ComputerViews: For første gang i mange år er den europæiske data-beskyttelses-lov ved at blive opdateret, og det er noget, der vil få konsekvenser for stort set alle danskere og danske virksomheder.
De kommende EU-regler betyder nemlig, at organisationer og virksomheder risikerer markante straffe og sanktioner, hvis de ikke lever op til reglerne.
Reglerne vil til gengæld i langt højere grad end tidligere kræve, at virksomhederne kan dokumentere, at deres personhenførbare data - altså oplysninger, der kan anvendes til at identificere enkelt-personer - ikke misbruges, ligesom de skal leve op til en række skærpede krav om behandling af persondata.
Ideen er, at virksomheder og organisationer skal tvinges til at få totalt overblik og kontrol over data-flowet gennem virksomheden i hele den såkaldte 'data life cycle' - en ting, som mange virksomheder i dag i meget stor udstrækning forsømmer, fordi sikkerhed omkring person-data ikke bliver regnet for at være decideret forretnings-kritiske.
For EU gælder det, at den teknologiske udvikling buldrer afsted med så høj fart, at de nuværende regler for beskyttelse af borgernes eller virksomhedernes private data er faldet helt bag af dansen.
Den nuværende forordning på området stammer således helt tilbage fra 1995 og er for længst blevet overhalet af den teknologiske udvikling med sociale medier, cloud computing og lignende, hvor data forbindes på kryds og tværs og bliver vigtigere og vigtigere, mens hacker-industrien på den anden side modnes og professionaliseres.
Samtidig sigter EU efter med de nye regler at få formuleret et samlet regelsæt for databeskyttelse på tværs af hele Europa, hvor der i dag gælder vidt forskellige regler i de forskellige lande.
Ligeledes vil EU med de nye regler indføre en slags 'one-stop'-funktion, hvor organisationer og borgere skal kunne nøjes med at henvende sig ét sted fremfor hos en lang række instanser, hvis uheldet skulle være ude.
Strafferammen skærpes
Med de nye regler skærpes strafferammen for brud på reglerne ganske markant.
EU varsler nemlig bøder på op til to procent af den globale omsætning for brud på datasikkerheden eller maksimalt en million euro for de alvorligste brud.
Til sammenligning er Datatilsynets hidtil højeste bøde på 25.000 kroner.
Samtidig - og det er måske reelt det værste for virksomhederne - indfører EU skrappe regler, når det gælder pligten til at informere om brud.
Virksomheder skal nemlig selv inden for en kort tidsramme efter opdagelsen af et brud på datasikkerheden, selv informere samtlige ramte organisationer og personer om, hvad der er sket.
Datatilsynet skal orienteres inden for 24 timer, mens alle involverede skal informeres 'hurtigst muligt.'
Tab af omdømme er det værste
Det er en ganske alvorlig sanktion for virksomhederne, for for mange virksomheder hører netop tab af troværdighed og omdømme nemlig til blandt de værste konsekvenser ved brud på it-sikkerheden.
Det teknologiske og det produkt-mæssige samt eksempelvis en (lille) bøde fra Datatilsynet kan nemlig oftest relativt hurtigt ordnes efter et eventuelt hacker-angreb eller brud på datasikkerheden, mens tab af troværdighed overfor kunder, leverandører, partnere og lignende kan få langvarig negativ effekt for forretningen.
Havde denne regel været gældende ved eksempelvis opdagelsen af det omstridte hacker-indbrud i CPR-registreret ville det altså have betydet, at CSC 'hurtigst muligt' efter opdagelsen ville skulle have informeret samtlige berørte danskere - altså flere millioner - om den mulige kompromitering af deres CPR-nummer.
Der vil komme flere sager
Der vil utvivlsom følge flere sager af denne karakter, som vi i dag slet intet hører om.
For i det skiftende it-sikkerhedslandskab regnes det i dag for en grundlæggende tendens, at ingen virksomheder er i stand til at holde alle hackere og al malware ude.
Det kan du læse mere om her: Hackerne kommer - og du kan (næsten) intet gøre
Her handler det i stedet om at være dygtig til at beskytte sig rigtigt og mod den rigtige malware.
De skrappe regler har her netop til hensigt at forandre virksomhedernes syn på it-sikkerhed:
It-cheferne skal tvinges til at have totalt styr på al data i virksomheden og på dens vej gennem virksomheden, hvor vi ved, at det langt fra er alle virksomheder, der i dag er klar over, hvorvidt der er blevet stjålet data fra virksomhederne, ligesom de i givet fald ikke ved, hvilke data, der er blevet stjålet.
