Det var fullsatt på SIS Rätt Säkerhet maj 2017

EU:s nya dataskyddsförordning, GDPR, var huvudtemat för årets upplaga av konferensen SIS Rätt Säkerhet. Många av landets främsta experter på informationssäkerhet fanns samlade för att dela med sig av sina kunskaper.

SIS vd Thomas Idermark kunde hälsa välkommen till en fullbokad heldagskonferens. Cirka 150 deltagare fanns på plats på SIS Conference Center i Stockholm onsdagen den 17 maj.

Moderatorerna var två: Jan-Olof Andersson, informationssäkerhetschef på Ica Sverige och Kristina Starkerud, informationssäkerhetsspecialist på Myndigheten för samhällsskydd och beredskap. Båda är aktiva i SIS tekniska kommitté för informationssäkerhet, SIS/TK 318: Jan-Olof som ordförande och Kristina som deltagare. Kommittén är en av SIS mest vitala och firar i år 20-årsjubileum. Det sker i skuggan av en mycket omfattande europeisk dataskyddsreform – om precis ett år, den 25 maj 2018, kommer EU:s General Data Protection Regulation, GDPR, att träda i kraft. Här i Sverige ersätter denna förordning såväl dataskyddsdirektivet från 1995 som personuppgiftslagen, PuL.

Jan-Olof Andersson påpekade att det inte bara är dagens PuL-ansvariga i företag, myndigheter och organisationer som behöver sätta sig in i förändringarna. Hela verksamheterna behöver skaffa sig kunskap om den nya förordningen.

– Det blir viktigt att förteckna vilka förmågor, rutiner och processer man har på plats för att fullgöra sina uppgifter enligt GDPR. Det behövs verktyg för att automatisera jobbet, och hos oss på Ica är införandet av ledningssystem för informationssäkerhet en förutsättning för att bygga upp denna hantering, sade han bland annat i sin föreläsning.

Rose-Mharie Åhlfeldt, docent i informationsteknologi vid Högskolan i Skövde, lyfte fram exempel på många av de standarder som kan stötta GDPR-arbetet. Även hon är aktiv i SIS/TK 318 för informationssäkerhet och ser deltagandet där som en viktig form av kompetensutveckling.

– Det är genom systematiskt informationssäkerhetsarbete som vi kan möta kraven i GDPR. Både ISO 27001, ISO 27002 och ISO 27003 ger ett systematiskt stöd, och ISO 29100 fungerar som en vägledningsstandard kring personlig integritet. Dessutom finns det en rad komplement, däribland ISO 27005 för riskhantering, ISO 27018 för molntjänster och ISO 27036 för leverantörsrelationer. Flera standarder är även under utveckling, bland annat kring processen med att lämna information och hantera samtycke, poängterade hon.

Sebastian Arnoldt, partner på TechLaw Sweden, berättade att han ofta får frågan om huruvida GDPR kommer att innebära slutet för ”big data analytics”. Hans svar är nej.

– Däremot gäller det att ta fram lösningar som förenar big data analytics och dataskydd. GDPR tvingar oss att filtrera n

yckelinformation, vilket i sin tur leder till ökad datakvalitet. Därför kan GDPR i själva verket bli en drivkraft, och något som ger inspiration och vägledning, framhöll han.

Thomas Keisu, Vice President Cybersecurity & Infrastructure på Skanska, tog upp GDPR:s olika nivåer för sanktioner och skadestånd. Den organisation som inte lever upp till de grundläggande principerna riskerar att drabbas av böter som kan motsvara 2–4 procent av årsomsättningen.

Flera av föreläsarna berörde även området molntjänster kopplat till informationssäkerhet. Stefano Goudarzi, Corporate Governance på Risk & Compliance inom Ica Gruppen, konstaterade att det behövs ett ramverk och en process för att utvärdera hur molntjänstleverantörerna behandlar personuppgifter.

– Besluten kring risktolerans måste vara förankrade på högsta ledningsnivå i din organisation, betonade han.

Caroline Olstedt Carlström, Vice President Privacy på Klarna Group, uppmanade alla att ha sina data listade och klassificerade. GDPR innebär att kunder kommer att ställa frågor, och att underleverantörer behöver instruktioner.

Hon framhöll att kravet på högt skydd kring personlig integritet har förstärkts genom GDPR, och att det är Tyskland som i hög grad har stått modell för den nya förordningen.

– I Sverige är vi fortfarande lite yrvakna på dataskyddsområdet. När vi till exempel lämnar våra personnummer tror vi oftast det bästa om de som använder våra data, påpekade hon.

Futuristen och entreprenören Stefan Hyttfors var inne på samma linje:

– Ny teknik kan lösa problem på nya sätt, men vi bör också fundera över vem som har kontroll över informationen. I dag är vi relativt naiva, sade han.

Carolin Solskär, cybersäkerhetskonsult på Combitech, konstaterade att det som ses som en tjänst av en person kan ses som integritetskränkande av en annan.

– Var medveten om att det inte finns några gratisluncher, vi betalar med vår personliga information. Det finns alltid någon som följer dina digitala spår. 

Text: Lena Lidberg