När vi närmar oss ettårsdagen av genomförandet av GDPR kämpar många organisationer fortfarande med att uppfylla kraven i denna viktiga lagstiftning.
I en nyligen genomförd studie av Forrester konstaterades att över hälften av de tillfrågade inte hade vidtagit alla nödvändiga åtgärder för att uppfylla kraven, trots att tidsfristen i maj gått ut.
Att följa lagstiftningen har visat sig vara mycket mer utmanande än vad vissa organisationer hade räknat med från början. Ofta finns det enorma datamängder som är spridda över en mängd olika plattformar, oändliga åtkomstpunkter och en ökning av begäran om uppgifter har satt extra press på organisationer som kämpar för att få ordning på sitt hus.
Att visa att man följer GDPR är en pågående process och organisationer måste kontinuerligt identifiera och åtgärda integritets- och säkerhetsrisker för att se till att de är på rätt sida av lagen och inte drabbas av de höga böter som kan utdömas vid bristande efterlevnad.
Sedan maj förra året har 91 böter utfärdats för GDPR-överträdelser, men böterna på 50 miljoner euro till Google är de största hittills. De större organisationerna har drabbats hårdast av de ekonomiska sanktionerna, men för majoriteten av företagen har effekterna ännu inte blivit kännbara.
Konsekvenserna av bristande efterlevnad är dock mycket verkliga och om organisationer bryter mot lagstiftningen kan de drabbas av förödande böter, skada på rykte och en ökad risk för cyberattacker.
Det finns dock ett antal åtgärder som organisationer kan vidta för att se till att de är på rätt väg mot GDPR-överensstämmelse:
Topptips för efterlevnad av GDPR
1. Genomföra regelbundna revisioner och riskbedömningar
I dataskyddsförordningen anges att organisationer måste genomföra regelbundna revisioner av databehandlingsverksamheten och följa en uppsättning principer för dataskydd som bidrar till att skydda uppgifter. Organisationer måste fastställa följande:
- Vilka uppgifter samlas in?
- Varifrån kommer uppgifterna?
- Varför samlas uppgifterna in?
- Hur bearbetas den?
- Hur länge sparas uppgifterna?
- Vart överförs uppgifterna?
- Behövs alla uppgifter?
- Vem har tillgång till uppgifterna?
För att förhindra dataintrång bör organisationer minimera tillgången till känsliga data och minska antalet platser där data lagras fysiskt.
Genom att genomföra regelbundna revisioner kan organisationer se till att det finns ett lämpligt ramverk för att skydda kundernas personligt identifierbara information och minska eventuella risker.
2. Utbildning för personalens medvetenhet
I dataskyddsförordningen står det att anställda måste få regelbunden utbildning i informationssäkerhet. Utbildningen är viktig för att se till att personalen har kunskap om företagets policyer, bestämmelser och de rättsliga krav som gäller för deras dagliga roll.
Organisationer måste bevisa att personalen både har läst och förstått GDPR-policyerna. Att kunna tillhandahålla dessa bevis ger organisationerna en stark ställning när det gäller att visa att "integritet" har blivit en integrerad del av deras dagliga verksamhet. eLearning är ett av de bästa sätten att se till att personalen förstår GDPR-policyn till fullo.
3. Implementera ett effektivt system för förvaltning av politiken
Att följa reglerna kan vara en omöjlig uppgift med hjälp av befintliga kommunikationsmetoder som e-post och företagets intranät. Men genom att använda programvara för hantering av policyer kan organisationer effektivisera interna processer, visa att de uppfyller lagstadgade krav och effektivt inrikta sig på de områden som utgör den största risken för datasäkerheten.
Ett system för hantering av policyer ger organisationer en lättanvänd, centraliserad lösning för att skapa, lagra och distribuera viktiga policydokument. Ett effektivt system för hantering av policyer har en konsekvent metod för att skapa policyer, ger struktur åt företagets rutiner och gör det lättare att följa upp efterlevnaden.
4. Skapa en plan för incidenthantering
Enligt dataskyddsförordningen måste alla organisationer avslöja brott mot personuppgifter för den relevanta tillsynsmyndigheten inom 72 timmar efter upptäckt. För att effektivt uppfylla denna begäran måste organisationer ha en plan som gör det möjligt för dem att reagera på en incident på ett snabbt, planerat och samordnat sätt.
Planen bör beskriva vilka åtgärder som måste vidtas och specifika personer inom organisationen bör ha definierade roller och ansvarsområden för att effektivt kunna fatta beslut och hantera situationen i enlighet med detta.
Genom att upprätta en incidenthanteringsplan kan man utbilda och informera personalen, förbättra de organisatoriska strukturerna, öka förtroendet hos kunder och intressenter och minska de potentiella ekonomiska konsekvenserna av en större incident.
5. Försvara alla åtkomstpunkter
För att uppnå full GDPR-överensstämmelse måste organisationer se till att alla slutpunkter är skyddade. Tyvärr är ett stort antal av de dataintrång som kan undvikas ett resultat av att systemen inte är patchade. Nya sårbarheter upptäcks hela tiden och om inte patchar tillämpas kommer hackare att utnyttja dessa sårbarheter för att bryta sig in i ett nätverk.
För att kunna visa att de följer bestämmelserna måste organisationer visa att de har vidtagit alla nödvändiga åtgärder för att säkra sina system. Revisorer kan kräva rapporter om vilka patchar som tillämpats och när, så det är viktigt att organisationer har rätt system för att noggrant dokumentera vilka patchar som har utfärdats. Patchar är viktiga för att hålla maskinerna uppdaterade, stabila och säkra mot skadlig kod och andra hot.
MetaPrivacy har utformats för att erbjuda bästa praxis för att uppfylla kraven på dataskydd. Kontakta oss för mer information om hur vi kan hjälpa din organisation att förbättra sin struktur för efterlevnad.
ANSVAR: Innehållet och åsikterna i den här bloggen är endast för informationsändamål. De är inte avsedda att utgöra juridisk eller annan professionell rådgivning och bör inte förlitas på eller behandlas som en ersättning för specifik rådgivning som är relevant för särskilda omständigheter, dataskyddslagen eller annan nuvarande eller framtida lagstiftning. MetaCompliance tar inget ansvar för eventuella fel, utelämnanden eller vilseledande uttalanden, eller för eventuella förluster som kan uppstå till följd av att man förlitar sig på material som finns i denna blogg.