Intertek (www.intertek.com)

Prenumerera du också!

Vill du också få Intertek INFO direkt i din epostlåda?

Klicka här 

Kostnadsfritt webinar om nya dataskyddslagen – så påverkas er verksamhet

Den 25 maj 2018 ersätts den svenska personuppgiftslagen (PUL) av EU:s dataskyddsförordning GDPR. Lagen får stor påverkan på informationssäkerhet, IT-system, roller, processer och rutiner. Om den nya lagen inte efterlevs får man betala upp till 4 % av omsättningen. Lär dig mer om nyheterna och hur ni förbereder er.

Ta del av vårt webinarium här.

 

 

GDPR sätter fingret på informationssäkerheten och transparensen.

25 maj i år ersätter EU:s General Data Protection Regulation (GDPR) vår svenska personuppgiftslag (PUL). Detta påverkar IoT-branschen i allra högsta grad, säger Per Sundqvist, program manager för informationssäkerhet på Intertek.

Sex av tio uppkopplade produkter kan inte visa användarna hur den data som samlas in används. Detta enligt en undersökning från september 2016 initierad Global Privacy Enforcement Network. Av de 300 IoT-produkter som undersöktes, bland annat smarta elmätare, uppkopplade termostater och klockor som mäter och lagrar användarens hälsodata, fanns för 68 procent av dem heller ingen information om hur insamlad data lagrades. För 72 procent fanns ingen information om hur användarna ska gå tillväga för att radera data. 

– Just att ge användarna makten över sina egna personuppgifter är kärnan i EU:s nya dataförordning, GDPR, som träder i kraft den 25 maj i år, säger Per Sundqvist. I detta ingår till exempel krav på aktivt samtycke, rätten att få uppgifterna raderade och rätten att få veta hur uppgifterna bearbetas.   

Möjligheten att samla in och lagra stora mängder data för att sedan använda den som underlag för automatiserade beslut och grund för utveckling av nya tjänster är grundbulten i det vi kallar Internet of Things. 

– Det här betyder att i stort sett alla som tillverkar och säljer en IoT-lösning, behöver förhålla sig till GDPR och se till att de arbetar på ett sådant sätt att de följer lagen, säger Per Sundqvist.

Gör man inte det kan konsekvenserna bli stora. De företag som inte följer GDPR riskerar nämligen sanktioner, som i värsta fall kan innebära viten upp till 4 procent av moderbolagets globala omsättning eller 20 miljoner euro.  

Bred definition av personuppgift

Men är då den data som samlas in av till exempel en robotgräsklippare verkligen personuppgifter? Det är en tolkningsfråga, men GDPR:s definition av vad som är en personuppgift är bred. Med personuppgift avses all information som går att koppla till en individ. Det kan vara uppenbara saker som exempelvis ett namn, en adress eller en e-postadress, men det kan också vara information som i kombination med andra uppgifter gör det möjligt att identifiera en person, till exempel platsinformation, bankuppgifter, ett foto, en uppdatering i sociala medier, medicinsk information eller en dators IP-adress. 

Vid första anblicken kan den data som samlas in av en IoT-produkt, till exempel en dammsugare eller en TV-apparat, tyckas vara relaterade till produkten snarare än dess användare, men tittar man lite närmare är det tydligt att så inte är fallet. Tillsammans med användarens IP-adress eller WiFi-uppgifter blir till exempel den karta över användarens hem som robotdammsugaren skapar sig eller de uppmaningar talstyrda smarta-hem-system som Amazons Alexa samlar in, med största säkerhet personuppgifter och ska därmed hanteras under GDPR. 

Skydda känsliga data

Förutom transparens och samtycke är en viktig del av GDPR att känslig data skyddas på ett adekvat sätt. Under GDPR blir det obligatoriskt anmäla en säkerhetsincident, till exempel ett dataintrång eller en oavsiktlig förlust av uppgifter, till Integritetsskyddsmyndigheten (tidigare Datainspektionen) inom 72 timmar. Man kan också behöva informera de personer vars uppgifter kan ha komprometterats. Detta är speciellt relevant för IoT-världen eftersom IoT-produkter ofta anses som lätta måltavlor för hackare och därmed särskilt utsatta för säkerhetsincidenter.

I GDPR ställs ett uttryckligt krav på ”privacy by design”, eller ”inbyggt dataskydd”. Detta betyder att man redan när man upphandlar en ny it-lösning, eller förändrar en befintlig, ska ta hänsyn till integritetsskyddet och se till att man bygger in funktioner som stödjer det. Och detta gäller hela lösningen – produkt, uppkoppling, lagring och databehandling. 

Samordnat och strukturerat arbete

I juni i år genomförde it-bolaget Compuware en undersökning bland 400 it-chefer i Europa och USA för att ta reda på hur det låg till med beredskapen inför GDPR. Resultatet var att endast 38 procent av de tillfrågade vid den tidpunkten hade en detaljerad plan för hur de skulle leva upp till kraven.

– Detta är oroande, säger Per Sundqvist. Enligt GDPR måste en organisation vid en granskning kunna demonstrera att de vidtagit alla nödvändiga åtgärder för att efterleva lagen. De måste till exempel veta exakt vem/vilka som har haft behörighet till vilken data och dessutom kunna berätta vem som har gett behörigheten och vid vilket tillfälle det skett. För att kunna göra det krävs ett systematiskt och strukturerat arbete med de här frågorna. 

När det gäller systematik och struktur är ISO-standarder oslagbara. Standarden för informationssäkerhet, ISO 27001, ger företag och organisationer ett systematiskt angreppssätt för att hålla koll på information, risker och skyddsåtgärder. Dessutom ger den en rad handfasta exempel och förslag på konkreta åtgärder baserade på best practices. 

– Med en certifiering enligt ISO 27001 följer dessutom regelbundna revisioner som tar tempen på hur arbetet fungerar, pekar ut förbättringsområden och följer upp, vilket driver på organisationens säkerhetsarbete och ser till att det lever vidare och utvecklas säger Per Sundqvist.

Vad händer egentligen den 25 maj?

En EU-förordning blir lag i alla EU:s medlemsländer i samma stund som den träder i kraft. I praktiken betyder dock detta att inga juridiska tolkningar och praxis är på plats utan att det fortfarande finns gråzoner kvar den 25 maj.

– Med start 25 maj 2018 kommer vi successivt att se ett antal rättsfall i Europa för att få fram prejudikat för hur förordningen ska tillämpas och då troligtvis med fokus på konsumentmarknaden till att börja med, säger Per Sundqvist. 

cerello-line

GDPR – har din organisation koll på det här?  

GDPR-gif

cerello-line
 
Mer om GDPR

Vill du lära dig mer om GDPR och hur du kan använda ISO 27001 för att få tydliga och effektiva processer på plats? Ladda ned vårt webinar där Per Sundqvist, program manager för informationssäkerhet och Peter Olausson, lead auditor, ISO 27001, delar med sig av sin kunskap.