Säker Digitalisering: Arbetet med GDPR är inte klart den 25 maj - det är då det börjar på riktigt

Mer eller mindre alla är idag medvetna om att EU:s nya dataskyddsdirektiv GDPR träder i kraft den 25 maj. Den skärpta regleringen kräver att företag gör en omfattande kartläggning över hur personuppgifter hanteras, bearbetas och lagras på företaget. GDPR påverkar alla branscher, och alla företag och organisationer behöver göra samma grundarbete. Något jag märker när jag träffar kunder och partners är att många äntligen är igång med det här arbetet, vilket är mycket positivt.

Vad som däremot oroar mig är att de flesta jag pratar med stirrar sig blinda på 25 maj som en deadline. Att det gäller att vara klar med GDPR-kartläggningen och att nya riktlinjer för hur personuppgifter hanteras implementerats till dess. Men egentligen är 25 maj dagen då GDPR-arbetet börjar på riktigt.

Vi behöver hjälpa varandra att lyfta blicken och fundera på HUR vi jobbar med GDPR när direktivet väl träder i kraft. HUR skyddar vi personuppgifter som vi lagrar och hanterar? HUR säkerställer vi att vi upptäcker och begränsar skadan vid ett cyberintrång? HUR ser våra processer ut för incidentrapportering?

Att de här frågeställningarna är nödvändiga att jobba med blir tydligt när man läser artikel 33 i GDPR. Det räcker inte att konstatera att en incident skett, utan vi måste också redogöra för hur incidenten skett, vem som drabbats, incidentens omfattning och vilka åtgärder som vidtagits, samt i vissa fall även informera de vars data omfattats av intrånget. Det innebär att företag behöver avsätta budget, investera i verktyg och skapa processer för att analysera vad som skett i samband med ett intrång.

Och här ligger många företag långt efter och det är hög tid att börja prioritera det arbetet.

På Cisco har vi arbetat i många år med att bygga trygga tjänster som lever upp till de allra högst ställda kraven på säkerhet och integritet. Till exempel Cisco Stealthwatch hjälper dig få insyn i hela nätverket så att du kan upptäcka avvikelser och hot snabbare, men fram för allt kan du skapa avancerade säkerhetsanalyser för att ta fram underlag på vad som hänt, i vilken omfattning och vilka åtgärder ni kan ta för att begränsa intrångets omfattning.

Förutom en rad verktyg och tjänster för att förhindra och analysera säkerhetshot har vi på Cisco också skapat ett initiativ för att ta ett helhetsgrepp kring arbetet med säkerhet och integritet. Vi kallar det för Cisco Data Protection Program och det omfattar bland annat arbete med policys och riktlinjer, kartläggning av vilken data som hanteras i organisationen och rekommendationer på lämpliga säkerhetsåtgärder och rutiner.

Kort och gott finns det mycket GDPR-arbete kvar att göra även efter 25 maj, men tillsammans är jag övertygad om att vi kan klara det. På vårt Trust Center kan du läsa mer om hur Cisco kan stötta dig och ditt företag i GDPR-arbetet.

Mitt medskick till dig som läser det här blogginlägget är att lyfta blicken och börja planera samt budgetera för GDPR-arbetet även efter 25 maj. Tveka inte att kontakta oss på Cisco Sverige ifall du vill diskutera just era utmaningar och hur vi kan stötta er.

Per Samuelsson, Managing Director Cisco AB