Inspiration om GDPR och data

Här hittar du en helt ny artikel: En kartläggning i Danmark kring datahantering och risker för både privata och offentliga organisationer, samt andra artiklar om GDPR och dataskydd som kan inspirera dig och hjälpa din organisation framåt.

Om Data & More

Data & More är ett danskt GDPR-företag som sedan 2017 har hjälpt organisationer att hitta och rensa upp riskfylld och olaglig data – och se till att det inte händer igen.

Är du nyfiker på risker i din data – då erbjuer vi gratis dataskanning med en rapport (Klicka på bilden för att se ett exempel på rapporten):

Du är alltid varmt välkommen att boka in ett möte med mig om du vill höra mer eller vill samarbeta med oss. Du kan skriva till mig på abs@dataandmore.com eller så du kan boka in ett möte direkt här: https://meetings.hubspot.com/abs

Andreas Strøbek, Partner, Data & More

Vad kan Sverige lära av Danmarks dataanalys?

Data & More gjorde under 2024 en kartläggning i Danmark kring datahantering och risker för både privata och offentliga organisationer. Kartläggningen baserades på en scanning och upprensning av över 1 000 000 000 e-postmeddelanden och dokument på filservrar, OneDrive och SharePoint – det som ofta kallas ostrukturerad data. Vi har delat resultatet av vår analys vid ett flertal konferenser, presentationer, nätverksträffar och i white papers i Danmark.

Men är läget lika allvarligt i Sverige?

Under 2024 genomförde Data & More en omfattande analys. Resultatet var tydligt: alltför mycket data lagras fortfarande och utgör en betydande säkerhetsrisk för alla typer av organisationer – både offentliga och privata – vilket innebär en säkerhetsrisk även för privatpersoner som dig och mig.

Mängden data som hanteras och lagras av både offentliga och privata organisationer är enorm – och växer dessutom exponentiellt varje år. Datamängden ökar med 15–25 % årligen, och eftersom data sällan raderas ökar riskerna avsevärt. Denna snabba tillväxt av data medför ökade hot i form av dold lagring samt okontrollerad spridning av känslig information. Det försvårar efterlevnaden av GDPR och riskerar att underminera organisationens förtroende hos kunder och intressenter – och i värsta fall kan information läcka i ett dataintrång.

I en typisk organisation med 100 anställda finns i genomsnitt över 2,5 miljoner dokument och mejl, varav cirka 150 000 dokument och mejl ej uppfyller kraven enligt GDPR eller interna datapolicys. Det motsvarar cirka 3–7 % av all data – information som omedelbart borde raderas eller arkiveras. I takt med att datamängden växer med cirka 15–25 % per år blir det allt svårare att manuellt hantera och behålla kontroll över ostrukturerad information.

Företag och myndigheter har tappat kontrollen över sin data, och det är data som du och jag – som privatpersoner, kunder eller tidigare medarbetare – en gång har lämnat ifrån oss i förtroende. Nu ligger den ofta kvar, bortglömd och ofta utspridd över olika plattformar.

Utöver känslig persondata finns också konfidentiella och affärskritiska dokument: information om IT-säkerhet, lösenord, infrastruktur, affärshemligheter med mera – allt förvarat på fel plats eller i fel kontext. Om dessa uppgifter hamnar i orätta händer kan detta få allvarliga konsekvenser, både för verksamheten och samhället i stort. NIS2-direktivet ökar visserligen medvetenheten kring cybersäkerhet, men frågan kvarstår:

Vad gör vi med all denna data som redan ligger och skräpar?

Känslig data omfattar information som möjliggör identifiering av enskilda individer – exempelvis namn, e-postadresser, telefonnummer, personnummer, kund- och medarbetare-ID:n, samt information om hälsa, facklig tillhörighet, etnicitet eller religiös övertygelse.

Utöver dessa finns särskilt skyddsvärd information – exempelvis skannade ID-handlingar, löneuppgifter, lösenord i klartext och interna finansiella dokument, som kräver hög säkerhetsnivå och noggrann kontroll. Denna typ av information är ofta spridd över flera system utan tillräcklig kontroll, vilket ökar risken för obehörig åtkomst och bristande efterlevnad av GDPR samt interna riktlinjer.

Av all ostrukturerad data som vi upptäckt genom vår data scanning så återfinns hela 90 % i anställdas e-postkonton. Varje konto innehåller i genomsnitt 500–1 000 mejl med innehåll som kan klassificeras som känsliga data. Dessa mejl förblir ofta lagrade i både aktiva och inaktiva e-postkonton. Dessutom kan viktigt affärsvärde gå förlorat genom att viktig information och avtal blir bortglömda i e-postmappar eller delade mappar. Dessa filer kan vara affärskritiska, men är ofta omöjliga att återfinna vid behov, vilket försvårar dokumentation och ärendehantering.

