Kurs och utbildning inom General data protection regulation

ÄR DU REDO FÖR GDPR?

25 maj 2018 är datumet då den nya dataskyddsförordningen, GDPR, börjar gälla. Vi på Jetshop började tidigt 2017 med förberedelserna för att kunna ge våra kunder förutsättningarna som krävs i och med den nya lagen.

VI SKAPAR FÖRUTSÄTTNINGAR FÖR GDPR

SEvOlution jobbar med fokus på nulägesanalys för organisationer i Norden för att skapa förutsättningar för de nya direktiven att underlätta för dig som kund att följa den nya Dataskyddsförordningen (GDPR) – enligt principen om Privacy by design. Ni kommer själv kunna välja olika inställningar som ni önskar vad gäller behandlingen av personuppgifter och samtycken.

Vi ligger steget före – för att du ska kunna göra detsamma.

BÖRJA ANPASSNINGARNA NU

Som e-handlare är ni självständigt personuppgiftsansvariga för er behandling av personuppgifter, men vi som leverantör vill givetvis göra vad vi kan för att underlätta för er att följa lagen. Har ni ännu inte påbörjat era förberedelser inför GDPR är det nu hög tid.

ATT TÄNKA PÅ

Först och främst behöver ni se över er verksamhet, vad behöver ni göra för att möta de nya kraven samt översyn av IT-system. Det är viktigt att förstå att det kan krävas anpassning och förändring på något sätt. Läs på och skaffa kunskap. Vi på SEvOlution avgränsar oss till nulägesanalys av alla typer av organisationer i Norden och förmedlar helhetsuppdrag.

Om ni är osäkra och känner att ni behöver hjälp, kan vi ge er rekommendationer på jurister som har fokus på GDPR för e-handlare.

Från PuL till GDPR inom EU

Den 25 maj 2018 kommer Personuppgiftslagen, PuL, att ersättas av EU: s förordning om allmän databeskydd General data protection regulation  (GDPR). Syftet med denna studie var att bestämma de stora skillnaderna mellan PuL och General data protection regulation samtidigt som man tittade på hur organisationer planerar att hantera de förändringar som den nya förordningen kommer att ge. PuL och General data protection regulationpå många sätt liknar men det finns några stora förändringar som kommer att påverka varje person och varje organisation inom EU / EES. Detta kommer att innebära bättre och mer omfattande rättigheter för individen, vilket i sin tur kommer att leda till högre krav på de företag som behandlar personuppgifter.

Omfattning på den nya förordningen GDPR

De nya kraven kommer att leda till omfattande arbete inom flera områden för att anpassa sig till den nya förordningen. De juridiska och administrativa sektionerna måste granska sina nuvarande avtal och avtal och uppdatera dem om det behövs. Det kan också behöva genomföras teknisk lösning för att hantera kraven på ”rätten att glömma”, ”dataöverförbarhet”, ”registrering” och förbättrat skydd av personuppgifter. Enligt reglerings-organen är skyldiga att anmäla tillsynsmyndigheten om eventuella överträdelser avseende personuppgifter. Ändringen av materialets omfattning kommer att leda till att personuppgifter som lagras i en ostrukturerad väg omfattas av General data protection regulation. För att verksamheter ska följa den nya lagstiftningen får den övervakande myndigheten befogenhet att ta ut betydande böter om organisationer bryter mot den nya. Vidare kommer vissa organisationer att behöva utse ”dataskyddspersonal” som övervakar behandlingen av personuppgifter.

Verksamheters storlek & omfattning påverkar krav inom GDPR

Det finns flera faktorer som bestämmer hur mycket arbete som krävs för att uppfylla kraven, till exempel verksamheters storlek och omfattningen av deras nuvarande behandling av personaldata. Attityden till den nya förordningen varierar. De som följer förordningen seriöst har insett att det kommer nya krav på sin verksamhet och har redan börjat anpassa sina organisationer. Det finns andra som anser att de inte kommer att påverkas i samma utsträckning och därför inte är så oroliga. I det stora omfattningen av saker kommer reglering att göra behandlingen av personuppgifter säkrare inom EU / EES-händelsen, även om den kostnadskrävande.

