Fem exempel på IT-miljöer som inte uppfyller GDPR:s krav

I samband med införandet av GDPR har du säkert fått en strid ström av mail om att företag som du varit i kontakt med nu har uppdaterat sina integritets- och cookie-policyer. Men är verkligen alla dessa företag praktiskt rustade för att möta kraven som GDPR ställer? Vid en närmare anblick saknas ofta det tekniska underlag som krävs för att policyerna ska överensstämma med verkligheten. Än så länge efterlever många verksamheter bara GDPR på pappret…

Bristfälligt skydd av mobila enheter

Ett av kraven GDPR ställer är att data som finns på våra mobila enheter och datorer behöver vara krypterade. Kryptering anses idag som en standardåtgärd för att skydda data och du bör ha en IT-miljö som erbjuder möjlighet att göra det. På en oskyddad dator, utan kryptering, är det bara att installera om operativsystemet och sedan läsa all den data som ligger på disken. Är dina data krypterade kan däremot ingen komma åt innehållet på enheten utan en krypteringsnyckel.

I många IT-miljöer finns inte möjlighet att centralt styra företagets datorer och mobila enheter. Om en enhet tappas bort eller på annat sätt hamnar i orätta händer, kan du då inte kontrollera om krypteringen är aktiverad och inte heller aktivera krypteringen på distans.

Visserligen kan du på annat sätt ge adekvat skydd åt dina data – om enheterna är helt stationära, aldrig lämnar kontorslokalerna och lokalerna dessutom har ett starkt fysiskt inbrottsskydd. Men idag lever vi i en mobil värld och kan du då inte på distans styra företagets enheter är de, så fort de lämnar företagets lokaler, exponerade. Per definition lever du då inte längre upp till kraven som GDPR ställer på skydd av data.

Dina mail är inte krypterade

Även kryptering av mail är något som många saknar stöd för i sina IT-miljöer. Om personuppgifter förmedlas via mail utan kryptering så strider det mot GDPR-kraven eftersom mail är ett relativt osäkert sätt att kommunicera.

För att kunna efterleva kraven bör du därför ha möjlighet att ställa in att alla mail ska krypteras. Alternativt behöver din mailklient känna av om ditt mail innehåller persondata så att det automatiskt krypteras av den anledningen. Ett tredje alternativ är att du manuellt gör det varje gång du skickar ett mail.

Många e-postleverantörer erbjuder inte krypteringsskydd och istället för att anlita en tredjepartsleverantör för kryptering är en mailtjänst med integrerad krypteringsfunktion att föredra.

Granskningsloggar – en förutsättning för utförlig rapportering av incidenter

GDPR ställer höga krav på spårbarhet och förmågan att utreda eventuella intrång eller andra typer av incidenter. Det är en förutsättning för att du ska kunna rapportera en incident på ett korrekt sätt till Datainspektionen inom 72 timmar. För att säkerställa utförlig rapportering behöver du därför en it-miljö där du kan spåra användarnas aktivitet genom loggar av händelseförlopp.

I en hostad miljö där dina servrar ligger hos en IT-partner med ett nätverk som omfattar såväl dina som andra kunders data blir det svårt att få ut brandväggsloggar. Det beror på att dina loggar inte kan särskiljas från andra kunders loggar. På så sätt blir det svårt, om inte omöjligt, att säkerställa en korrekt utredning av en eventuell incident.

Sökbarhet underlättar vid begäran om registerutdrag och radering

För att effektivt kunna hantera personuppgiftsförfrågningar om utdrag eller radering av data måste dina system stödja sökningar av strukturerade och ostrukturerade data. I en traditionell it-miljö kan du exempelvis ha ett antal servrar med filsystem inom din organisation. Eventuellt har du även en separat molntjänstlösning för fildelning så att du kommer åt data utanför arbetsplatsen; Dropbox, till exempel. Och så har du mail – antingen på en lokal server eller hos någon annan e-postleverantör.

Normalt sett kan du inte söka på information som finns i dina filer på en server. Alternativet är att manuellt gå igenom, fil för fil, vilket givetvis blir ett alltför tidsödande arbete. Finns det däremot ett fungerande ekosystem av olika funktioner – dokument, mail, chatt och så vidare – kan du göra sökningen centralt och måste alltså inte gå igenom fil för fil, system för system.

Kan du lita på att dina medarbetare alltid raderar gammal data?

GDPR ställer även krav på att sådana data som du inte längre har användning för ska raderas inom en viss tid. Detta arbete kan naturligtvis skötas manuellt – du kan exempelvis kräva av dina medarbetare att de med jämna intervall går in och rensar i sina inkorgar eller äldre dokument.

Problemet är att du inte kan säkerställa att det verkligen görs. Det enda sättet du faktiskt kan vara säker på att data som ska raderas verkligen raderas är om du har en automatiserad lösning, med påminnelser, notifieringar och centralt styrda raderingsrutiner.

På WeSafe vet vi vad som krävs av din IT-miljö för att den ska leva upp till de krav som GDPR ställer. Vill du veta mer om hur vi kan hjälpa dig att säkerställa compliance i din verksamhet? Tveka inte att kontakta oss!

Inspiration och kunskap direkt till din inkorg

Signa upp dig för vårt månatliga inspirationsbrev som ger dig tips, insikter och råd om nya arbetssätt, processer och säkerhet kopplat till Microsoft 365, Azure och olika verktyg i Microsofts molnplattform.

Kostnadsfri Säkerhetsanalys av er Microsoft 365-miljö

Få konkreta och handfasta tips på hur du bättre kan skydda din organisation

Läs mer och boka

Skriven av:

Marcus Juvin

Technical Lead - Security and Compliance

marcus.juvin@upheads.se