Implementeringen af ​​General Data Protection Regulation (GDPR) i maj 2018 revolutionerede, hvordan virksomheder i Den Europæiske Union (EU) og enhver virksomhed, der sælger til EU, beskytter og håndterer brugerdata. GDPR compliance er ikke valgfrit, og virksomheder, der ikke håndterer personoplysninger korrekt, kan forvente alvorlige bøder.

Samtidig blev GDPR også en model for nyudviklede fortrolighedslove over hele verden.

Hvad er GDPR?

Som navnet antyder, er GDPR et sæt regler for databeskyttelse. GDPR erstattede EU’s tidligere databeskyttelsesdirektiv, som havde været gældende siden 1995.

GDPR fokuserer på virksomheders forpligtelser til at beskytte personoplysninger og privatliv og regulerer også dataeksport uden for EU.

Selv om GDPR er et vigtigt skridt i forbedring af databeskyttelse og forbrugerrettigheder omkring privatlivets fred, har forordningen flere ulemper. Det mest bemærkelsesværdige er brugen af ​​vage terminologier, såsom “rimelig beskyttelse”, som ikke giver virksomheder specifik vejledning om, hvad de skal gøre.

Efter lanceringen af ​​GDPR sagde EU og myndighederne i EU-landene imidlertid, at de ville hjælpe virksomheder med at arbejde hen imod GDPR compliance snarere end straks at finde dem, der endnu ikke var kompatible.

Til dato har der næsten ikke været nogen væsentlige tilfælde af GDPR overtrædelser, der er kommet for europæiske domstole. Det er usandsynligt, at nogen fuldt ud vil sætte pris på omfanget af GDPR, før dette sker.

Hvorfor blev GDPR udviklet?

Kort sagt udviklede EU GDPR, fordi databeskyttelsesdirektivet fra 1995 ikke længere var egnet til formålet. Den tidligere forordning blev vedtaget og implementeret inden e-handel boomet og væksten i internetbrug generelt. Den datamængde, som virksomheder indsamlede for 25 år siden, blegner i forhold til, hvad virksomhederne administrerer i dag. Derudover var bekymring omkring lagring og overførsel af data også en styrende faktor i udviklingen af ​​GDPR.

GDPR var primært rettet mod at beskytte forbrugernes data og privatliv. EU-ledere håbede imidlertid også, at det ville føre til, at virksomhederne var mere flittige omkring data generelt og reducerede begge dataovertrædelser.

Hvilke typer af data beskytter GDPR?

GDPR dækker de fleste personlige data, som din virksomhed indsamler om jeres kunder. Især alt hvad der potentielt entydigt kan identificere et individ. GDPR compliance gælder uanset platformen, der indsamler dataene, hvilket betyder, at du skal sikre data, du indsamler fra en håndskrevet form, på samme måde, som du sikrer data, du indsamler fra dit websted.

Hvis du gør en af følgende, skal du overholde GDPR – Bemærk nedenstående liste er ikke udtømmende:

  • Indsamler e-mail-adresser til leadgenerering eller afsendelse af nyhedsbreve via e-mail.
  • Vedligeholder en kundedatabase selv eller ved hjælp af en CRM platform.
  • Inkluderer adresser på fakturaer til leverandører, kunder og andre virksomheder eller enkeltpersoner, du beskæftiger dig med.
  • Bruger webstedsanalyse værktøjer til at indsamle data til markedsføring.
  • Bruger en cloud-platform som Google Drive til lagring af brugernes data.

GDPR dækker specifikt følgende typer information, du kan have om brugere:

  • Grundlæggende identitetsoplysninger, der inkluderer brugernes navne, adresser, e-mail-adresser, brugergenererede data som indlæg på sociale medier og enhver anden information, der deles online.
  • Metadata indsamlet via websteder, herunder brugerplaceringer, IP-adresser, cookiedata og RFID-tags.
  • Alle sundheds-, genetiske eller biometriske data, du har om brugerne.
  • Racemæssige og etniske data.
  • Politiske synspunkter og meninger, herunder afstemningshistorik.
  • Seksuel orientering og kønsidentitet.
  • Alle andre oplysninger, der kan bruges til entydigt at identificere et levende individ.

Ja, GDPR bemærker specifikt et “levende” individ. GDPR gælder ikke længere for identificerbar data, når en person dør. Alligevel forventes det, at virksomheder opretholder tilliden hos en person, der gav specifikke tilladelser til deres data inden deres død.

Yderligere regler og forskrifter gælder i nogle EU-lande, der regulerer ting som brugen af ​​CCTV.

Hvem påvirkes af GDPR?

GDPR er et EU-specifikt direktiv. Imidlertid betyder applikationen, at det faktisk er en global regulering, hvis du er baseret i USA eller andre steder og sælger til kunder, der bor i EU.

Hvis du gemmer, behandler eller på anden måde bruger og overfører data om EU-borgere, der bor i EU, skal du være i overensstemmelse med GDPR, uanset hvor du befinder dig.

