GDPR och IT-säkerhetsinformation | Optinet - Säker IT-drift

GDPR

Beskrivning

GDPR-fakta

Vad är GDPR?

Låt oss först av allt slå fast en sak, GDPR är bra!

Ok, det kanske framstår som komplicerat och bökigt och byråkratiskt, men det är bra, av två skäl:

  1. Alla är vi privatpersoner. Även om du nu sitter i en situation där GDPR landat på ditt bord på företaget (antagligen gör du det eftersom du läser detta) så är du också privatperson. Du går på läkarbesök, banker, handlar på nätet, har försäkringar, är med i föreningar, lägger upp saker på social media etc. etc. GDPR är till för att skydda de uppgifter som finns om dig på olika ställen, det ger dig rättigheter att veta vilken information som finns och ser till att det inte finns information som kommer i fel händer. Det ger dig också rätten att bli glömd. ”Jag vill verkligen inte ha fler utskick från det där lotteriet, ta bort mig ur era register!” Så ha med dig den tanken när du arbetar igenom den information ni hanterar om privatpersoner. Tänk så här: Behöver vi ha denna informationen? Är den känslig? Ju känsligare den är ju bättre skydd behöver ni. Behöver ni den inte, så ta bort den!
  2. Det företag som hanterar personuppgifter kommer att behöva se över sin IT-säkerhet. Vi har pratat, och tjatat, om IT-säkerhet sen 90-talet, men ibland finns det ingen riktig förståelse för det. Om vi tar den klassiska jämförelsen med en bil så förstår alla, att bromsarna måste fungera, att det skall finnas säkerhetsbälte, att det skall vara vinterdäck på vintern och att man skall ha körkort för att få köra samt att bilen måste besiktigas och servas kontinuerligt för att den inte skall bli farlig att färdas med.

Denna insikt saknas tyvärr ibland när det kommer till IT-system. Man tror att man kan köpa en server och sen inte bry sig och att den 10 år senare skall fungera lika bra, så är det inte. Servar slits också, det finns delar som snurrar, slits och går sönder, det kan bli strömavbrott, det finns virus och andra omvärldshot, det kommer nya uppdateringar som ställer till det eller ställer större krav på hårdvaran, det installeras program, det finns användare som använder system.

Vi träffar kontinuerligt på företag som har gamla servar som havererat och det visar sig ofta (ja, ofta) att deras backup inte kört på flera år, kanske aldrig. Sen blir de förvånade att det är dyrt att åtgärda. På motsvarande sätt med en bil hade ingen blivit förvånad om en 10 år gammal bil behövde en massa nya delar. Därför är GDPR bra, nu (för de som bryr sig vill säga) behöver man kontinuerligt se över sin IT-säkerhet också. Detta är bra för då blir det inga dyra överraskningar och IT-system kommer också att funka bättre.

Ok, men i vilken ände skall vi börja?

Jo, då skall ni göra så här, här intill finns en länk där ni kan hämta hem en mall. Gör det och sätt er sedan tillsammans, de personer som har mest insikt i vilka program/system ni använder. Boka av ett par timmar till att börja med.

Gå igenom era system och skriv ner dem, vilken information som finns i resp. system m.m. Detta framgår av mallen.

Sen är det så här, vi kommer att hjälpa er (om ni vill) att bygga den säkerhet ni behöver, men ni måste själva lära er reglerna kring GDPR, men ett av grundkraven är att ha ett register över era system, och det har ni ju nu, så det värsta är redan över, inte så farligt eller hur?

Vidare så måste ni nu se till så att de system ni använder är säkra. Alla system skall ha backup, virusskydd, intrångsskydd. Sen kan det även vara så att ni behöver loggning (vem har tittat på vilken information) och kryptering, t.ex. om ni bär med er data på bärbara datorer så behövs detta.

Har ni era system i molnet är detta också viktig att kontrollera, det är ett krav. Ni bör inte ha personuppgifter i en delad server t.ex. Allt för ofta har vi sett exempel på webbhotell där en webbsida får virus och så kan viruset sedan sprida sig inom servern till andra företags sidor, det vill ni inte råka ut för. Dels blir det väldigt dålig publicitet när sidan stängs ner och sen kan man ju faktisk få böta nu också.

