GDPR efterlevnad för IT

Den nya dataskyddsförordningen GDPR innebär att organisationer behöver förändra hur de hanterar personuppgifter. Vi berättar här hur IT kan hjälpa verksamheten att uppfylla kraven i GDPR.
Lästid: X min

1. Vad är GDPR?

Tanken är att Dataskyddsförordningen GDPR (General Data Protection Regulation) ska förbättra och skapa samstämmighet kring hanteringen av personuppgifter inom EU samt öka säkerheten. Bakgrunden är den ökande mängden dataintrång som skett på senare år med de konsekvenser som det inneburit.

GDPR ersätter PUL och innebär flera större förändringar när det gäller skydd och lagring av personuppgifter samt krav på den digitala säkerheten inom organisationer som hanterar sådana uppgifter. Samtidigt ställs betydligt högre krav på ansvarsskyldighet och redovisningsplikt i verksamheter som drabbas av intrång.

Vi tittar närmare på varför du behöver uppfylla Dataskyddsförordningen och hur IT kan bidra till anpassningen samt vad lagtexten egentligen innebär.

2. Varför behöver din organisation anpassa sig till GDPR?

Förenkla processer och arbetssätt

Att förena alla dina datalager och ha en tydlig förståelse för typen och syftet med datainsamling kommer att hjälpa din organisation att underlätta åtkomst till personuppgifter och ändringsförfrågningar vilket kommer leda till ökad säkerhet.

Få konkurrensfördel

Organisationer som inte är rädda för att vidta de strikta åtgärder som krävs för att skydda sina kunders och anställdas personuppgifter kommer att visa att de tar integritetsfrågor på allvar vilket också kommer att påverka kundernas uppfattning positivt.

Genomdriv en kulturförändring

Det är inte realistiskt att kunna uppnå GDPR compliance på en dag. Compliance är en gradvis förbättringsprocess som kommer att leda till en kultur av "privacy by design" (även kallad "security by design") i din organisation. I och med GDPR har även begreppet "privacy by default" aktualiserats.

  • Privacy by design innebär att integritetsskydd och säkerhet ska sättas i förarsätet vid all utveckling och inte hanteras som ett nödvändigt ont som måste läggas till i efterhand, något som tyvärr ofta är fallet i dag.
  • Privacy by default innebär som namnet antyder att bästa tänkbara säkerhet alltid ska vara standardkonfigurationen och inget som användaren måste slå på manuellt.

Undvik böter

Den stora skillnaden mellan PUL och GDPR är att böterna för att inte följa reglerna är stora. Bötesbeloppets storlek beror bland annat på hur allvarlig överträdelsen av reglerna är, hur stor skada som skett, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig.

För allvarliga brott är bötesbeloppet upp till 20 miljoner euro eller fyra procent av årsomsättningen och för mindre allvarliga brott kan beloppet uppgå till 10 miljoner euro eller två procent.

3. Hur skapar du en konkret handlingsplan för GDPR?

IT-avdelningen spelar en central roll när GDPR ställer krav på att alla organisationer måste anamma ett helt nytt tänk kring personuppgifter. Tankar som i nästa steg måste omsättas i styrdokument och policys, utbildningar, lämpliga tekniska lösningar och fortlöpande analyser. I mångt och mycket behöver hela organisationen anpassa sig till den nya lagstiftningen, men i de flesta fall hamnar mycket av det här arbetet på dig och din IT-avdelning.

Vi har sammanställt en checklista med handfasta råd och åtgärder för hur du kan förbereda din organisation för GDPR. Sammanfattningsvis bygger checklistan på dessa 12 steg:

