Lägg undan 2% av din omsättning till GDPR böter redan idag!

Kim HindartOkategoriserad0 Comments

Den 14:e april accepterades General Data Protection Regulation av EU och lagen träder i kraft den 14:e april 2018. Alla företag som hanterar personuppgifter inom EU, eller tillhörande personer i EU har nu två år på sig att förbereda sig för de kommande förändringarna. Först och främst behöver vi förstå vad som skall göras och vilka konsekvenser som finns om vi inte lyckas efterleva regelverket.

photo-1455014925136-e46fb2ccc345

För ett tag sedan frågade min chef vad kostnaden blir för att kunna efterleva GDPR och jag kunde inte ge honom något bra svar. Min bästa gissning var att det kommer landa på mellan 1000 och 1 miljon och mottagandet av det svaret var minst sagt oentusiastiskt. Chefer vill tydligen ha lite mer precisa förutsägelser.

Lagen i sig är på ungefär 100 sidor men om du verkligen vill förstå konsekvenserna av den här nya lagen behöver du även läsa alla referenser och andra dokument som lagen pekar på. Tar man allt som EU har publicerat om GDPR så landar vi på ungefär 6000 sidor. Det här är precis vad jag gör just nu och jag kommer dela med mig av mina tankar och upptäckter i en serie artiklar.

Andra artiklar i serien

Del 1: Hemligheter till salu

 

GDPR kommer göra ont

GDPR kommer göra ont och det är precis det som är poängen. Faktum är att om du följer det gamla regelverket kring personuppgifter kommer GDPR inte innebära särskilt stora förändringar. Men det gamla direktivet upprätthölls inte som det skulle och med relativt få och små straff var det tandlöst. Således var det många företag och organisationer som uppenbart ignorerade regelrätt hantering av personuppgifter och dess säkerhet. En slapp attityd gentemot direktiv kommer, och har, provocerat fram en reaktion från EU. Speciellt när amerikanska företag började behandla personuppgifter tillhörande amerikanska medborgare och EU medborgare på olika sätt.

 

 

Större och mindre överträdelser

Som en del av resultatet kan du nu få böter med upp till 4% av din omsättning (upp till 20 miljoner Euro) för en större överträdelse och upp till 2% (upp till 10 miljoner Euro) för en mindre.

Om du hoppas att datainspektionen, som måhända har varit relativt inaktiva tidigare, ska fortsätta att vara det bör du nog tänka om. Numera kan vem som helst lämna in ett klagomål mot vilken organisation som helst och varje klagomål kommer resultera i en utredning någonstans på vägen. Alla företag som har verksamhet i EU eller som hanterar EU-medborgares personuppgifter kan bli utrett och bötfällt så risken att bli granskad har verkligen ökat markant.

 

Den försiktiga CSO:n

Hittills har det inte uppkommit tillräckligt många rättsfall för att komma närmare någon form av enhälliga riktlinjer eller praxis. Tills det sker, om det ens sker, lämnar GDPR ovanligt mycket utrymme för fri tolkning. Den nuvarande definitionen, som jag kan utläsa, för vad som klassas som en mindre överträdelse är: Bristfällig eller saknad information om när, var eller hur personuppgifter mottogs.

Återigen, då det finns väldigt mycket utrymme för fri tolkning och då det saknas praxis bör den försiktige CSO:n anta att information som saknas om en enda transaktion där personuppgifter är inblandat kan vara fällande.

 

Lägg undan minst 2% av din omsättning för GDPR böter

Här är lite fakta som man bör känna till i GDPR processerna och böter.

Om det faller sig så att du får en fällande granskning kommer du tvingas böta, så enkelt är det. Det är en bot och inte en rättsprocess vilket innebär att du inte har någon möjlighet att försvara dig. Det enda alternativet är att betala dina böter och därefter överklaga.

Så, efter att ha hostat upp 10 eller kanske till och med 20 miljoner Euro, som ju de flesta företag brukar ha undanstoppat för just det här ändamålet, kan du överklaga till The European Data Protection Board (EDPB) och även The European Court of Justice (ECJ) vilket är EU’s högsta domstol.

För att spä på det ytterligare så kan ett företags ledning hållas personligen ansvariga för överträdelser vilket innebär att enskilda ansvariga inte kan gömma sig bakom företaget. Jag vet inte hur det är med er men 10 miljoner Euro är inget som jag har tillgång till. Å andra sidan sover jag redan gott om nätterna med vetskapen att mitt bolag är på god väg och kommer att ha ordning på all hantering av personuppgifter långt innan 2018, gör du?

 

 

Framtiden

Bli nu inte allt för orolig över min dystopiska bild av framtiden. Ljuset som du ser i slutet på tunneln är GDPR tåget och ja, det kommer att köra över dig. Frågan är bara hur illa det kommer att gå.

Om du har en stor teknikskuld från åratal av försummelse bör du förbereda dig för en kalldusch. Om du har gjort allt som står i din makt för att förbereda dig kommer du, hur du än gör, att ställas inför stora förändringar som ska tas ställning till och implementeras. En sak är dock säker. Att försumma vårt ansvar för personuppgifter har aldrig varit accepterat men nu har vi en lag som verkligen kommer tvinga databehandlande företag att bry sig.

Med det sagt så finns vi här och kan hjälpa dig att börja ta hanteringen av personuppgifter på allvar. Vi vet hur man säkrar IT-infrastruktur och hur man framtidssäkrar ett företag för GDPR.

 

namnlöst-150508_01-högupplöst

Kim Hindart, CSO på City Network, har en lång bakgrund inom informationssäkerhet och säkerhetsfrågor från bland annat nyhets- och mediabranschen, IBM, Svenska Försvaret och stora telecomföretag. Han är en stor entusiast inom Open Source projekt såsom Symbian, Android och OpenStack. När han inte jobbar med säkerhetsfrågor leker han med databaser och mobiloperativsystem. Enligt Kim är Internetaccess och ost är de två största nödvändigheterna i livet.

”Go SQL you can still survive”.