För er som har riktigt känslig information (här kan ni läsa vad som räknas till känsligt) kanske ni behöver en större genomgång. Vi/Optinet har möjlighet att, i mån av tid, göra en fullständig GDPR- audit (genomgång). I förlängningen kan denna hjälpa er att bli certifierade. Det arbetas just nu på en sådan certifiering. Detta kan ni läsa mera om här på Data inspektionens hemsida.

Hämta GDPR-mall

   





Hur skall man säkerställa att vi uppfyller kraven?

Ja, det är en bra fråga. Problemet är ju lite att det inte finns något facit än, inga rättsfall, ingen praxis, men det kommer ju komma allt eftersom. Det vi kan hjälpa er med är två saker, eller tre egentligen:

Först och främst kan vi göra en scanning av era system, d.v.s vi installerar en mjukvara på varje klientdator och server och scannar efter känsliga uppgifter, t.ex. personnummer och kontokortsnummer. Ur detta får man en rapport. Detta har vi testat på oss själva och det visade sig att det mailats kontokortsnummer och att det fanns personuppgifter på lokala datorer (ja, vi har kryptering), men icke desto mindre skall man ju ställa sig frågan OM den informationen skall finnas lagrad där eller mailas, detta är väldig viktig kännedom som man aldrig får fram genom ett frågeformulär. Speciellt om man arbetar i en större organisation, skolor, vård, ekonomi etc., det är svårt (för att inte säga omöjligt) att veta  hur alla användare använder sig av systemen.

Det andra är att köra igenom auditen vi beskrev ovan, då får vi en överblick på alla system och hur långt ni har kommit i ert arbete, jag kan nog garantera att ingen som läser detta skulle bli godkänd.

Och sen har vi ett mellansteg, vi sätter oss ner och tittar på ert arbete och går igenom det, program för program (system för system). Kompletterat med en scanning (som helst skall utföras kontinuerligt) så är nog detta ett rekommenderat alternativ.

Vad kostar det?

Inget av ovanstående är egentligen speciellt dyrt och om man tänker att man ändå behöver backup, antivirus etc., så blir det ju ingen egentlig kostnad, däremot en fördel att systemen blir säkrare och kanske till och med fungerar bättre.

Behöver man komplettera med t.ex. kryptering så kan det vara så att det redan finns i hårdvaran, men inte är aktiverat (de datorer och operativsystem vi normal sett rekommendera har detta). Här vill vi passa på att åter slå ett slag för att inte köpa billiga datorer på stan (som är avsedda för hemmabruk), då har de varken hårdvara eller operativsystem som klarar kryptering och då får man köpa nya, tråkigt …

Vi har även tagit fram en speciell hyrPC, Säker PC – GDPR edition för de företag som vet med sig att de kommer och behöver bära med sig personuppgifter på bärbara datorer. Det speciella med denna är att den är grundinstallerad med alla de skydd ni behöver för att uppfylla GDPR-kraven t.ex. övervakat antivirus, patchuppdatering, lokal automatisk backup, kryptering och tvåfaktorsinloggning, de på NASA hade blivit avundsjuka 🙂 Läs mer om denna här:

Mallen (ovan) som ni förhoppningsvis hämtat hem är gratis.

I en Full GDPR Audit tar vi betalt per timme. Räkna 2-3 dagars arbete. Timpriset beror på om ni har andra avtal med oss eller inte. Ta kontakt med oss så får ni en offert. Ett inledande besök kostar inget (om ni finns inom pendlingsavstånd). Vi utför uppdrag över hela Sverige, men utgår från Göteborg, Karlstad eller Funäsdalen.

Övriga GDPR-säkrade tjänster från Optinet

Vilka övriga tjänster kan vi då erbjuda kring GDPR. Ja, ganska mycket faktiskt och det är kanske inte så konstigt med tanke på att vi sedan år 2000 bedrivit ett arbete med att anpassa alla våra tjänster efter bl.a. PUL och försäkringsbolagens krav.

