Möller Insights – ”Dataskyddslagen ska inte vara avskräckande”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om det positiva med Dataskyddslagen

Dataskyddslagen ska inte vara avskräckande
EU:s nya dataskyddslag har sedan det första utkastet presenterades väckt starka känslor, både positiva och negativa. Det här är något som fortsätter och senast idag så läser jag en artikel på Computer Sweden om att den nya lagen kan ställa till problem för företag. Lagen i sig är inte ännu helt fastställd men vissa delar råder det så stark konsensus kring att de garanterat blir en del av Dataskyddslagen. Agnes Andersson Hammarstrand som arbetar på Setterwalls varnar företag som inte påbörjat en omstrukturering av deras IT-verksamhet då de, om de bryter mot hur länge t.ex. kunduppgifter får sparas, kan bötfällas för detta.

Jag förstår och respekterar Agnes ståndpunkt i frågan men bekymret som jag ser är snarare att verksamheter, i alla fall enligt Agnes, har så pass dålig kunskap om vilken data de idag lagrar. Utan en förståelse för vilken information som bolaget samlar in, vart den lagras och under hur lång tid, så finns det helt andra utmaningar. En klassisk sägning inom säkerhetsbranschen är att du inte kan hålla resurser och data säker som du inte vet existerar. Så om en verksamhet har en så pass bristfällig kunskap om vad som lagras och hur länge, så finns utmaningar med att lyckas certifiera verksamheten mot såväl ISO som PCI vilket redan idag bör vara en utmaning.

Företag har enligt andra lagar krav på sig att lagra viss data en viss tid, det kan till exempel handla om finansiella transaktioner som måste finnas tillgängliga. Förutsatt att en verksamhet skapar sig någorlunda koll på vilken data de lagrar och vart så är det enkelt att sätta regler och policys till den informationen. Det kan vara att den ska förflyttas från en filserver till en backup för långtidslagring, eller att den ska tas bort efter ett år om lagen säger det.

Jag tycker vi allt som oftast hamnar i situationer där det knorras mycket om de här lagarna. Det är viktigt att förstå att det handlar om era kunders säkerhet och deras förtroende i er verksamhet. När ett företag får rätten att lagra information om mig som privatperson så är det deras ansvar att den här informationen inte kommer i fel händer. Vi har sett en mängd allvarliga och utbredda intrång i USA där den här typen av läckor inte bara drabbat privatpersoner utan även verksamheter och banker.

Vad jag menar är att de som idag har ordning på sin infrastruktur kommer egentligen bara behöva brottas med att sätta upp nya policys i sina system samt att tolka den lite gråa lagtexten. De som däremot inte har någon ordning och reda kommer att få viss huvudvärk av de nya lagarna, men en dåligt hanterad infrastruktur kan ju inte vara något vi ska eftersträva. De nya lagarna kommer att öka den övergripande säkerheten, värna om den personliga integriteten och även harmonisera lagstiftningen inom EU för att förenkla för verksamheter som agerar på flera marknader.

Slutligen så skulle jag vilja tacka för mig, efter mer än två år av bloggande så är det dags för mig att gå vidare. Jag kommer garanterat att börja blogga snart igen då jag tycker att det är riktigt roligt, men för tillfället så får jag tacka för min tid i just det här forumet. Jag vill tacka alla er, mina läsare för att ni läser och att ni ger så varma kommentarer när vi träffas.

Det är slutet för nu, men inte för alltid – det kan jag lova!

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter:@MollerFredrik