GDPR den nya millenniebuggen?

0

Det finns en växande uppmärksamhet på GDPR (General Data Protection Regulation). Signaler om potentiellt skyhöga böter driver det här fokuset, som garanterat stegras under hösten och våren när tidsfristen i maj 2018 närmar sig. Men låt oss inte glömma elefanten i rummet – den ostrukturerade informationshanteringen.

Kommersiella aktörer inom rådgivning och olika lösningsområden driver diskussionen om hanteringen av GDPR. Det dansas kring guldkalven som de hoppas är den största sedan Y2K-utmaningen.

Vi kommer att få höra mycket framöver om vad som är personupplysningar och känsliga personupplysningar. Vi kommer att exponeras för en rad personskyddsförklaringar, som ska godkännas i samband med insamling och samtycke till användning. Många av dessa säkerligen i form av enkla tryck med massor av text på baksidan, så som alla vilkor från Apple, Google, Microsoft och andra som ingen läser och alla godkänner i dag. Vi kommer att få höra om personskyddsombud och andra roller och ansvarsområden, om processer för undantagshantering, om skillnaden mellan dataägare och datahanterare. Vi kommer att få höra från allt fler ASP-, drifts- och molnleverantörer som skyltar med ISO27000-certifiering. Och det finns de som påstår att vi gör allt detta för en relativt liten förändring, för i Norge har vi aktuella personskyddsregler och vi har en aktiv datainspektion.

Organisationer som tar GDPR på allvar får helt säkert goda rutiner på plats för alla strukturerade processer och system som CRM, ERP och HR.

Men elefanten i rummet är fortfarande där. För även när allt det ovanstående är på plats finns det ett stort hål där personupplysningar vanligvis kan flyta omkring fritt utan att behandlas på ett försvarligt vis. Det är i den ostrukturerade sfären. Dokument som skannas, ingående och utgående brev och e-post, och inte minst i en rad dokument som lagras på filservrar, Box, Dropbox, OneDrive och motsvarande.

Jag har på en kommuns filserver själv hittat en orosanmälan skriven av en lärare och skickad till Socialtjänsten. Dokumentet låg helt öppet för alla att läsa. Läraren som skickade den hade inte förutsättningarna genom kunskap om kommunens interna IT-säkerhet. Och sådana användarscenarier kan vi helt säkert finna många av i de flesta organisationer.

Så ett råd till alla som har fokus på personskydd och GDPR: Glöm inte att majoriteten av informationen i din organisation är ostrukturerad och finns utanför de traditionella huvudsystemen, och i hög grad också utanför de viktigaste huvudprocesserna. Det är sålunda ingen överraskning om det är här grunden ligger för de obehagliga tidningsskriverierna och de största böterna!

Share.

About Author

Comments are closed.