Persondataforordningen = Panik?

Panikker I ved udsigten til meget skrappere regler ift. persondata? Synes du, at det er virker uoverskueligt at få overblik over, hvad der egentlig skal til for, at jeres IT-sikkerhed når et tilfredsstillende niveau ift. persondataforordningen? Fortvivl ikke! I mangler bare en plan at arbejde ud fra, og den kommer jeg med et bud på her. Overordnet set handler det om at få taget nogle simple økonomisk hensigtsmæssige skridt, så i kommer godt i gang med processen. Lad os starte med at kaste et tilbageblik…

 

Datatilsynet har ikke kunnet følge med

 

Ingen kan citere mig for at sige, at persondataforordningen ikke er et fantastisk tiltag. Men jeg oplever, at forordningen skaber en voksende panik rundt omkring i de danske organisationer. Denne panik udspringer af, at Datatilsynet ikke har haft de fornødne ressourcer til at være sin opgave voksen.

 

Datatilsynet har til opgave at håndhæve den gældende danske persondatalov. Gør man status er virkeligheden at Datatilsynet:

 

1.    Ikke har formået at opdrage danske organisationer tilstrækkeligt ift. at opnå et tilfredsstillende IT-sikkerheds niveau.

 

2.    Ikke har haft de fornødne ressourcer eller straffene til at håndhæve loven.

 

Min påstand er, at situationen ville have set anderledes ud, såfremt Datatilsynet havde haft de fornødne ressourcer til at gøre det bedre end bare godt nok. Man har haft et for stort fokus på at sætte turbo på udviklingen af IT-arbejdsgangene, og i den forbindelse forsømt den gode forberedelse og oplysningen af de danske organisationer ift. IT-sikkerhed.

 

Husk: Man straffer ikke de uskyldige

 

Det er vigtigt at huske grunden til, at persondataforordningen overhovedet er blevet lavet:

 

Loven er lavet for at beskytte borgernes privatdata mod læk, som kunne være undgået, hvis organisationerne havde vist rettidig omhu.

 

Intentionen er dermed at straffe de organisationer hårdt, der behandler personhenførbare data og ikke passer tilstrækkeligt på det.

 

Hvis man ser på hvordan de danske organisationer burde være stillet i dag jf. den dansk persondatalov, så ville skridtet ift. den nye europæiske persondataforordning ikke være så stort. Ser man ud over Danmarks grænser, har man i flere lande været vant til et aktivt datatilsyn, der med de fornødne ressourcer gav store bøder for databrud. Mange europæiske organisationer er således allerede ”opdraget” til at have den grundlæggende IT-sikkerhed på plads, og derfor skaber den nye persondataforordning ikke den store panik hos dem.

 

Hvad kan du så gøre, mens Datatilsynet stadig mangler ressourcer?

 

Hvis jeg f.eks. var en tidspresset IT-chef i en mindre eller mellemstor organisation, så ville jeg begynde at fokusere mere på IT-sikkerhed, da det er VIGTIGT for virksomhedens fremtid. Hvis ikke I allerede har en god metode til at tænke IT-sikkerhed ind i organisationens arbejde, så er realiteten, at I kan stå foran en meget brat opvågning i den nærmeste fremtid.

 

Alt imens Datatilsynet er begrænset, må organisationerne selv tage affære. Og hvis man som IT-medarbejder eller -ansvarlig føler, at man mangler en plan, så kan man med fordel tage udgangspunkt i mit forslag:

 

Ressource-anbefalet prioriteringsliste mhp. at optimere IT-sikkerheden

 

·         65% af min tid ville gå med at få ledelsen/bestyrelsen overbevist om, at persondataforordningen (og generel IT-sikkerhed) ikke kun er et projekt for IT-chefen. Det er derimod et organisationsprojekt, som dermed kræver deltagelse på tværs af hele organisationen.

 

·         5% af min tid ville jeg bruge på at identificere, hvor organisationens kritiske data befinder sig (og det er ikke kun data, der direkte har noget med forordningen at gøre).

 

·         5% af min tid ville jeg bruge på at identificere, hvordan jeg kunne hæve sikkerheden omkring de kritiske data uden øgede udgifter for virksomheden.

 

·         5% af min tid ville jeg bruge på at få iværksat IT-sikkerheds-awareness-træning til medarbejderne.

 

·         5% af min tid ville jeg bruge på at indføre tekniske sikkerhedsinitiativer på arbejdscomputerne (udfra filosofien: ”Mange bække små gør en stor å”)

 

·         5% af min tid ville jeg bruge på at lave en beredskabsplan inklusiv pressetræning til direktøren.

 

·         De sidste 10% har jeg så til mine driftsopgaver og kaffe.

 

Når jeg var i mål med ovenstående, ville jeg få lidt mere langsigtet hjælp til at:

 

1.    Begynde at se på, hvad der sker på netværket.

 

2.    Implementere simple tests/kontroller af IT-sikkerheden løbende.

 

Følger i planen er i godt på vej til at opfylde den kommende persondataforordning, uden det har kostet organisationen alt for mange ressourcer. Panikniveauet falder en smule, og det samme gør tidspresset. Derudover er det vigtigt at huske, at det endnu ikke er helt på plads, hvordan persondataforordningen præcis indføres i Danmark. Det bliver først helt klart sidst i 2017.

 

Sæt i gang og kom i mål

 

Kom i gang nu. Lad være med at tro på dem, der vil sælge dig ’fix-it-all’-vidunderløsninger (de findes ikke!). Se på helheden af virksomheden. Hav fokus på kritiske data. Træk 75% overdrivelse fra de mest højtråbende IT-sikkerhedsvirksomheders trusler og tag det så ellers roligt. Tag de små skridt nu, og inden I har set jer om, så vil I været nået helt i mål.

 

Kenneth er medstifter af CyberPilot. CyberPilot fokuserer på at hjælpe de virksomheder, som allerede har indset at IT-sikkerhed = risiko og håndtering heraf. Det gør vi ved at fokusere på de tiltag, som har størst værdi ift. de investerede ressourcer. Og vi gør det på en pragmatisk måde, så det kommer til at virke i praksis!

Følg os her på hjemmesiden eller på LinkedIn. Vi kommer løbende med råd og vejledning til, hvordan man som dansk virksomhed med simple skridt kan arbejde med IT-sikkerhed, og hvordan man sørger for at anvende sine ressourcer mest effektivt.

Comments are closed.