GDPR-stockholm

Omkring 200 miljarder e-postmeddelanden skickas varje dag, men på grund av dess betydelse är e-post kontinuerligt utnyttjat av angripare, men ändå ignoreras de ofta i cybersäkerhetsstrategier

 

Det är inte ovanligt att e-postmeddelanden används för att ordna betalningar eller för att skicka in identifierande handlingar. ”Juridiska tjänster verkar göra 40% av sitt arbete på sin mobiltelefon”

Ur ett hackerperspektiv lämnar många organisationer fortfarande dörren öppen och fönstren upplåst. Underlåtenhet att skydda och hantera data på rätt sätt kan också leda till straffåtgärder för företag som deltar i den digitala ekonomin. Vakna och få kunskapen att bli skyddad.

Genom att lämna in din personliga information, godkänner du att Tech-Target och dess partners kan kontakta dig om relevant innehåll, produkter och specialerbjudanden.

Du godkänner också att din personliga information kan överföras och behandlas i USA, och att du har läst och godkänt användarvillkoren och sekretesspolicy.

Den allmänna databeskrivningsförordningen (GDPR), som kommer att träda i kraft i maj 2018, syftar till att skydda EU: s medborgaruppgifter, och organisationer som vill arbeta inom EU förväntas följa det.

Organisationer måste ”skydda personuppgifter mot oavsiktlig eller olaglig förstörelse eller oavsiktlig förlust och förhindra olagliga former av behandling, särskilt obehörigt utlämnande, spridning eller åtkomst eller ändring av personuppgifter”.

Europeiska kommissionen definierar personuppgifter som ”någon information om en individ, oavsett om det rör sig om hans eller hennes privata, professionella eller offentliga liv. Det kan vara allt från ett namn, en hemadress, ett foto, en e-postadress, bankuppgifter, inlägg på webbplatser för sociala nätverk, medicinsk information eller en dators IP-adress ”.

Flera malwarefamiljer, som Emotet och Trickbot, har nyligen lagt till funktionalitet som gör att de kan sprida sig via e-post. Emotet har till exempel nu möjlighet att stjäla e-postuppgifter från infekterade datorer och använda dessa för att skicka ut e-postmeddelanden för att sprida sig vidare.

De faror som organisationer kan utsätta sig för via osäkrade e-postkonton är ofta mer än bara äventyrade e-postmeddelanden. Information om finansiella konton kan läckas, ransomware och virus kan infektera nätverk, och skador på rykte kan förekomma från att hack publiceras. Denna information kommer att bli obligatorisk enligt general data protection regulation.

Att utveckla en säkerhetspolitik för e-post kan vara relativt enkel och ett naturligt första steg för att få organisationer att anpassa sig till GDPR: s krav. Ett företags säkerhetsprotokoll för e-post är dock bara lika starka som de anställda som använder dem.

Kund kan skapa tre dubbla maskiner, så att när man blir sopad med ett virus blir den borttagen och en annan ges till honom, medan den första är ombyggd. Vi behöver tre, för ibland kan han skräp den andra innan vi har byggt upp den första. ”

Läs mer om e-postsäkerhet och gdpr

Verksamhet kan bli utsatta för e-postburna cyberrisker, visar undersökningar.
◾Email är den första inmatningspunkten för dataöverträdelser, vilket inkluderar inriktade email-attacker som affärskompromiss och spjutfiskning.
◾Hur säkerställer säker e-post utbyte med externa affärspartners.
◾Russian cyber spionage höjdpunkter behöver förbättra e-postsäkerhet.

Det första, billigaste och enklaste steget att behålla ett säkerhetssystem är att se till att alla operativsystem och applikationer är korrekta med de senaste uppdateringarna. Vissa organisationer kan frestas att fördröja patching, på grund av eventuella driftstopp eller behovet av att kontrollera kompatibilitet med anslutna system. Men dessa förseningar kan vara kostsamma, eftersom hackare försöker identifiera kända sårbarheter och snabbt utnyttjar dem.