GDPR skitserer følgende specifikke kriterier:

  • Virksomheder med tilstedeværelse i et EU-land. Ud over virksomheder, der primært er hjemmehørende i EU, skal du overholde GDPR, hvis du har base i USA men har et satellitkontor i EU.
  • Virksomheder, der ikke er tilstedeværende i EU, men behandler EU-borgernes data. Hvis du f.eks. Er en USA-baseret e-handelsforhandler og sender til EU, skal du altså være i overensstemmelse med GDPR.

Hvem er ansvarlig for overholdelse af GDPR inden for en virksomhed?

GDPR giver eksplicitte definitioner af tre roller, som du skal udføre for at sikre GDPR compliance.

  • Dataansvarligeskal definere, hvordan din virksomhed behandler personlige data, og hvordan du bruger disse data. Din dataansvarlige er også ansvarlig for at sikre, at alle eksterne entreprenører, du arbejder med, er GDPR kompatible.
  • Databehandlere kan være en intern person eller gruppe, der vedligeholder og behandler data og optegnelser, eller en partner som en SaaS-virksomhed, som benyttes til datastyring. GDPR holder eksplicit databehandlere ansvarlige for databrud eller GDPR non-compliance. Du skal være opmærksom på alle eksterne partneres GDPR compliance processer, for hvis de bliver fundet skyldige i en overtrædelse, kan du også straffes.
  • Data processing officers (DPOs)bør udpeges til at styre din datasikkerhedsstrategi og overvåge din GDPR compliance. GDPR siger, at du skal have en DPO, hvis du opfylder specifikke betingelser, men betingelserne betyder effektivt, at enhver virksomhed har brug for en.

Virksomheder behøver ikke nødvendigvis foretage specifikke ansættelser til disse tre roller. Et eksisterende teammedlem kan udføre enhver funktion, så længe de er opmærksomme på deres ansvar. Det er dog almindeligt for personale i ledende stillinger eller eksisterende afdelinger, såsom juridisk overholdelse, at påtage sig dette ansvar.

Hvilke rettigheder giver GDPR til forbrugere og brugere?

GDPR angiver eksplicit otte rettigheder, der gælder for alle brugere med hensyn til deres data. Hvis GDPR gælder for din virksomhed, baseret på de tidligere beskrevne scenarier, skal du respektere og opfylde disse rettigheder som en del af at være GDPR kompatibel.

De otte rettigheder, og hvad de medfører, er:

1. Retten til adgang

Retten til adgang giver enkeltpersoner ret til at bede om adgang til de data, som du har om dem. Enkeltpersoner kan også spørge, hvordan du bruger, gemmer og behandler data, og om du overfører denne data til andre virksomheder. Du skal give enhver person, der anmoder om disse data, en elektronisk kopi af de data, du har, og eventuelle yderligere oplysninger der anmodes om, uden omkostninger. 

2. Retten til at blive informeret

Retten til at blive informeret betyder, at du skal fortælle enkeltpersoner, at du indsamler og behandler deres data, inden du gør det. Denne ret betyder også, at du skal have udtrykkeligt samtykke, før du gør det. Dette er en særlig væsentlig ændring fra databeskyttelsesdirektivet, hvor underforstået samtykke blev anset for tilstrækkeligt. Enkeltpersoner var nødt til at fravælge databehandling, snarere end at du skulle spørge dem, om de var glade for at tilmelde sig.

3. Retten til dataportabilitet

Retten til dataportabilitet giver brugerne ret til at overføre deres data fra et sted til et andet, når som helst de ønsker det.

4. Retten til at blive glemt

Retten til at blive glemt giver brugerne ret til at trække deres samtykke tilbage, til at gemme og bruge deres data og bede dig om at slette de data, du har om dem.

5. Retten til at gøre indsigelse

Retten til at gøre indsigelse giver brugerne ret til at gøre indsigelse mod, hvordan du bruger deres data og anmode dig om øjeblikkeligt at stoppe. Vær opmærksom på, at der ikke er nogen undtagelser fra denne ret. Det er ikke en mulighed for dig at fortsætte med at bruge data eller antyde, at der stadig er samtykke, ved denne type anmodning. Du skal derfor straks foretage rettelser ved en sådan anmodning..

6. Retten til at begrænse behandling

Retten til at begrænse behandlingen giver brugerne mulighed for at bede dig om at stoppe al eller en bestemt type databehandling, samtidig med at du kan fortsætte med at lagre deres data, hvis de er tilfredse med dette.

7. Retten til at blive underrettet

Retten til at blive underrettet i tilfælde af databrud, der kompromitterer deres data. Ved tilfælde af et databrud, skal du informere brugerne inden for 72 timer efter, du selv har opdaget den.

8. Retten til berigtigelse

Retten til berigtigelse giver brugerne mulighed for at bede dig om at opdatere eller rette de data, du har om dem, eller at du udfylder huller i deres data registreringer.

Selvom rettighederne giver brugerne mulighed for nøje at styre, hvordan du må bruge deres data, behøver disse ​​rettigheder ikke at give væsentlige udfordringer for din virksomhed.

