×
Annonse fra Story Labs for
IT-sikkerhetsekspert Sissi Wright mener GDPR ikke skal gjøres vanskeligere, dyrere eller mer tungvint enn nødvendig. 
IT-sikkerhetsekspert Sissi Wright mener GDPR ikke skal gjøres vanskeligere, dyrere eller mer tungvint enn nødvendig.  (Kristine Stoleggen)

Med denne startpakken blir du GDPR-klar

– Det trenger ikke være vanskeligere, dyrere eller mer tungvint enn nødvendig, sier IT-sikkerhetsekspert Sissi Wright.

  • Story Labs Dette er en annonse. Journalistene i Digi.no er ikke involvert i produksjonen.

– Du er ikke sterkere enn ditt svakeste ledd.

Sissi Wright er 99X sin ekspert på informasjonssikkerhet og personvern og forteller at oversikt er den beste rustning når EUs forordning om personvern (GDPR) trer i kraft om snaue ti uker. Det hjelper nemlig lite om din egen bedrift er i samsvar med det nye regelverket hvis en av underleverandørene deres ikke er det. Dersom noen skal behandle dine personopplysninger må du stille krav for å unngå andres «slurv» – og kunne følge det opp. 

– Du trenger ikke å gjøre noe med alt, men du må ha oversikt over hvilke trusler som eksisterer for at du kan sove godt om natten. Mange er faktisk ikke klar over at de behandler sensitive opplysninger. Det kan få store konsekvenser i mai, sier Wright som hjelper virksomheter å kartlegge truslene med skreddersydde GDPR-workshops.

Skippertak mot dårlig omdømme

CTO i 99X Peter Nomme mener konsekvensen av å ikke følge de nye GDPR-reglene kan koste bedrifter dyrt.

GDPR er litt som et skikkelig skippertak og vårrengjøring i IT-systemene: Et stort røsk må til, men etterpå er jobben lettere og behagelig. CTO i 99X Peter Nomme tror mange virksomheter ser på dette som en strafferunde for å kunne fortsette løpet med digitalisering. 

– Mange vet nok ikke helt hvor de skal starte og begynner derfor med litt sporadiske tiltak. Dette får deg kanskje et stykke på veien, men uten ordentlig kartlegging av hvilke data du har og hvordan du behandler dem kan fallhøyden bli stor, sier han.

Bedriften risikerer kraftige bøter om de ikke har kontroll på personsikkerhet og personvern, og med det nye lovverket åpnes det for blant annet gruppesøksmål.

– Verst av alt er nok fallhøyden for omdømmet. Negativ omtale sprer seg fort og konsekvensene kan koste dyrt for en bedrift som ikke følger de nye reglene. Derfor er det så utrolig viktig å vite hvilke data man har, så klassifisere og kategorisere de, før man til slutt ser på hvordan man er stilt i forhold til eventuell behandling, sier Nomme. 

Hva må jeg passe på – og hvor godt? 

Sikkerhetseksperten Wright forteller om et trusselbilde i stadig forandring og sier det er viktig å vite hvordan man skal gå frem.

IT-sikkerhetsekspert Sissi Wright mener GDPR ikke skal gjøres vanskeligere, dyrere eller mer tungvindt enn nødvendig. 

– Du kan ikke bare investere i nye tekniske løsninger og håpe du har fått beskyttelsen du trenger. Vi utsettes konstant for nye forhold vi ikke har kontroll på, vi bruker data på en helt annen måte enn for 20 år siden og cybertruslene er flere enn noen gang. Hvis du starter med en nødløsning er det rimelig sikkert at den ikke vil være robust nok om et år, sier hun.

Det nye regelverket setter strenge og spesifikke krav til informasjon som skal kunne fremlegges om nødvendig. Wright har blant annet bistått bedrifter som lurer på «hvorfor skal vi få oversikt over formålene med behandlingen?» 

– Det er fordi dataene må behandles på bakgrunn av et bestemt formål. Hvis du for eksempel samler inn data for å drifte kunden, kan du ikke bruke de samme dataene til markedsføring. Da må du sikre deg et nytt lovlig grunnlag til markedsføringen som for eksempel samtykke eller kontrakt, sier hun.

– Samtidig skal du ikke gjøre det vanskeligere, dyrere eller mer tungvint enn nødvendig. Mange tror at det å bli GDPR compliant innebærer å sperre ned alt og endre alle arbeidsrutiner, men dette handler mer om konfidensialiteten, integriteten og tilgjengeligheten som ligger bak jobben du allerede gjør, fortsetter Wright.

Lagde en skreddersydd startpakke

GDPR Startpakke:


1. Opplæring
1 times foredrag

2. Workshop x 2 
Oversikt over personopplysninger
Klassifisering
Vurdere lovlig grunnlag

3. Statusanalyse
4 timers workshop
Gjennomgang av status og krav

4. Rapport
Status m/ workshop for prioritering

5. E-læring 
Opplæringsmateriell til bedriftens ansatte

Les mer »

Med sin juridiske bakgrunn og lange erfaring innen IT-sikkerhet har Wright konstruert en startpakke for å veilede bedrifter gjennom det første, viktige skippertaket.

– Jeg har utviklet et styringssystem i SharePoint Online som samler alle prosessene vi lever etter og gir oss god oversikt. Dette tilpasses etter behov og tilbys til bedrifter som etter endt veiledning ønsker et effektivt verktøy til å håndtere sine data. 

I samarbeid med Neupart, som spesialiserer seg på GDPR styringssystemer, har 99X nå et intuitivt system for databehandling. Etter å ha sett på flere alternativer falt Wright for dette systemet på grunn av de ferdige malene og den gode oversikten som gjør at man får etablert et styringssystem på veldig kort tid. Neupart og 99X er også ISO 27001 sertifisert, som garanterer for at bedrifters IT-tjenester er forsvarlig beskyttet i tråd med en av verdens mest anerkjente sertifiseringer innen informasjonssikkerhet. En absolutt nødvendighet i betraktning av 99X sin rolle, i følge Nomme.

– I mai får alle i verdikjeden som behandler personopplysninger et skjerpet ansvar. Den verdikjeden blir vi en del av sammen med kunden som er behandlingsansvarlig og risikoen for oss blir høy dersom vi ikke gjør en god jobb, sier han. 

Wright forteller om bedrifter som etter kartlegging  fant ut at de behandlet langt flere personopplysninger enn de var klar over, fordi underleverandørene deres kanskje hadde visa-opplysninger eller sensitive dokumenter i sine systemer. Med en påfølgende risikovurdering har de fått kontroll på sine verdier og tar nå beslutninger basert på faktisk risiko. Dette sparer de penger på.

– I startpakken er det blant annet fire workshops som gir en skikkelig opprenskning. Når vi har gjennomgått og fått oversikt over personopplysninger sjekker vi dette opp mot GDPR-reglene og allerede da er det faktisk veldig mye som faller på plass.

93 dager igjen – har du oversikt?

  

Kommentarer (0)

Kommentarer (0)
Til toppen