Antivirusfiltrering ska användas på all e-posttrafik. Även om detta inte kommer att bli en komplett lösning i sig, kommer det att ta bort mycket av bakgrundsbruset – de lättlösta hoten – vilket gör att säkerhetslag kan fokusera på de mer sofistikerade attackerna. Organisationer bör också överväga att använda en säker anti-malware proxy eller nästa generation brandväggar.

Vissa organisationer kanske vill överväga whitelisting eller blacklisting-filter för att hantera deras e-postsäkerhet. Med whitelisting är endast kända, betrodda e-postkällor tillåtna via; med svartlistning är allt utom de kända skadliga e-postkällorna blockerade. Whitelisting erbjuder mer skydd, men det kommer oundvikligen att blockera några viktiga e-postmeddelanden, vilket kan orsaka frustration för anställda.

Vissa organisationer har gått så långt som att blockera alla bilagor, vilket är effektivt för att förebygga skadliga bilagor, men har naturligtvis konsekvenser. Dessa kan mildras av e-postservern som informerar mottagaren om att en fil har blockerats. Om de behöver den filen kan de begära att det rensas av IT-säkerhet. Men även om den här metoden blockerar skadlig kod hindrar det inte användarna att klicka på skadliga länkar inbäddade i e-postmeddelanden.

Denna whitelisting metod kan också användas med applikationer, varigenom endast betrodda applikationer kan köras. Blacklisting kan användas för att blockera alla kända skadliga program från att köras. Det finns också en tredje variant, greylisting, vilket förhindrar att okända applikationer aktiveras med administratörsbehörigheter eller för åtkomst till data.

Domänbaserad meddelandeautentisering, rapportering och överensstämmelse (Dmarc) kan användas för autentisering av e-post för att blockera e-postmeddelanden med förfalskade adresser, vilket är en av de viktigaste angreppsteknikerna. E-post-riskeringsverktyg kan också användas för att identifiera misstänkta e-postmeddelanden och karantänera dem för senare analys.

Dmarc utsätts normalt för stora organisationer och offentliga organisationer, men små och medelstora företag kan fråga om det kan distribueras av deras internet- eller e-postleverantör.

Mindre organisationer bör överväga att skicka alla e-postmeddelanden via en outsource-leverantör av e-postsökningstjänster innan de levereras till organisationens e-postserver.

Organisationer bör också överväga värsta scenarier och ha regelbundet uppdaterade katastrofprotokoll på plats. Dessa bör detaljera vad man ska göra när, snarare än om malware infekterar nätverket.

”I stället för att ha en” jack-of-all-trades ”-strategi, där en applikation täcker alla aspekter av säkerhet, bör organisationer se att använda olika säkerhetsapplikationer från olika leverantörer som överlappar varandra, vilket ger ytterligare lager av försvar.

Men det finns ingen sådan sak som 100% säkerhet. Organisationer behöver utbilda sina anställda i hur man upptäcker bedrägliga e-postmeddelanden och öka medvetenheten om farorna med skadliga e-postmeddelanden.

För att engagera deltagarna bör denna utbildning vara lätt att förstå och bör inte lita på teknisk jargong. Personal bör positivt uppmuntras att rapportera misstänkta e-postmeddelanden och ge feedback om rapporterade e-postmeddelanden. Detta kommer inte bara att tillåta säkerhetsinställningarna att uppdateras, men det kommer också att utbilda personal ytterligare.

Det är också viktigt att skräddarsy meddelandet till den specifika publiken. Om du exempelvis säger en HR-avdelning om du inte vill öppna bilagor från externa adresser fungerar det inte för att de handlar om personer som söker jobb.

Efter de senaste händelserna av läckta e-postmeddelanden, krypterar många organisationer nu e-postmeddelanden och installerar krypteringsprotokoll som tillägg till befintliga e-postprogram.