Det gjaldt også CSC, der først langt tid efter det store CPR-hack opdagede, at der havde været ubudne gæster på besøg.
Det kan du læse mere om her: Det store CPR-hack - så alvorligt er det.
Især de større firmaer er i dag allerede begyndt at rumle med ideen om at hyre data-sikkerheds-chefer (DPO eller 'data protection officers'), og EU arbejder med en plan om at tvinge alle virksomheder til at udnævne en databeskyttelses-ansvarlig.
De ansvarlige skal tage vare på virksomhedens datasikkerhed, der jo inden længe vil kunne komme til at koste dyrt.
Det kan du læse mere om her: Tvang: Skal dit firma ansætte en databeskyttelses-chef eller smutter du under søgelyset?
DPO'ens (eller hvad vi nu skal kalde ham) opgave ligger lige for, og virksomheder kan sådan set sagtens gå i gang med at forberede sig på det kommende EU-regelsæt, hvor der for tiden arbejdes med en indkøringsfase på to år efter, at det formelt vedtages.
Nogle relevante opgaver i forberedelsen frem mod direktivets indførelse:
Få overblik over data - og rens ud?
Hvornår har du sidst gennemført en data-audit, hvor du har fået klarlagt nøjagtigt, hvor virksomhedens data er gemt samt hvor meget, der er anvendeligt og hvor meget, der er junk?
Vi har tidligere skrevet om den såkaldte 'skygge-it,' der får lov til at blomstre, hvis CIO'en mister grebet om it-styringen i virksomheden.
Det kan du læse mere om her: Den frygtede skygge-it: Når it kommer ud af kontrol.
En oprydning og gennemgang af al data vil gøre det langt nemmere at skabe overblik, når først EU-regelsættet træder i kraft, og hammeren vil begynde falde, hvis der er datalæk eller lignende - også selv om it-afdelingen ikke havde nogen anelse om, hvad der skete.
Få styr på ejerskab
Hvem har ansvaret for de forskellige data i virksomheden?
I mange virksomheder sejler det ofte (ligesom data sejler rundt), men med de varslede EU-bøder i gigantstørrelse er det vigtigt, at der kommer ansvarlige ejermænd - en DPO, et eksternt firma, en CIO, en it-chef - på de forskellige data, som sørger for, at data-håndteringen lever op til de nye regler.
Det kan der være mange fordele i, og selv om data-beskyttelses-regelsættet sikkert først kommer til at træde rigtigt i kraft om et par år, kan det være en god ide allerede nu at begynde at tænke i disse baner, så virksomheden er forberedt og veltrimmet - ikke bare for EU's skyld, men også for egen skyld.
En veltrimmet virksomhed med styr på compliance fungerer altså bare bedre end det modsatte.
Forbered dig på det værst tænkelige
Hvad vil virksomheden gøre, hvis der pludselig kommer et brud på datasikkerheden for dagen?
Med i EU-reglerne er kravet om, at virksomheden inden for 72 timer informerer alle berørte om et brud på datasikkerheden. Det kan være en stor opgave, som kræver, at man har styr på sine processer og handlemåder, inden uheldet er ude.
Hvem skal sende hvad ud? Hvem har ansvaret for udsendelsen? Hvem gør hvad hvornår?
Det kan være en fordel allerede i dag at begynde at kigge på disse processer, som også i dag kan vise sig nyttige.
Få styr på data
Grundlæggende handler det for virksomhederne om at:
- Kende virksomhedens data.
- Kende data-flowet gennem virksomheden.
- Fastslå ejerskab over data.
- Formulere en beredskabsplan.
- Udvikle nye processer, der understøtter gennemsigtigheden i data-flowet.
EU sigter efter at vedtage det nye regelsæt i løbet af 2015, men det kan meget vel være, at beslutningen vil trække ud.
Efter beslutningen vil der komme en indkøringsfase på to år, inden hammeren for alvor vil falde, så det kommende direktiv indføres i 2017 eller 2018.
Analysehuset IDC forventer, at EU i første omgang vil udvælge forskellige prøvesager blandt større virksomheder, som skal statuere over for andre virksomheder, at EU mener databeskyttelsen alvorligt.
Har din virksomhed styr på alle person-data? Giver EU-forordningen mening? Hvad er den største udfordring?
Giv dit besyv med i debatfeltet herunder.
Læs også:
Glem alt om privacy - de andre kommer til at vide alt om dig
Logning: Løbet er kørt forlængst - 'de' ved allerede alt om dig
Vil du undgå at blive overvåget? Så er der kun én vej frem
Otte vigtige software-tendenser for din virksomhed: Her er otte trends for enterprise software.