  1. Skapa en tydlig ansvarsfördelning
    Först och främst behöver du ta ett tydligt ägarskap genom att fastslå processer, roller och ansvar avseende hur och varför personuppgifter hanteras och lagras i din organisation.
  2. Behöver du ett dataskyddsombud?
    I GDPR finns ett fastställt krav på att organisationer som hanterar personuppgifter i större skala måste ha tillsatt ett dataskyddsombud som ansvarar för frågor som rör GDPR och dataskydd. 
  3. Kontrollera dina leverantörsavtal
    Se över alla befintliga leverantörsavtal och säkerställ att de är uppdaterade med personuppgiftsbiträdesavtal som är GDPR-anpassade.
  4. Ta fram en övergripande policy
    Ta fram en övergripande policy för dataskydd som beskriver mål, styrning, organisation och ansvar för dataskyddsarbetet. 
  5. Få koll på “privacy by design” och “privacy by default”
     GDPR ställs höga krav på att dataskydd ska genomsyra allt ni gör. Detta innebär att ni ständigt behöver ha två begrepp i bakhuvudet: Privacy by design och Privacy by default.
  6. Utbilda
    Alla i organisationen ska kunna känna sig trygga i åtminstone grunderna i GDPR och de ska veta till vem de kan vända sig för ytterligare frågor och rådgivning.
  7. Gör en konsekvensanalys
    GDPR ställer krav på att alla som hanterar personuppgifter ska genomföra en omfattande konsekvensanalys kring hanteringen av denna information. 
  8. Skapa en incidenthanteringsplan
    Analyserna av risker och konsekvenser ska i sin tur utmynna i en tydlig incidenthanteringsplan som ni kan tillämpa om ni skulle råka ut för något.
  9. Lär känna ert data
    Lär känna era data fullt ut. Vikten av detta kan inte nog betonas. Dokumentera därför noga hur, var och varför ni behandlar personuppgifter.
  10. Minimera antalet personuppgifter
    Ni bör därför alltid sträva efter att både minimera antalet personuppgifter ni hanterar och tiden ni lagrar dem. Kom också ihåg att ni måste kunna ge en tydlig motivering till varför vissa uppgifter samlats in och lagrats.
  11. Sätt övervakningsrutiner
    Fastställ rutiner för att övervaka filer och mappar som innehåller personuppgifter så att alla intrångsförsök kan identifieras omedelbart och rapporteras.
  12. Testa, testa, testa
    Genom att kontinuerligt testa och bedöma hur väl ni lever upp till er dataskyddspolicy och era integritetsriktlinjer kan ni säkerställa att dessa faktiskt fungerar i praktiken. Testandet bör omfatta allt från hur ni hanterar att enskilda personer begär ut information till hur ni registrerar incidenter och gallrar era register. 

Checklistan med utförligare beskrivning finns att läsa i vårt kunskapspaket om GDPR

 

The security admin's survival guide for the GDPR

Denna GDPR-guide för säkerhetsadministratörer ger dig fem steg du kan ta för att uppfylla kraven som ställs i GDPR-överensstämmelsen. Du kommer även få information om hur ManageEngines lösningar kan hjälpa dig att uppnå och förbli GDPR-compliance.

Ladda ned GDPR guiden

4. Hur kan IT hjälpa till med anpassningen till GDPR?

Med 99 artiklar att följa är GDPR-förordningen en flerstegsprocess. Här är en checklista över teknik som hjälper dig att komma igång.

  1. En central databas för att lagra, se, övervaka och analysera loggdata från olika miljöer
  2. En mekanism för realtidsvarningar för att fånga upp misstänkt aktivitet inom din organisations IT-miljö
  3. Ett auditing-system för att säkerställa integriteten, sekretessen och säkerheten för loggdata som genereras av din IT-miljö
  4. Resurser för att säkra assets som lagrar personuppgifter i din IT-miljö
  5. Ett system för att skapa och hantera register över all data som behandlas tillsammans med detaljerade on-demand rapporter
  6. Förmågan att identifiera vem som har tillgång till privilegierade konton och känslig information.
  7. Tillräcklig säkerhet och kryptering av personuppgifter i transit
  8. En mekanism för att identifiera, svara på och rapportera ett intrång när det inträffar
  9. Ett övervakningssystem för tillgångar och system som har någon form av personlig information.
  10. Ett verktyg för att regelbundet identifiera och säkra sårbarheter som uppstår i din miljö.

5. Vad innebär lagtexten i dataskyddsförordningen?

Kraven i GDPR-förordningen är långa och komplexa. Då det inte finns någon enda teknisk lösning som kan hantera hela förordningen finns det många krav på compliance i GDPR som kan förenklas med rätt IT-verktyg.

Låt oss titta på några av artiklarna i GDPR och hur våra lösningar kan hjälpa dig att uppfylla dessa krav.

Kapitel 2 - Principer

Artikel 5(1)(b)

"[Personlig data ska] samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).”

Hur vi hjälper dig att uppfylla kraven

DataSecurity Plus åtkomstgransknings-rapporter hjälper dig att identifiera avvikande dataåtkomst, insamling, modifiering och radering.

Skicka meddelanden till berörda myndigheter om sådana avvikande aktiviteter sker med Log360s färdiga varningsprofiler.

 

Relaterade produkter

DataSecurity Plus
Log360

 

 

Artikel 5(1)(d)

"[Personlig data ska] vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).”