Hvordan håndhæves GDPR, og hvad er sanktionerne for manglende compliance?

Selv om GDPR er et EU-direktiv, håndteres håndhævelsen af ​​forskellige tilsynsmyndigheder over hele verden. De fleste lande indenfor EU har nationale databeskyttelsesorganer, mens lande udenfor EU arbejder sammen med EU for at sikre compliance.

Sanktioner for manglende compliance er trinvise, idet kun gentagne eller alvorlige engangsbrud sandsynligvis vil føre til de maksimale bøder, som er den største af:

  • 4% af den globale omsætning.
  • 24,4 millioner dollars.

Mens en virksomhed muligvis skal investere for at sikre, at den er i overensstemmelse med GDPR, er det usandsynligt, at der skal bruges beløb i nærheden af det, der skal betales bøder for manglende compliance.

De syv bedste fremgangsmåder til overholdelse af GDPR for amerikanske virksomheder

Hvis du er en amerikansk virksomhed, der sælger til EU-personer, skal du være i overensstemmelse med GDPR. Da databeskyttelseslovgivning og håndhævelse i USA ikke har det bedste ry, kan det at følge GDPR på tværs af din virksomhed hjælpe dig med at skille sig ud fra dine konkurrenter.

Følg disse syv bedste fremgangsmåder for at hjælpe dig med at blive GDPR kompatibel:

1. Sørg for, at din privatlivspolitik er opdateret

De fleste mennesker vil aldrig læse den, og du håber, at du aldrig behøver at bruge det til at forsvare dig selv i retten. Det er dog vigtigt at holde din privatlivspolitik opdateret. Sørg derfor for, at du planlægger regelmæssige gennemgange af den.

2. Gennemfør holdtræning

Selvom alle teammedlemmer ikke arbejder direkte med den data, du indsamler fra kunder eller webstedsbrugere, skal I sikre jer, at alle er opmærksomme på GDPR, og hvad I gør for at sikre compliance.

3. Lav en dataovertrædelsesplan og test den!

Du tester regelmæssigt ting som dine brandalarmer, så sørg også for at teste din databrudplan. Hvem er ansvarlig for rapportering af databrud, hvem skal de rapportere dem til, og hvem skal kommunikere med personer, hvis data er kompromitteret?

4. Hold din “dataopgørelse” opdateret

Hvis du kan vise, at du har udtrykkeligt samtykke til at gemme og bruge data, bør dette være let. Hvis du opbevarer sikkerhedskopier af brugerdata, skal du sikre dig, at du også behandler disse korrekt, hvis der anmodes om at data slettes fra brugerne. Du kan pålægges en straf, fordi du har glemt at slette data i en sikkerhedskopi, som derefter skulle bruges

5. Hold øje med din sikkerhedsinfrastruktur

Den nemmeste måde at gøre dette på er ved at finde sikkerhedssoftware og platforme, der er GDPR kompatible, og bruge dem i din virksomhed.

6. Sørg for, at alle partnere er kompatible

Husk, at hvis du eksempelvis bruger en CRM platform til at gemme data, og tjenesteudbyderen konstateres i strid med GDPR, er du også ansvarlig for en sanktion. Lav dine lektier, og sørg for, at dine partnere i enhver kontrakt angiver, at de er i overensstemmelse med GDPR.

7. Oprethold niveauet af databeskyttelse, hvis du overfører eller bruger data uden for EU

Dette vil være en vigtig bekymring for amerikanske virksomheder. GDPR siger, at du skal opretholde de samme databeskyttelsesniveauer for EU-borgere, selvom dataene overføres eller bruges uden for EU. Med dette i tankerne er det fornuftigt at følge GDPR på tværs af hele din virksomhed. Især hvis du gemmer data indsamlet fra kunder i EU og USA på samme sted.

Sådan bruges LogPoint til GDPR-compliance

LogPoint gør det lettere for din virksomhed at opfylde GDPR’s krav, hvilket giver både dig og dine kunder tillid til, hvordan du gemmer og bruger personlige data. Vi kan hjælpe dig med at lagre data sammen med overvågning af dine netværk og applikationer, så du kan identificere potentielle problemer med databrud eller forsøg på at få adgang til dine data. Vores analyser giver også dit sikkerhedsteam mulighed for proaktivt at overvåge alle potentielle problemer, herunder oprettelse og ændring af datafiler.

Lær mere om, hvordan vi kan hjælpe dig med GDPR compliance eller se vores use cases for specifikke eksempler på, hvordan du kan bruge LogPoint i din virksomhed. Du kan også læse mere om fordelene ved vores moderne SIEM-løsning kombineret med SOAR og blive klogere på, hvordan den kan hjælpe dig og din virksomhed med at øge jeres ERP-sikkerhed, SAP Security og sporing af uregelmæssigheder gennem UEBA

Kontakt LogPoint

Kontakt os og lær, hvorfor ledende virksomheder vælger LogPoint:

Kontakt os