiler skickar varningar när obehöriga åtkomstförsök görs och omintetgör sådana försök.
Säkerställ integriteten hos konfidentiella filer och mappar genom att använda Log360 för att generera omedelbara meddelanden när viktiga filändringar inträffar.
Använd EventLog Analyzers fördefinierade GDPR-rapportmallar för att granska alla aktiviteter och förändringar på system som lagrar personuppgifter.
Använd EventLog Analyzer för att varna personuppgiftsombudet eller säkerhetsadministratörer när personuppgifters integritet är äventyrad.
Relaterade produkter
”Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”
Påvisar säkra behandlingsmetoder genom att exportera ADManager Plus-rapporter i alla filformat och/eller maila dem till intressenter med angivna intervaller.
Relaterade produkter
"Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.”
Desktop Central hjälper dig att regelbundet kontrollera om organisationens tillgångar och enheter fortfarande överensstämmer med de företagskonfigurationer som tillämpas på dem.
Distribuera känsliga företagsdokument på ett säkert sätt till enheter och begränsa deras tillgänglighet till auktoriserade personer och/eller applikationer som använder Desktop Central.
Maila rapporter eller exportera dem till angivna platser i flera filformat med ADManager Plus för att se till att din verksamhet alltid har de uppgifter de behöver under utredningar och säkerhetsbedömningar.
Relaterade produkter
"Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.”
Håll personlig- och organisationsdata separata på mobila enheter med hjälp av Desktop Centrals containerization funktion. Begränsa verksamhetens åtkomst till endast organisationens yta på enheterna.
Desktop Central hjälper dig att avregistrera tillgångar/enheter från organisationens nätverk efter användarförfrågan. Ta bort alla former av personuppgifter som gäller en användare från dina servrar och återkalla åtkomst till den informationen.
Förhindra obehöriga användare från att utnyttja privilegierad åtkomst till personuppgifterna genom att använda Password Manager Pro.
Audit av behörighetsförändringar med notifieringsregler i ADManager Plus för att identifiera olagliga eller obehöriga behörighetsförändringar relaterade till personuppgifter.
Relaterade produkter
“Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar.”
ADManager Plus hjälper dig att få fullständig revisionsspårning av alla aktiviteter relaterade till personuppgifter som äger rum i din organisation.
Upprätthåll en förteckning över alla bearbetningsaktiviteter enligt vad som stipuleras av GDPR med Desktop Centrals audit log viewer.
Relaterade produkter
”Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt pseudonymisering och kryptering av personuppgifter.
Key Manager Plus hjälper dig att införa ett flerskiktat tillvägagångssätt till informationssäkerhet, säkra data i transit och hitta enkla sätt att övervaka och hantera dina öppna nycklar.
Relaterade produkter
”förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,”
Skydda och kryptera åtkomst till dina registrerade personligt identifierbara uppgifter med hjälp av Key Manager Plus.
Kontinuerligt övervaka och granska lagringssystemen som lagrar personuppgifter samt de tjänster (eller applikationer) som behandlar personuppgifter med DataSecurity Plus.
Se upp för obehöriga åtkomstförsök och avvikelser i användaraktiviteter på dessa system och tjänster med hjälp av Log360.
Granska och skicka ut realtidsvarningar när det sker förändringar på kritiska resurser (t.ex. brandväggar, Active Directory, databaser och filservrar) med ADAudit Plus.
Relaterade produkter
“ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.”
Kontrollera regelbundet om organisationens enheter fortfarande överensstämmer med de företagspolicies som tilldelats dem med Desktop Central.
Förhindra att angripare utnyttjar privilegierad åtkomst till insamlade personuppgifter med Password Manager Pro.
Kontrollera säkerheten vid bearbetning med hjälp av Log360 som letar efter anomalier som kan visa sig vara ett potentiellt informationsbrott.
Granska all aktivitet på system som lagrar personuppgifter och förändringar i personuppgifter med EventLog Analyzer.
Relaterade produkter
“Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.”
Sätt varningar om en enhet inte checkar in med servern under en fördefinierad tid med Desktop Central.
Centralisera och korrelera säkerhetsdata från olika källor med Log360 för att identifiera potentiella dataöverträdelser direkt och undvik dataförlust.
Granska förändringar av personuppgifter (t.ex. ändring, radering, byte av namn eller till och med behörighetsändringar) med hjälp av Log360.
Relaterade produkter
"Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.”
Hantera, övervaka och granska administrativ åtkomst till system och applikationer som hanterar personligt identifierbar information med Password Manager Pro.
Upptäck när användare får tillgång till personuppgifter utan korrekt behörighet med hjälp av Log360 och ADManager Plus.
Relaterade produkter
Upptäck eventuella dataöverträdelser i ditt nätverk direkt med Log360s realtidsvarningskonsol och korrelationsmotor.
Upptäck och hindra kända attackmönster som DoS, DDoS, SQL-injektioner och ransomware-attacker med Log360 och RansomCare.
Använd anpassade korrelationsregler och varningsprofiler för att upptäcka okända angreppsmönster, för att skydda personuppgifter.
Log360s sökmotor kan hjälpa dig att utföra rättsteknisk analys och bestämma när ett brott inträffade, dess källa, vilka data och system som påverkades och de ansvariga parterna.
Spela in privilegierad kontoåtkomst och sessioner med Password Manager Pro för att förbereda rättsteknisk granskning.
Exportera all rättsteknisk information och bygg incidentrapporter som kan skickas till de berörda myndigheterna med hjälp av Log360s rapporter.
Relaterade produkter
Vi har samlat det bästa av vårt material om GDPR i ett kunskapspaket för dig som jobbar med IT. Det består av flera whitepaper, artiklar och över 60 minuter video med Microsoft MVP.