25. mai 2018 trer det nye EU-direktivet, GDPR, i kraft. Det nye personvernregelverket setter helt nye krav til bedrifters IT-sikkerhet. Det har vært stort fokus på alle de negative konsekvensene som kan ramme dem som ikke følger lovverket. Det det derimot har vært overraskende lite fokus på, er den positive effekten GDPR har for dem som følger regelverket.

I følge Helge Kvamme i Advokatfirmaet Selmer, er GDPR en nødvendighet. – Det lages ikke regler bare for å «plage» bedriftene, det er en kritisk tid for denne risikoen. Bedriftene må se på GDPR som en mulighet, eller det nødvendige ”lille sparket bak”. De som ikke griper muligheten nå, kan få det tøft med å ta igjen det tapte, sier han.

Ansvaret ligger hos ledelsen

Helge Kvamme er partner hos Selmer, og en av Norges mest erfarne eksperter på anti-korrupsjon, gransking og compliance. Selmer har merket stor pågang fra bedrifter når det gjelder rådgivning rundt det nye direktivet. – Mange ser at tiden mot mai går fort, og at det er mye som må på plass innen den tid. Ansvaret ligger hos toppledelsen og styret, det er her engasjementet og forventningene må skapes, forteller han.

Selv om ansvaret ligger på toppen, er bedriften helt avhengig av et samarbeid mellom flere kompetansefelt for å håndtere de nye kravene. – Dette er ikke et arbeid som kun kan gjøres av IT-eksperten, her må eksperter innen flere kompetansefelt jobbe sammen. Det er mange brikker i et større puslespill, sier Kvamme. Disse kompetanseområdene bør dekkes:

Trusselbildet

Det aller første du må gjøre, er å hente inn ekspertise på dette området. Har du ikke kompetansen selv, må du sørge for at noen gir deg innsikten. Blant mange nyttige kilder er Kripos og Norsk Sikkerhetsmyndighet (NSM). En sikkerhetsanalyse av ditt nettverk (klikkbar inntil artikkel om analysen) vil gi deg komplett oversikt over konkrete trusler mot din bedrift.

Juridiske krav

En god juridisk forståelse er avgjørende for å klare å møte kravene. Jurister kan hjelpe til med rådgivning, risikoanalyser, utarbeidelse av rutiner og policy, kontrakter og arbeidsforhold. Kontrakter og avtaler med leverandører og samarbeidspartnere som sikrer personvernet i alle ledd, er en viktig del av den juridiske prosessen.

Implementering av systemer, rutiner og andre tiltak  

Hvilke tiltak bør gjennomføres for å sikre bedriften? Her må alle risikofaktorer på bordet, og tiltak utarbeides. Implementering av datasikkerhetsløsninger er det viktigste verktøyet for å hindre dataangrep. Her må du få rådgivning fra konsulenter eller leverandører innen sikkerhetstjenester.

Kommunikasjon og opplæring av ansatte

Kommunikasjon ut i organisasjonen og opplæring av alle ansatte, er helt avgjørende for å ivareta sikkerheten. Informer de ansatte om hva som er gjort, og hva som kreves videre. Omkring 35 % av alle sikkerhetsbrudd skyldes feil begått av ansatte, spesielt knyttet til epost og nettbank. Uansett hvor gode systemer du har, vil du ikke klare å hindre falske epost fra svindlere som utgir seg for å være for eksempel fra Skatteetaten, Posten, Netflix, osv. Her må de ansatte drilles.

Overvåkning, internkontroller og rapporteringer

All erfaring tilsier at det tar rundt 2-3 år å implementere nye systemer og få dette til å virke i store organisasjoner. Dette gjelder også sikkerhetsarbeidet. Det betyr at det er viktig å sikre rutiner som ivaretar sikkerheten jevnlig, for dette er helt nødvendig for å møte GDPR-kravet. Tiltakene du gjennomførte våren 2018, er ikke nødvendigvis tilstrekkelig høsten 2018. IT-utviklingen går i en enorm fart, og det er din plikt å henge med i svingene – hele tiden.

Kriminalitet i ny innpakning

Kvamme har lang erfaring innen ulike former for kriminalitet, som for eksempel hvitvasking og korrupsjon. – Kriminalitet kommer i stadig nye former. For 15 års siden var det ikke særlig fokus på hvitvasking av penger, men når vi begynte å se konsekvensene av denne form for kriminalitet, ble det etablert et regelverk med omfattende krav. Slik er det også med datasikkerheten. Dette er en modningsprosess og det tar tid å bygge en forståelse for at det er et problem, forklarer Kvamme. – Men kanskje om ti år, er dette det eneste fokuset vi har. Fordi datasikkerheten innbefatter etter hvert nesten alle andre kriminalitetsformer.

Hvitvasking, korrupsjon, økonomisk kriminalitet eller nettsvindel, hovedmotivet er alltid det samme, å tjene penger – direkte eller indirekte. Enten stjeles det penger, eller så stjeles opplysninger man kan tjene penger på. – Dataangrep er i stor grad kriminalitet i ny innpakning, sier Kvamme.

GDPR – en mulighet og et tiltak i seg selv

Det har vært mye mediefokus på GDPR, og spesielt på alle de negative konsekvensene som kan oppstå som følge av et regelbrudd. At GDPR er en unik mulighet for bedriftene til å komme ajour med sikkerhetsarbeidet, har det derimot vært mindre fokus på. Å etablere rutiner som sikrer bedriftens sikkerhet i fremtiden, og som sørger for at bedriften henger med i den teknologiske utviklingen, er avgjørende for bedriftenes eksistens. Vi vil nok i fremtiden se at kunder vil bli mer opptatt av datasikkerhet, og derfor velger å handle med bedrifter som tydelig viser at de tar personvern og datasikkerhet på alvor. Dersom bedriftene evner å bruke GDPR som en mulighet, vil dette arbeidet i seg selv være et av de viktigste tiltakene i datasikkerhetsarbeidet. Samtidig som dette vil gi gode muligheter for kundevekst.

Du kan velge å ta datasikkerheten på alvor. Eller du kan velge å la være. Alle bedrifter vil bli rammet av dataangrep i en eller annen form. Selv om GDPR først og fremst er en lovgivning som skal sikre personvernet, er regelverket også en beskyttelse for bedriftene, forklarer Kvamme. – Det er et motiv bak all lovgivning, og nå er tiden inne for å skjerpe IT-sikkerheten. Bedriftene som ikke tar dette seriøst, risikerer å bli straffet for det. Ikke bare i form av kostnader og bøter, men også tap av omdømme. Disse bedriftene har sannsynligvis tapt, avslutter Kvamme.