Så närmar vi oss det magiska datumet den 25 maj, dagen då
GDPR börjar gälla för organisationer runt om i Europa. Vi är många som ställer
oss frågan hur detta nya regelverk kommer att påverka oss och de organisationer
vi verkar yrkesmässigt i.
Vi på BiTA arbetar mycket med informationssäkerhetsfrågor
och därför har vi helt naturligt haft GDPR i fokus en längre tid. Det vi dock kan
konstatera är att trots att GDPR varit känt länge och många organisationer nu
arbetar för fullt med anpassningen till direktivet finns det fortfarande många
organisationer som inte ens påbörjat arbetet.
Hur ska man då tänka om man får ansvaret för detta arbete i
en organisation som ”vaknat sent” och nu står med ryggen obekvämt pressad in i
GDPR-hörnet?
Ett bra och effektivt sätt att skaffa sig en strukturerad överblick,
och därigenom i nästa steg ett kvalificerat underlag för en prioriterad handlingsplan,
är att använda riskanalys som verktyg. Förslagsvis inleder organisationen det arbetet
genom att med stöd av en erfaren workshopledare ta fram en egen anpassad metodik
för riskanalys, där enkelhet och effektivitet skall utgöra ledstjärnor. Fokus
på effektiva och enkla metoder är självklart, särskilt då tiden är en kritisk
faktor. Det har visat sig oklokt att uppfinna hjulet själva utan anpassa
istället etablerade modeller till era förutsättningar. Tillse också att
metodiken kommuniceras och förankras i organisationen, glöm för guds skull inte
ledningen som är viktig en framgångsfaktor!
När det sedan är dags för själva riskanalysen har vi
historiskt sett att en framgångsfaktor är att denna hålls avgränsad till
GDPR-området. Avgränsning kan tyckas självklar men det är lätt att glida iväg
och plötsligt är scopet större än vad som egentligen krävs och därmed riskerar
vi att identifiera aktiviteter som inte är nödvändiga. Risken att uppgiften blir övermäktig är stor
om ni väger in allt för många nivåer och aspekter.
Sammanställ därefter, utifrån resultatet, en prioriterad handlingsplan
för vilka åtgärder som ska genomföras och hur snart dessa kan initieras. Se
till att kvalitetssäkra planen, detta innebär förutom att identifiera själva riskerna
att dessa också analyseras ordentligt och vägs in i ett helhetstänkande. Det är
såväl riskvärdena (konsekvens x sannolikhet) som övriga omvärldsfaktorer som ska
leda fram till er prioritering.
Slutligen rekommenderas ni att förankra planen i
organisationen och tillsätta ett projekt för implementation. På det sättet
säkrar ni såväl resurser som säkerställer förankring i organisationen.
Välj att se på GDPR som en unik möjlighet att kraftsamla för
att bringa ordning i er informationshantering. Grundsyftet är att säkerställa
hantering av personuppgifter med utgångspunkt i den enskildes intresse och rätt
till sina personuppgifter men vi som organisation kan förutom det syftet också
se egna nyttor. Äntligen kan vi få det incitament vi kanske saknat tidigare för
att skapa såväl ordning som kvalitet på våra informationstillgångar.
Vill du få tillfälle att lyssna mer på oss på BiTA och
vår syn på riskhantering bortom GDPR samt få tillfälle att diskutera med andra
i samma situation? Då är du välkommen till vår kunskapsfrukost den 29 maj. Läs
mer eller anmäl dig här!
Mats Voxlin
Erfaren managementkonsult och informationssäkerhetsexpert på BiTA
mats.voxlin@bita.eu