20-02-2017

Som en följd av den tilltagande digitaliseringen ökar företagens tillgång till personuppgifter drastiskt. Personuppgifterna underlättar för företagen att förstå vad deras användare verkligen vill ha. Men med utvecklingen följer också risken att informationen kommer på villovägar och i värsta fall missbrukas. Detta är en risk som både företag och myndigheter bör ta på stort allvar.

Nytt personuppgiftsdirektiv ger likvärdiga villkor

EU inför under våren 2018 ett nytt direktiv för att möta de utmaningar som finns inom framtidens datasäkerhet. Senast ett nytt personuppgiftsdirektiv presenterades var 1995. Då fanns inte Facebook, Amazon eller hitta.se. Det är alltså hög tid att få ett nytt regelverk på plats som tar hänsyn till utvecklingen i samhället. Direktivet som kallas EU General Data Protection Regulation (GDPR) har bland annat som syfte att reglera möjligheterna för företag att lagra personuppgifter. I praktiken innebära det att enbart uppgifter som är absolut nödvändiga får lagras av företag. Detta förstärker allmänhetens rättigheter, och välkomnas också av företagen. Företagen kommer också behöva rättfärdiga varför de sparar den information som de sparar och behöver även upprätta en egen personuppgiftsombudsman.

Direktivet omfattar även icke-europeiska företag som använder uppgifter från personer bosatta i Europa. Det innebär att vi får en mer samstämmig reglering inom EU och EES, och att europeiska företag konkurrerar på samma villkor som amerikanska jättar som Facebook, Apple och Amazon. Samtidigt minskar det kostnaderna för företag med verksamhet i flera länder. Direktivet är ett efterlängtat grepp för att minska risken som följer med den nya tekniken och innebär en möjlighet för företag att visa att de tar allmänhetens integritet på allvar.

Ny riskbild

Kontanthanteringen har minskat snabbt och Sverige spås bli ett av de första kontantlösa samhällena i världen. Det är företagen som har ansvar för användarnas säkerhet och är de som behöver arbeta för att förebygga angrepp som till exempel skimning och id-bedrägerier. Samtidigt är det viktigt att myndigheterna ser till att lagarna uppdateras i takt med utvecklingen och behöver därför skapa ett tydligt juridiskt ramverk för företagen att hantera de nya hoten. Utöver de hot som användarna löper, finns det också en risk att företagen själva utsätts för IT-brott. Dessa brott kan drabba så väl privata som offentliga företag i hopp om att komma över verksamhetskritisk information, som till exempel patent, budgetar eller andra ekonomiska uppgifter. I Norge har Nasjonal Sikkerhetsmyndighet (NSM) gett ut en rapport om de vanligaste säkerhetsriskerna och hur de kan förebyggas. Enligt NSM handlar det framförallt om att företagen bör kartlägga sin hotbild och arbeta med säkerhetsfrågor som en integrerad del av verksamhetens strategi.

Större tillgång till personuppgifter

Det är inte bara tillgången till ekonomiska detaljer och viktig företagsinformation som utgör en säkerhetsrisk i ett alltmer digitalt samhälle. Övervakning och missbruk av personuppgifter är också viktigt att ta hänsyn till. Managementkonsultföretaget BCG genomförde under 2013 en undersökning bland europeiska konsumenter där 75 procent av de svarande uppgav att den personliga integriteten är mycket viktig. Det ställer höga krav på företagen att visa att de är att lita på. Förtroende tar lång tid att bygga men kan förloras på ett ögonblick. Företag som vill samla in personuppgifter från sina kunder behöver kunna visa vad de ska använda informationen till, och hur det gagnar konsumenten. De företagen som lyckas bygga förtroende hos kunderna kommer växa mest i det långa loppet.

Stora möjligheter

Digitaliseringen, datainsamling och ett allt mer kontantlöst samhälle innebär stora fördelar för både företag och konsumenter. E-handelns omsättning är högre än den fysiska handeln, och tips baserat på tidigare köp och vad andra personer har köpt är information som är väldigt användbar. Digital post ger en bättre översikt och gör att vardagen blir enklare. Men det finns en baksida som vi behöver ta på allvar. Cyberbrott, skimning och id-bedrägerier är några exempel på IT-brott som ökar. Myndigheterna kan införa krav om strängare rutiner men det slutgiltiga ansvaret ligger på företagen själva. De företag som tar säkerhetshoten på allvar och lyckas bygga förtroende genom att visa att man har bra rutiner för att upptäcka och hantera angrepp – det är de som vinner i slutändan. Myndigheter, företag och allmänhet måste tillsammans hitta lösningar som fungerar för alla.

Sju sätt för företag att förbättra sitt säkerhetsarbete:

  • Gör säkerhetsfrågor till en del av företagets strategi och utvecklingsverktyg.
  • Ta fram en strategi för hur ni förebygger, upptäcker och hanterar personuppgifter och eventuella angrepp.
  • Sätt er in i de nya EU-direktivet och implementera dem i företagets säkerhetsarbete.
  • Ta fram en tydlig strategi för riskbedömning, och ta höjd för företagets operationella risk. Gör strategin till en självklar del i det dagliga arbetet.
  • Gör en business impact-analys för att kartlägga vilka delar som är mest värdefullt i verktyget.
  • Bygg förtroende genom att visa att ni tar den personliga integriteten på allvar.
  • Visa hur ni använder personuppgifterna för att leverera en bättre lösning till kunderna.