25. mai er det ett år siden EU innførte GDPR (Red. anm.: regelverket trådde i kraft i Norge først den 20. juli 2018). Hva har vi egentlig lært det første året? En ting som er sikkert er at det har gått opp for mange bedrifter og organisasjoner at det ikke er snakk om entydig standard.
Selv om det har vært skrevet og sagt mye om de nye reglene er det klart at GDPR ikke har en klar ramme med 100 prosent presise krav. Det følger ikke med en sjekkliste eller teknisk referansestruktur. Noe som betyr at mange bedrifter har brukt betydelige ressurser i form av tid og krefter på å tolke bestemmelsene og hva det vil si for den daglige driften.
De forskjellige tolkningene har gjennom året handlet om tre hovedpunkter. Kan vi stole på vår(e) databehandlere, hvordan håndterer vi personaldata vi allerede har og bruker og hvordan utvikler vi produkter og tjenester så de fra starten av tar høyde for sikring av persondata?
Ved å bruke skybaserte tjenester som de Amazon Web Services tilbyr, besvares spørsmålene ut fra en delt ansvarsmodell. Bedrifter og organisasjoner må fortsatt vurdere databehandlerens egnethet – og de har fremdeles ansvar for å sikre egne data. Men kundene får nå en del av sin såkalte «compliance» dekket som følge av skyleverandøren allerede overholder kravene. Noe som gjerne er mye av kompleksiteten ved GDPR.
Det er krav fra GDPR at de dataansvarlige har dyptgående kjennskap til hvilke data de oppbevarer, hvor det lagres og hvem som har tilgang. Da er det avgjørende at man forstår teknologien og infrastrukturen som organisasjonens data lagres i. Ikke minst er det viktig at kundene forstår hva som skjer med informasjonen som er lagret i skyen og hvordan de selv bør beskytte sine produkter og tjenester.
For «eierne» av dataene i en bedrift har det blitt klart at det å forvalte og sikre persondata må gjøres grundig da den berører mer eller mindre alle teknologiske plattformer i virksomheten. I de fleste tilfeller er det komplisert å få overblikk over det tekniske arvegodset som eksisterer. Selv om ikke alt kan skrotes for å starte alt på nytt, blir veien gjennom jungelen som regel å se til nye IT-verktøy og plattformer som gir oversikt over hvor den ulike informasjonen befinner seg. Basert på dette kan «dataeierne» ta avgjørelser om hvordan dataene, eller informasjonen, kan beskyttes ytterligere, samt etterleve GDPR-prinsippet «Least Privelege» som dikterer at enkeltpersoner skal ha gyldig grunn for å få adgang til data – og ikke adgang som standard.
Vi har også sett at mange har fått en ny bevissthet rundt dataintegritet når det skal bygges nye applikasjoner og velges nye leverandører. En av konsekvensene av GDPR er at systemer som utvikles i dag ta hensyn til registrerte personers privatliv fra starten av. Kundene har blitt flinkere til å vurdere teknologier, og løsningen på GDPR blir ofte å gå til skyen. Det fordi de da har adgang til native-teknologi og et økosystem av partnere som allerede har ferdige løsninger på lokalisering og katalogisering av data.
Gjennom det første året med GDPR har det blitt en påminnelse på at bedrifter og organisasjoner har et særlig ansvar for å beskytte data om personer som bruker deres produkter og tjenester. Dette skal og bør være noe man kontinuerlig jobber mot – og som skal gjennomsyre alt som gjøres digitalt. For selskaper som AWS, som lever av å utvikle infrastruktur og skybaserte tjenester, har GDPR også vært en god positiv utfordring. Det har gitt en ekstra anledning til å fokusere enda mer på å skape verdifulle verktøy for å håndtere sikkerhet, databeskyttelse og compliance.
Vi er fremdeles ikke 100 prosent i mål med å forankre GDPR – men vi er godt på vei.
Gratulerer med ettårsdagen.
