Datainspektionen har gjort ett gott arbete när det kommer till vägledning i olika frågor utifrån Personuppgiftslagen, och sedermera Dataskyddsförordningen, inte minst när det gäller hanteringen av känsliga personuppgifter. Behandling i mobila enheter är inget undantag, det finns till och med en checklista att utgå ifrån, superlätt kan tyckas.
Talar man med verksamheter så finns det en stark vilja att skydda enskilda personers integritet samt följa regulatoriska krav, men detta avspeglar sig sällan i val av leverantör eller krav på informationsklassning och riskanalys inför ny personuppgiftsbehandling. Varför? Kanske för att det saknas kunskap om metodik för att identifiera krav, och förmåga att omsätta krav till praktik? Vems ansvar är det? Utan att peka finger åt endera hållet så är min uppfattning att varje organisation ska tillämpa organisationsövergripande metodik för värdering av information och bedömning av informationssäkerhetsrisker. Dessutom ska verksamheterna se nyttan med den och känna till i vilka fall den kan vara aktuell att tillämpa.
Alltför ofta hanteras frågor kring informationssäkerhet redan när beslut är tagna eller system upphandlade, och då ofta med liten eller ingen möjlighet att kravställa. Jag skyller inte på verksamheterna för detta, tvärt om! Utan en central samordning inom organisationen där informationssäkerhet tillåts ta plats kommer arbetet med informationssäkerhet alltid att bli ad hoc.
Måste också passa på att slå ett slag för att inleda arbetet med efterlevnad av Dataskyddsförordningen. Röster höjs att ”vi ju egentligen inte vet vilka krav den ställer”, eller ”det är otydligt vad man rent praktiskt ska göra”. Det kan jag till viss del hålla med om och visst pågår det olika arbeten på nationell nivå där målbilden är att skingra dimmorna, men förvänta er inga underverk. Förordningen är inom många områden tydlig med vilka krav som ställs, under vilka förutsättningar och med vilket resultat. Det är mer än hög tid att lägga planen för 2017 där både nuvarande krav och kommande krav för personuppgiftsbehandlingen ska tillgodoses. För den som redan idag känner dåligt samvete för dagens Personuppgiftslag har en hygglig utmaning under 2017. I andra vågskålen vilar det faktum att ett grundläggande arbete där man faktiskt skaffar sig koll på sina personuppgiftsbehandlingar gör det betydligt enklare att finjustera sitt arbete utifrån kommande vägledningar och föreskrifter. För andra, där ett strukturerat informationssäkerhetsarbete redan är vardag, fortsätter vardagen som vanligt.
Med förhoppning om att 2017 blir det år där allt fler ska sälla sig till skaran som ser kraven på personuppgiftsbehandling som vardagsmat. Receptet är inte oväntat ett strukturerat informationssäkerhetsarbete, från ax till limpa, som leder till rätt tekniska och organisatoriska skyddsåtgärder över tid.
Gott Nytt År!
Jakob Asp
