Vanderbilt om GDPR

År 2015 lanserade EU den nya dataskyddsförordningen GDPR "Generel Data Privacy Regulation" som träder i kraft den 25 maj 2018 och varje företag som är verksamt i ett eller flera av de 28 EU-länderna måste följa denna förordning. GDPR sådan kommer detta att ha stor inverkan på hur företag hanterar personuppgifter.

Vanderbilt är verksamt i majoriteten av dessa 28 länder och behandlar all data hos privata och offentliga molnleverantörer i EU och USA. Därför är GDPR-överensstämmelsen väldigt viktig för oss.
Sedan början av 2017 har Vanderbilt initierat flera aktiviteter för att följa denna nya förordning och anpassning av verksamheten. Eftersom EU-förordningen långt är enligt den gamla tyska databeskyttningsförordningen utvidgade vi våra redan befintliga skyddsprocesser i Tyskland och började rulla ut dem till våra kontor i övriga europeiska länder.

Vi tilldelade uppgifter och tillsatte dataskyddspersonal den 1 juli 2017. Fram till maj 2018 är deras huvuduppgift att utveckla och genomföra ett dataskyddskoncept för Vanderbilt. Detta inkluderar att ta fram generella avtal med alla våra externa leverantörer för att ålägga dem att lagra relevanta uppgifter och säkerställa att de arbetar enligt och följer GDPR. En del av vårt avtal med leverantörer är att få en komplett förteckning över länder som kan lagra våra data. För det mesta använder vi vårt GDPR-kompatibla avtal för den beställda databehandlingen. Om en leverantör föreslår ett eget avtal kontrollerar vi noggrant innehållet för att säkerställa att alla GDPR-krav återspeglas.

Ett särskilt fokusområde är Software-as-a-Service-produkter (SaaS) som Vanderbilts ACT365 och SPC Connect. Dessa lösningar måste överensstämma med den nya förordningen. När vi hanterar och lagrar personuppgifter från våra kunder betonar vi säkerhet och kryptering av bearbetade data, lagringstid för data och utformning av integritet och dataskydd.

Den faktiska GDPR kommer inte att vara den slutgiltiga versionen eftersom det finns ytterligare behov som ännu inte behandlats. Exempelvis är den nya skyldigheten att informera myndigheterna om datasekretess eller säkerhetsöverträdelser på rätt väg, men alla delar kring incidentrapportering är inte klargjorda. Företagen i Europa har fortfarande diverse olika tolkningar av vad som är en allvarlig eller ofarlig incident.

För att sammanfatta är vi på rätt spår men har fortfarande mer att göra. Lyckligtvis kunde dock inte Wannacry påverka oss. Vanderbilt och våra leverantörer utsattes inte för någon överträdelse av vår dataanvändning vid den senaste breda cyberattacken.

Av Peter P. Mueller CIO - Vanderbilt Industries