Hostad Server  VPS (molntjänst), men backup, brandvägg, file auditing, versionshantering, uppdateringar, antivirus m.m. läs mer här

Trådlöst som tjänst. Nu kanske någon protesterar och tycker att det inte har med GDPR att göra, men det har det. Nyss upptäcktes en sårbarhet som gjorde att alla nät som använde WPA2-kryperting kunde knäckas. Om detta sker och om personuppgifter kommer ut kan det vara olagligt. Med vår tjänst ingår uppdateringar mot sådana sårbarheter. Läs mer här

Backup server, PC och Mac. Om ni har egna servrar på plats eller har bärbara datorer så är våra backuptjänster några en av marknadens bästa och helt automatiska. Givetvis lagras backupdatat i Sverige, i vår egen datahall. Tänk också på detta om ni kör någon annan backuplösning, att inte lagra backupinformationen utanför EU. Läs mer om serverbackup här och PC-backup här

Brandvägg, vår tjänst säker internet erbjuder en övervakad brandvägg som skyddar nätverket. Det som skiljer GDPR-kraven kan var att man behöver utökad loggning för att se om det varit intrångsförsök eller OM det faktiskt blivit intrång och något hänt skall man kunna ta reda på VEM som gjorde det. Givetvis kan man koppla på funktioner som VPN, antivirus, och även dataleakage (DLP) för att kontrollera att ingen skickar personuppgifter genom brandväggen. Läs mer här

Spamfiltrering, ett komplement till antivirus som ökar mailsäkerheten och minskar risken för virus på företaget. Den vanligaste spridningsmetoden för virus är via mail och t.ex. genom bedrägliga mail som ser ut som äkta från skattemyndigheten, Banken, Telia, Spotify eller vad det nu kan vara. Läs mer här

Webbhotell, om er hemsida hanterar personuppgifter rekommenderar vi Webbserver premium, den ligger på egen egen server som dessutom är optimerad för att gå extra snabbt. Läs mer här

Datahall. Vår egen datahall har alla de skydd som är nödvändiga för att uppfylla kraven i GDPR. Fysiskt skydd, sluss, inpasseringskontroll, redundans, brandväggar, övervakning, larm, m.m. Ni kan läsa mer om den här.

GDPR (General Data Protection Regulation) eller Dataskyddsförordningen som det heter på svenska och egentligen är det namnet vi bör använda börjar gälla den 25:e maj 2018.

Denna nya EU-lag ersätter då den vi tidigare hade i Sverige, PUL (Personuppgiftslagen).

Lagen innebär att för att få behandla (lagra, spara) personuppgifter måste det finnas en rättslig grund till detta. Att bara samla på sig personuppgifter i ett register för att man råkat komma över dem är alltså inte tillåtet. De rättsliga grunderna skall vara något av nedanstående:

  • Samtycke
  • Avtal
  • Rättslig förpliktelse
  • Skydd för grundläggande intressen (för den registrerade, t.ex. inom vården)
  • Allmänt intresse och myndighetsutövning
  • Intresseavvägning

Mer information om detta hittar ni på Datainspektionens hemsida.

Incidentraportering

Nytt i Dataskyddsförordningen är krav på incidentrapportering. Om det hänt en incident skall detta dokumenteras och rapporteras. Vid allvarliga incidenter även till de drabbade. Om en incident inträffat och detta p.g.a. att tillräckliga skydd inte funnits på plats kan böter utdömas. Rapportering skall ske inom 72 timmar.

Dataskyddsombud, personuppgiftsansvarig och personuppgiftsbiträde

Vissa företag som har en betydande behandling eller känsliga personuppgifter behöver ett dataskyddsombud som skall registreras hos Datainspektionen. Alla som handhar personuppgifter behöver någon (eller några) som är personuppgiftsansvarig. Nyttjar man en molntjänst (eller annan extern leverantör) behöver man ALLTID ett personuppgiftsbiträdesavtal med leverantören. Om ni nyttjar en av Optinets tjänster kan vi förse er med en mall för detta. Ni måste dock gå igenom avtalet och eventuellt anpassa det för er egen verksamhets krav.

IT-skydd

IT-skyddet som krävs skall stå i proportion med hur känsliga uppgifter som lagras.

Övrigt

Det finns mycket övrigt att tillägga, detta är bara en snabb sammanfattning. All information finns på Datainspektionens hemsida, men en bra grundläggande regel är att INTE registrera några uppgifter om privatpersoner som verkligen inte behövs, använd t.ex. aldrig personnummer, det behövs inte för att skicka en faktura. Ta bort alla fält i program där det finns möjlighet att skriva in godtycklig information.

Vi hjälper gärna till, främst med de skydd som krävs kring IT-drift samt kartläggning, så har ni frågor kring detta så hör gärna av er till oss på gdpr@optinet.se