Hur vi hjälper dig att uppfylla kraven

Schemalägg skanning av alla enheter i din organisation med Desktop Central för att säkerställa tillgänglighet och integritet av personuppgifter.

Övervaka och ta bort föråldrade eller felaktiga data med hjälp av filanalys- och lagringsanalysrapporter i DataSecurity Plus.

Granska databaser med Log360 för att fastställa hur länge data har lagrats och radera personuppgifter så snart lagringsgränsen har uppnåtts.

 

Relaterade produkter

Desktop Central

DataSecurity Plus

Log360

Artikel 5(1)(f)

"[Personlig data ska] behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).”

Hur vi hjälper dig att uppfylla kraven

Förbättra synligheten till användare/enheter som försöker komma åt företagstjänster och data med Desktop Centrals Conditional Exchange Access.

Log360s fördefinierade varningsprofiler skickar varningar när obehöriga åtkomstförsök görs och omintetgör sådana försök.

Säkerställ integriteten hos konfidentiella filer och mappar genom att använda Log360 för att generera omedelbara meddelanden när viktiga filändringar inträffar.

Använd EventLog Analyzers fördefinierade GDPR-rapportmallar för att granska alla aktiviteter och förändringar på system som lagrar personuppgifter.

Använd EventLog Analyzer för att varna personuppgiftsombudet eller säkerhetsadministratörer när personuppgifters integritet är äventyrad.

 

Relaterade produkter

Desktop Central

DataSecurity Plus

EventLog Analyzer

Log360

 

Artikel 5(2)

”Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”

Hur vi hjälper dig att uppfylla kraven

Påvisar säkra behandlingsmetoder genom att exportera ADManager Plus-rapporter i alla filformat och/eller maila dem till intressenter med angivna intervaller.

 

Relaterade produkter

ADManager Plus

Kapitel 4 - Personuppgiftsansvarig och personuppgiftsbiträde

Artikel 24(1)

"Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.”

Hur vi hjälper dig att uppfylla kraven

Desktop Central hjälper dig att regelbundet kontrollera om organisationens tillgångar och enheter fortfarande överensstämmer med de företagskonfigurationer som tillämpas på dem.

Distribuera känsliga företagsdokument på ett säkert sätt till enheter och begränsa deras tillgänglighet till auktoriserade personer och/eller applikationer som använder Desktop Central.

Maila rapporter eller exportera dem till angivna platser i flera filformat med ADManager Plus för att se till att din verksamhet alltid har de uppgifter de behöver under utredningar och säkerhetsbedömningar.

 

Relaterade produkter

Desktop Central

ADManager Plus

 

Artikel 25(2)

"Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.”

Hur vi hjälper dig att uppfylla kraven

Håll personlig- och organisationsdata separata på mobila enheter med hjälp av Desktop Centrals containerization funktion. Begränsa verksamhetens åtkomst till endast organisationens yta på enheterna.

Desktop Central hjälper dig att avregistrera tillgångar/enheter från organisationens nätverk efter användarförfrågan. Ta bort alla former av personuppgifter som gäller en användare från dina servrar och återkalla åtkomst till den informationen.

Förhindra obehöriga användare från att utnyttja privilegierad åtkomst till personuppgifterna genom att använda Password Manager Pro.

Audit av behörighetsförändringar med notifieringsregler i ADManager Plus för att identifiera olagliga eller obehöriga behörighetsförändringar relaterade till personuppgifter.

 

Relaterade produkter

Desktop Central

Password Manager Pro

ADManager Plus

Artikel 30

“Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar.”

Hur vi hjälper dig att uppfylla kraven

ADManager Plus hjälper dig att få fullständig revisionsspårning av alla aktiviteter relaterade till personuppgifter som äger rum i din organisation.

Upprätthåll en förteckning över alla bearbetningsaktiviteter enligt vad som stipuleras av GDPR med Desktop Centrals audit log viewer.

 

Relaterade produkter

ADManager Plus

Desktop Central

Artikel 32(1)(a)

”Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt pseudonymisering och kryptering av personuppgifter.

Hur vi hjälper dig att uppfylla kraven

Key Manager Plus hjälper dig att införa ett flerskiktat tillvägagångssätt till informationssäkerhet, säkra data i transit och hitta enkla sätt att övervaka och hantera dina öppna nycklar.