Dessa system baserar sig inte bara på end-to-end-kryptering för att säkra innehållet, men vissa säkerställer också att general data protection regulation följs. ”Det finns hundratals e-postsäkerhet eller krypteringstjänster, men vi har funnit att kunder behöver kontrollerbarhet, vilket är i hög efterfrågan på grund av GDPR.

Även om e-postinställningar tillåter begärda läskvitton som ignoreras av mottagarna, finns det säkra e-postprogram som verkställer sändningen av dessa kvitton. När ett e-postmeddelande skickas kommer avsändaren att få ett mail som säger när det har levererats till e-postservern. Ett senare e-postmeddelande kommer då att meddelas avsändaren när deras e-post har öppnats. Om e-postmeddelandet inte har öppnats inom tre dagar, skickas ett tredje e-postmeddelande till avsändaren och informerar dem om att det inte har öppnats.

Nackdelen med denna applikation är att den ökar e-posttrafik. Det ger emellertid organisationer ett tydligt granskbart spår av e-postmeddelanden som skickas, mottas och läses av de avsedda mottagarna. Denna e-postrevision krävs för att följa GDPR, eftersom det visar att det inte bara har skickats ett e-postmeddelande, utan också att det har mottagits och lästs.

”För några år sedan var det inte människor som var intresserade av säker e-post, men i år har vi sett en snabb tillväxt. Växer med 10 gånger i år jämfört med de senaste åren. ”

Men även om kryptering skyddar innehållet i e-postmeddelanden läckt, blockerar det inte skadligt innehåll eller bilagor.

En flerlags serie säkerhetsprotokoll för e-post kommer att gå långt för att säkerställa överensstämmelse med general data protection regulation, men bara en välutbildad och positivt uppmuntrad arbetskraft kommer tillförlitligt att skydda en organisation mot attacker via e-post.

”Om du har dessa underbara säkerhetsnivåer men ingen följer dem, så är du öppen” – ”Du måste ta med dig båda.”

General data protection regulation Stockholm

Huvudsyftet med GDPR är att redogöra för nuvarande och nyligen förbättrade, skyldigheter och ansvar som organisationer måste följa för att skydda uppgifterna för EU-medborgare. Även B2B-organisationer måste behandla sina data. Du har nu mindre än ett år att vara helt kompatibel och sätta alla processer och systemändringar på plats för att säkerställa att du uppfyller standarden.

1). Vem GDPR gäller för

Lägg helt enkelt nästan alla affärer. GDPR gäller alla organisationer som hanterar uppgifter från EU-medborgare. Denna aspekt kommer att bidra väsentligt till organisationer över hela världen som ser ut att skärpa sin säkerhet. Men här är de specifika kriterierna för företag som måste följa:
• En närvaro i ett EU-land.
• Ingen närvaro i EU, men hanterar personuppgifter för europeiska invånare.
• Mer än 250 anställda.
• Färre än 250 anställda men dess databehandling påverkar de registrerades rättigheter och friheter, är inte tillfällig eller innehåller vissa typer av känsliga personuppgifter.

2). Starkare sanktioner

Underlåtenhet att följa den nya GDPR-förordningen leder till några allvarliga böter. Mer specifikt om du bryter mot dina skyldiga skyldigheter för registrering, säkerhet, överträdelse och konsekvensbedömning. Sedan har tillsynsmyndigheterna befogenhet att utfärda straff på upp till 10 miljoner euro eller 2% av organisationernas globala omsättning. Det finns mer: Det finns mer ……… Om du misslyckas med att följa de lagliga skyldigheterna att behandla data (t.ex. samtycke), registrerade rättigheter, överföringar över gränserna. Var då beredd att betala böter upp till 20 miljoner euro eller 4% av omsättningen. Även om inte varje överträdelse eller underlåtenhet att följa detta resulterar i dessa massiva böter, är det en möjlighet.

3). Hur ”giltigt samtycke” erhålls är avgörande

Dataconcession och bearbetning är sannolikt den mest utmanande förändringen för organisationer. GDPR kräver nu att organisationer ger tydligt och bekräftat samtycke vid datainsamling. Organisationer måste vara tydligare än någonsin hur enskilda data kommer att användas och bearbetas. Som utan giltigt samtycke kommer några databehandlingsinitiativ att ifrågasättas av myndigheterna. En dubbeloptagningsfunktion är obligatorisk, vilket fungerar som en fördel för företag eftersom de kan förbättra kvaliteten på sina databaser med aktiva konsumenter.

