IT-Finans var en av utställarna på endagsseminariet ”GDPR Summit 2017”.
Den gamla ärevördiga biografen Rival vid Mariatorget var platsen för detta fullspäckade event. Arrangörer var Addlevel i samarbete med IT-Finans.
Mårten Thomasson och Mats Hultgren från Addlevel inledde dagen med att prata om vår integritet och hur den utsätts för nya påfrestningar i och med digitaliseringens framfart. Hur vill och hur kan vi kontrollera vad som lagras om oss? Skyddet av persondata är en av grundstenarna i GDPR och samtidigt en av de stora utmaningarna, både ur ett juridiskt perspektiv och ett tekniskt dito.
Det Digitala Universumet
Människans användning av den nya tekniken skapar otroliga mängder data per tidsenhet. Faktum är att vårt Digitala Universum fördubblas vartannat år. Behovet av att skydda och hantera denna information är en gigantisk utmaning för företag, organisationer och övriga samhällsaktörer. Undersökningar visar på att aktievärdet sjunker med i snitt 1,8 % när ett företag drabbas av ett allvarligt intrång och det kan ta lång tid att bygga upp förtroendet för varumärket igen. Numera är cyberskyddet en parameter i den värdering som görs av ett företag utifrån t.ex. ett aktieperspektiv. I Kina har man gått ett steg längre och använder ibland information om en persons beteende, t.ex. riskbenägenhet, som en del av underlaget för en bedömning av kundens kreditvärdighet. Bedömningen görs bl.a. utifrån information på sociala medier.
Kartan över världens största företag ritas om
För drygt 10 år sedan var det oljebolag som t.ex. ExxonMobil som regerade i toppen av listor över världens största företag. Idag är de omkörda av teknikbolag som Apple, Google, Microsoft, Facebook och Amazon. Vad innebär det för finansmarknaden? Hur påverkas vi som kunder av det? Ja, frågorna är många och inte helt lätta att svara på. En sak är dock säker. Företagens förmåga att hantera data om enskilda personer blir allt viktigare och utslagsgivande.
Se möjligheterna
En av de vanligaste reaktionerna när GDPR kommer på tal är att företag riskerar att få mycket höga vitesbelopp. ”Administrativa fel” kan ge böter på upp till 2 % av omsättningen, dock max 10 miljoner euro. ”Allvarliga fel” kan orsaka böter på 4 % av omsättning eller max 20 miljoner euro. Det kan givetvis få stora konsekvenser för ett företags ekonomi. Adderar man dessutom kostnaden för Badwill-effekter kan det bli katastrofalt. Om man däremot har gjort allting rätt och förberett sig utifrån gällande kunskap och regelverk står man sannolikt skadeslös vid ett eventuellt dataintrång. Badwill-aspekten är trots det ett spöke som kan visa upp sig.
En annan parameter som gör det hela lite mer svårtolkat är att EU-länderna har olika traditioner i hur de bedömer olika händelser. De tyska IT-myndigheterna t.ex. dömer, generellt sett, hårdare än vad de svenska motsvarigheterna gör. Ambitionen med GDPR är givetvis att regelverket ska fungera och tillämpas på samma sätt inom hela EU, men här kan vi nog förvänta oss en intrimningsperiod.
Mårten och Mats menar ändå att vi inte får glömma bort vilka möjligheter som GDPR innebär för företagen. Med rätt förberedelser kan ett företag få konkurrensfördelar genom att visa att de har fullgoda och upparbetade rutiner för att hantera kundinformation enligt GDPR:s regelverk. I stället för att rygga tillbaka kan man välja att ta ett steg framåt, menar Mårten Thomasson och Mats Hultgren på Addlevel.
Vad ska räknas som personlig data?
Att vi kommer att ställas inför många juridiska ställningstaganden över vad som ska räknas som personlig data blir mer och mer tydligt. Tänk bara på följande två scenarier:
- Ett modernt fordon som är registrerat på en person skickar konstant information om sina GPS-koordinater upp i molnet. Ska det räknas som att det lagras information om hur fordonets ägare har rört sig under en viss tidsperiod?
- På flygplatsen i Heathrow, i London, finns avancerade system för ansiktsigenkänning kopplade till övervakningskameror. Hur ska den informationen, oavsett Brexit, hanteras?
Listan över juridiska frågeställningar kan göras lång. Om man dessutom adderar till ett IoT-perspektiv (Internet of Things) kan man rent teoretiskt samla in
data om när det uppkopplade kylskåpet har öppnats under dygnet eller vilka TV-program som den Smarta-TV:n har visat under det senaste dygnet. Som tidigare nämnts var en av utgångspunkterna när GDPR skapades att skydda de enskilda individerna men frågan är hur drar vi gränsen för vad som är personlig data?
Sagt från utställningsmontrarna
IT-Finans tog även chansen att prata med som stod vid deras monter i den utställning som kompletterade föreläsningsaulan. Där talade hon sig varm för F5:s tekniska plattform och vad den innebär i ett GDPR-perspektiv. Det viktigaste är att skydda applikationerna och att optimera trafiken för att inte tappa i prestanda. I vanliga fall brukar rådet vara att inte lägga ”alla ägg i en korg” men med vår lösning är ”alla ägg” säkra, berättar en engagerad och kunnig representant för F5. En av de stora ”Aha-upplevelserna” vid mina föreläsningar brukar vara insikten om att all krypterad data går ”rakt igenom” brandväggen. Därför innebär vår lösning att vi först dekrypterar data och därefter återkrypterar det. Det är anledningen till att trafikoptimeringen är viktig i vår lösning så att vi inte tappar ”performance”, avslutar Åsa.
Thorir Eggertsson och Erik Tjärnqvist hittar vi vid INUIT:s monter. De visar sitt verktyg för att på ett enkelt och effektivt sätt övervaka bl.a. hanteringen av behörigheter och inloggningsuppgifter. Tänk dig en organisation som har ett stort antal användare, varav några kanske är konsulter eller revisorer m.a.o. externa användare. Hur ska du då på ett säkert sätt se till att de behörigheter som delas ut hamnar rätt och ger den behörighet som respektive person ska ha. Med vårt verktyg kan du dessutom ha koll på vilka mappar och system som respektive användare söker access till, avslutar Thorir.
Några tips
Dagen blev en verklig djupdykning i olika infallsvinklar på det nya regelverket. Vi fick bl.a. ta del av en ”Crashcourse” i rättigheter och skyldigheter inom GDPR.
Avslutningsvis listar vi några av de många tips som dagen gav:
- GDPR är inte ett renodlat IT-projekt, det berör hela organisationen
- Använd ett enkelt och tydligt språk i den kundinformation som ni tar fram
- Medieträning blir viktigt för den personal som kan komma att kontaktas vid incidenter
- Hur hanteras personlig data som har skapats inom EU men lagras utanför EU?
Ett sista tips!
Regelverket börjar gälla från och med 25 maj 2018! Mindre än ett år kvar!