 

Relaterade produkter

Key Manager Plus

Desktop Central

 

Artikel 32(1)(b)

”förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,”

Hur vi hjälper dig att uppfylla kraven

Skydda och kryptera åtkomst till dina registrerade personligt identifierbara uppgifter med hjälp av Key Manager Plus.

Kontinuerligt övervaka och granska lagringssystemen som lagrar personuppgifter samt de tjänster (eller applikationer) som behandlar personuppgifter med DataSecurity Plus.

Se upp för obehöriga åtkomstförsök och avvikelser i användaraktiviteter på dessa system och tjänster med hjälp av Log360.

Granska och skicka ut realtidsvarningar när det sker förändringar på kritiska resurser (t.ex. brandväggar, Active Directory, databaser och filservrar) med ADAudit Plus.

 

Relaterade produkter

Key Manager Plus

Log360

EventLog Analyzer

DataSecurity Plus

ADAudit Plus

Artikel 32(1)(d)

“ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.”

Hur vi hjälper dig att uppfylla kraven

Kontrollera regelbundet om organisationens enheter fortfarande överensstämmer med de företagspolicies som tilldelats dem med Desktop Central.

Förhindra att angripare utnyttjar privilegierad åtkomst till insamlade personuppgifter med Password Manager Pro.

Kontrollera säkerheten vid bearbetning med hjälp av Log360 som letar efter anomalier som kan visa sig vara ett potentiellt informationsbrott.

Granska all aktivitet på system som lagrar personuppgifter och förändringar i personuppgifter med EventLog Analyzer.

 

Relaterade produkter

Desktop Central

Password Manager Pro

EventLog Analyzer

Log360

Artikel 32(2)

“Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.”

Hur vi hjälper dig att uppfylla kraven

Sätt varningar om en enhet inte checkar in med servern under en fördefinierad tid med Desktop Central.

Centralisera och korrelera säkerhetsdata från olika källor med Log360 för att identifiera potentiella dataöverträdelser direkt och undvik dataförlust.

Granska förändringar av personuppgifter (t.ex. ändring, radering, byte av namn eller till och med behörighetsändringar) med hjälp av Log360.

 

Relaterade produkter

Desktop Central

Log360

Artikel 32(4)

"Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.”

Hur vi hjälper dig att uppfylla kraven

Hantera, övervaka och granska administrativ åtkomst till system och applikationer som hanterar personligt identifierbar information med Password Manager Pro.

Upptäck när användare får tillgång till personuppgifter utan korrekt behörighet med hjälp av Log360 och ADManager Plus.

 

Relaterade produkter

Password Manager Pro

Log360

ADManager Plus

Artikel 33

  1. Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till den tillsynsmyndighet som är behörig i enlighet med artikel 55, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.
  2. Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.
  3. Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel.

Hur vi hjälper dig att uppfylla kraven

Upptäck eventuella dataöverträdelser i ditt nätverk direkt med Log360s realtidsvarningskonsol och korrelationsmotor.

Upptäck och hindra kända attackmönster som DoS, DDoS, SQL-injektioner och ransomware-attacker med Log360 och RansomCare.

Använd anpassade korrelationsregler och varningsprofiler för att upptäcka okända angreppsmönster, för att skydda personuppgifter.

Log360s sökmotor kan hjälpa dig att utföra rättsteknisk analys och bestämma när ett brott inträffade, dess källa, vilka data och system som påverkades och de ansvariga parterna.

Spela in privilegierad kontoåtkomst och sessioner med Password Manager Pro för att förbereda rättsteknisk granskning.

Exportera all rättsteknisk information och bygg incidentrapporter som kan skickas till de berörda myndigheterna med hjälp av Log360s rapporter.

 

Relaterade produkter

Log360

Password Manager Pro

RansomCare

6. Ta del av vårt kunskapspaket om GDPR

Vi har samlat det bästa av vårt material om GDPR i ett kunskapspaket för dig som jobbar med IT. Det består av flera whitepaper, artiklar och över 60 minuter video med Microsoft MVP.

Friskrivning:

Att fullt ut följa GDPR kräver en rad olika lösningar, processer, människor och teknologier. Lösningar som nämns på denna sida är några av de sätt på vilka IT-managementverktyg kan hjälpa till med några av kraven i GDPR. Tillsammans med andra lämpliga lösningar, processer och människor, hjälper lösningarna till att uppnå och upprätthålla GDPR compliance. Detta material tillhandahålls endast för informationsändamål och bör inte betraktas som juridisk rådgivning för GDPR compliance. Inuit ger inga garantier, uttryckliga, underförstådda eller lagstadgade beträffande informationen i detta material.