GDPR’s effekt på din IT-sikkerhed

Siden EU’s GDPR trådte i kraft i maj, har den været et uundgåeligt emne i enhver snak om IT-sikkerhed og organisationsprocesser. Her bliver der oftest snakket om den ekstra arbejdsbyrde som persondataforordningen har forårsaget og ikke dens mulige positive effekter. I denne blogpost vil vi derfor fokusere på og udforske hvordan GDPR indtil videre har påvirket IT-sikkerhed, og hvorvidt dette har været positivt eller negativt.  

  

Eftersom at både GDPR og IT-sikkerhed i sidste ende handler om behandling af data, er det klart, at indførelsen af den nye lovgivning har haft en effekt på den globale IT-sikkerhed. Denne effekt har indtil videre været både positiv og negativ. Et eksempel på en negativ effekt er IT-kriminelle, som udnyttede forvirringen omkring GDPR til at lokke folk i fælder, de normalt ikke ville falde i. Her har vi f.eks. set phishing-forsøg, hvor bagmændene udnytter den store mængde GDPR-relaterede e-mails til at lokke informationer ud af deres ofre. Det er dog en smule uretfærdigt at give GDPR skylden for phishing, da det jo allerede var et stort problem inden. Hvis du er mere interesseret i phishing kan du læse mere om denne udfordring i denne blogpost.  


  

En anden meget omdiskuteret effekt ved persondataforordningen er introduktionen af massive bøder ved usikker behandling af persondata. Selvom, at vi endnu ikke har set en af disse bøder blive udstedt, forventes det, at de første bøder kommer inden dette år er omme. Det er blandt andet disse bøder, og især deres størrelser, som har motiveret virksomheder til at stræbe efter compliance. Inden GDPR havde usikker behandling af data også konsekvenser, som f.eks. tab af omdømme, tab af data og i nogle tilfælde økonomiske tab, men denne nye konsekvens, GDPR’s massive bøder, var åbenbart det der skulle til for, at virksomheder tog sikker databehandling alvorligt.  


  

GDPR har altså tvunget virksomhederne til at tage behandling af vores data alvorligt, og det må man sige er en positiv effekt. Denne jagt på compliance har dog også haft nogle negative konsekvenser. I en rapport af McKinsey fra Maj 2018 nævnes det, at mange virksomheder i deres forsøg på at nå at blive compliant inden GDPR’s indførelse, har benyttet sig af manuelle systemer. Her konkluderes der, at virksomhederne for at forblive compliant, bliver nødt til at udskifte disse manuelle systemer med automatiske systemer, da de manuelle kræver for mange ressourcer på lang sigt. Lovgivningens stramme krav og skarpe deadline har altså tvunget virksomhederne til at bruge manuelle ”lappeløsninger”, som på lang sigt potentielt kan skade deres IT-sikkerhed og compliance. 


  

For at opsummere har indførelsen af persondatafordningen indtil videre haft disse effekter: 

  • Forvirring omkring hvad loven egentligt kræver, som er blevet udnyttet af IT-kriminelle  

  • Et øget fokus på IT-sikkerhed, som nogen mener vil forårsage et generelt løft indenfor IT-sikkerhed 
     

  • Større motivation for at behandle data sikkert igennem truslen om massive bøder  

  • Stress omkring at opnå compliance, som i nogen tilfælde har gjort at organisationer har benyttet sig af lappeløsninger 

Alt i alt kan man konkludere at GDPR indtil videre har skabt et større fokus på IT-sikkerhed i det offentlige rum, hvilket i sig selv er en positiv udvikling. 


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.  

 

Comments are closed.