Riskhantering bortom GDPR

2018-05-18
Så närmar vi oss det magiska datumet den 25 maj, dagen då GDPR börjar gälla för organisationer runt om i Europa. Vi är många som ställer oss frågan hur detta nya regelverk kommer att påverka oss och de organisationer vi verkar yrkesmässigt i.
 
Vi på BiTA arbetar mycket med informationssäkerhetsfrågor och därför har vi helt naturligt haft GDPR i fokus en längre tid. Det vi dock kan konstatera är att trots att GDPR varit känt länge och många organisationer nu arbetar för fullt med anpassningen till direktivet finns det fortfarande många organisationer som inte ens påbörjat arbetet.
 
Hur ska man då tänka om man får ansvaret för detta arbete i en organisation som ”vaknat sent” och nu står med ryggen obekvämt pressad in i GDPR-hörnet?
 
Ett bra och effektivt sätt att skaffa sig en strukturerad överblick, och därigenom i nästa steg ett kvalificerat underlag för en prioriterad handlingsplan, är att använda riskanalys som verktyg. Förslagsvis inleder organisationen det arbetet genom att med stöd av en erfaren workshopledare ta fram en egen anpassad metodik för riskanalys, där enkelhet och effektivitet skall utgöra ledstjärnor. Fokus på effektiva och enkla metoder är självklart, särskilt då tiden är en kritisk faktor. Det har visat sig oklokt att uppfinna hjulet själva utan anpassa istället etablerade modeller till era förutsättningar. Tillse också att metodiken kommuniceras och förankras i organisationen, glöm för guds skull inte ledningen som är viktig en framgångsfaktor!
 
När det sedan är dags för själva riskanalysen har vi historiskt sett att en framgångsfaktor är att denna hålls avgränsad till GDPR-området. Avgränsning kan tyckas självklar men det är lätt att glida iväg och plötsligt är scopet större än vad som egentligen krävs och därmed riskerar vi att identifiera aktiviteter som inte är nödvändiga.  Risken att uppgiften blir övermäktig är stor om ni väger in allt för många nivåer och aspekter.
 
Sammanställ därefter, utifrån resultatet, en prioriterad handlingsplan för vilka åtgärder som ska genomföras och hur snart dessa kan initieras. Se till att kvalitetssäkra planen, detta innebär förutom att identifiera själva riskerna att dessa också analyseras ordentligt och vägs in i ett helhetstänkande. Det är såväl riskvärdena (konsekvens x sannolikhet) som övriga omvärldsfaktorer som ska leda fram till er prioritering.
 
Slutligen rekommenderas ni att förankra planen i organisationen och tillsätta ett projekt för implementation. På det sättet säkrar ni såväl resurser som säkerställer förankring i organisationen.
 
Välj att se på GDPR som en unik möjlighet att kraftsamla för att bringa ordning i er informationshantering. Grundsyftet är att säkerställa hantering av personuppgifter med utgångspunkt i den enskildes intresse och rätt till sina personuppgifter men vi som organisation kan förutom det syftet också se egna nyttor. Äntligen kan vi få det incitament vi kanske saknat tidigare för att skapa såväl ordning som kvalitet på våra informationstillgångar.
 
Vill du få tillfälle att lyssna mer på oss på BiTA och vår syn på riskhantering bortom GDPR samt få tillfälle att diskutera med andra i samma situation? Då är du välkommen till vår kunskapsfrukost den 29 maj. Läs mer eller anmäl dig här!
 
Mats Voxlin
Erfaren managementkonsult och informationssäkerhetsexpert på BiTA
mats.voxlin@bita.eu
 
 
 
 
 
 
 
 

Kommentera inlägget

(endast BiTA kan se din epostadress)
Här sker en kontroll av att det är en människa som skickar uppgifterna.

Tidigare blogginlägg

ITIL® is a registered trademark of AXELOS Limited, used under permission of AXELOS Limited. All rights reserved.