4). Nuvarande principer förblir men nya rättigheter infördes, såsom:

• Rätten att glömma: Detta hänvisar till radering av data på begäran av ämnet. Som nu tvingar företagen att införa åtgärder för att upptäcka, hantera och ta bort användare som kan vara en svår uppgift.
• Rätt till dataöverförbarhet: Det här hänvisar till personer som har rätt att erhålla och återanvända personuppgifterna för egen användning över olika tjänster (med ett gemensamt, datorläsbart format). Tillåter att de flyttar, kopierar eller överför data från en IT-miljö till en annan på ett säkert sätt.

5). Obligatoriska konsekvensbedömningar

En PIA (konsekvensbedömning) är ett verktyg för att identifiera och utvärdera integritetsrisker under hela programmets eller systemets utvecklingslivscykel. Om du planerar att genomföra någon ny teknik som sannolikt medför risk för personuppgifter, måste du som företag göra en konsekvensbedömning innan du utför bearbetning.

PIA ska identifiera eventuella risker genom insamling eller behandling av data.

6). Obligatorisk utnämning av dataskyddspersonal

Denna obligatoriska roll måste fyllas i om din organisation hanterar data i stor skala som kräver systematisk övervakning av den registrerade eller hanterar uppgifter om särskilda kategorier (t.ex. hälsa, ras, sexuell läggning och religion etc.) eller personuppgifter om brottsliga domar och brott.

Uppgifter för en DPO är huvudsakligen att övervaka organisationens överensstämmelse med GDPR och övervaka hur personal hanterar personuppgifter. Din DPO kan vara en befintlig anställd, men du kan också utse en extern tjänsteleverantör.

Ännu viktigare måste den valda DPO:
• Utnämnas på grundval av yrkeskvaliteter och i synnerhet expertkunskap om lagar och praxis för dataskydd.
• Ge deras kontaktuppgifter till relevant DPA
• Levereras med lämpliga resurser för att utföra uppgifter och behålla expertkunskaper.
• Rapportera direkt till högsta ledningsnivå
• Utför inte några andra uppgifter som kan leda till en intressekonflikt. Din IT-chef kan till exempel inte vara den bästa personen.

7). Mer harmoniserat EU-system för dataskydd

Trots att varje EU-stat kommer att ha sin egen auktoritet, kommer alla att ge samma råd och meddelanden under GDPR; Det kommer att bli ett ökat samarbete och samstämmighet mellan EU: s tillsynsmyndigheter. Det innebär att organisationer bara måste hantera en universell regulator, snarare en annorlunda för varje EU-land.

8). Obligatorisk anmälan om uppgiftsbrott

GDPR kommer att se till att alla organisationer ständigt övervakar sina system för överträdelser av uppgifter. Eftersom det är obligatoriskt att rapportera eventuella cyberhändelser som riskerar data till den lokala dataskyddsmyndigheten inom 72 timmar efter upptäckten.

Det innebär att organisationer behöver börja överväga att implementera rätt teknik eller starta outsourcing av sina IT-uppgifter. För att kunna upptäcka och svara på ett brott. För de flesta organisationer krävs det lite träning i hela verksamheten, vilket garanterar att dataöverträdelser förstås, förhindras, erkänns och rapporteras korrekt.

9). Alla organisationer som ”berör” personuppgifter är ansvariga

Ansvaret kommer inte längre bara att ligga hos den initierande organisationens datakontrollant. Det kommer också att sitta med någon organisation som använder personuppgifter som tillhandahålls dem (t.ex. en tjänsteleverantör).

10). GDPR kräver att integritet är design

Nu måste alla organisationer sätta ”integritet” som en viktig övervägning vid utformningen av något projekt. För att säkerställa att integritet och skydd av data inte längre är en eftertanke.