E-postmeddelanden och bilagor delas ofta mellan kollegor, vilket innebär att samma känsliga information snabbt kan spridas till flera e-postkonton – och dessutom sparas på SharePoint, OneDrive och filservrar. Därför kan en organisation aldrig vara helt säker bara för att ett mejl med känsligt innehåll har raderats – vad händer med alla andra kopior som fortfarande finns kvar i andra system? Om man till exempel vill radera ett gammalt CV från en kandidat som aldrig anställdes, måste det tas bort överallt där det kan finnas. Det kan fortfarande ligga kvar hos HR-medarbetare som deltog i intervjun, hos chefen som fick ansökan, hos en kollega som kände kandidaten – och på filservern i en mapp för lediga tjänster.

Digitalisering och molntjänster kan öka effektiviteten, men också komplexiteten av hantering av data. Data som flyttas till OneDrive och SharePoint utan att granskas, gör att tidigare risker följer med till de nya plattformarna såsom Microsoft Teams eller andra typer av andra kommunikationsverktyg. Detta är identifierat som en ny riskzon där GDPR-känsliga data delas i chattfönster eller dokument sparas i chatt trådar, ofta utan märkning eller åtkomstkontroll.

Många organisationer saknar dessutom tydliga rutiner för hur personuppgifter får hanteras i kommunikationsverktygens system, vilket leder till att privata filer ofta lagras på externa servar tillhörande de företag som tillhandahåller systemet. Detta ökar risken för att känslig data blir tillgänglig för obehöriga och innebär både integritetsrisker och bristande efterlevnad av GDPR. För att minska dessa risker krävs tydliga riktlinjer, regelbunden utbildning och effektiva tekniska skyddsåtgärder.

En av de mest utmanande delarna att hantera i en organisation är den klassiska filservern – särskilt de som har funnits i många år eller till och med årtionden. Dessa är särskilt vanliga inom kommuner och offentliga myndigheter, men förekommer också i stora privata organisationer med lång historia. Filservrar är extremt svåra att rensa upp. Det finns sällan en tydlig dataägare, mappstrukturen är föråldrad och rörig, och hela kataloger har ofta skapats av tidigare anställda. Resultatet är att ingen riktigt vet vad som finns lagrat – men ingen vågar heller radera något, “utifall att” det skulle behövas. Dessa filservrar blir till digitala öar fulla av känsliga data såsom foton av pass, körkort, lönefiler, rekryteringsregister, sjukskrivningar, excelark med data extraherade från HR- och CRM-system, personliga foton, kontrakt, kunddata och resedokument.

Våra scanningar visar att varje 1 TB data på en filserver innehåller över 10 000 personuppgifter eller högriskfiler som ofta är över 5–10 år gamla och borde ha raderats för längesen. Filservrar utgör därför en högrisk datamiljö som blir som ett smörgåsbord för hackare. I Danmark har vi sett flera allvarliga fall där känslig information har stulits från filservrar, information som borde ha raderats för längesedan. Det har bland annat handlat om uppgifter som skyddade adresser och passinformation – data som rör tusentals individer och nu säljs vidare till högstbjudande.

Många organisationer laddar upp sin data i molnet, utan att först rensa. Det innebär att problemen inte bara bevaras, utan ibland förvärras. Nu hanteras data dessutom av globala IT-jättar – vilket ger en mer oklar insyn i vem (USA?) som får tillgång till datan. Vissa organisationer försöker lösa problemet genom att radera all data som är äldre än fem år. Men detta skapar ett nytt problem eftersom viss data måste sparas längre, medan annan borde raderas direkt när samtycke eller syfte upphör.

Resultatet? Man kanske minskar datamängden – men riskerar att stå utan viktiga dokument när de verkligen behövs.

Allt fler organisationer använder märkning och klassificering av data för att tydligt identifiera och hantera känsligt innehåll. Hur organisationer tillämpar dataklassificering varierar, och än så länge är det relativt få som har fullt utvecklade processer. I takt med ökade dataintrång och skärpta EU – direktiv såsom NIS2 växer behovet av att identifiera och skydda data som innehåller känsliga uppgifter. Genom att klassificera relevant data och använda lösningar som säkerställer korrekt lagring och hantering, minskar organisationer sina risker avsevärt.

Dock kvarstår utmaningen att hantera och klassificera redan existerande data. Insikter från Danmark visar att en stor utmaning är de bristande rutiner och kontroller av känslig data och informationshantering innan direktivet om GDPR trädde i kraft.

Trots goda intentioner visar analysen att manuell datarensning har mycket begränsad effekt. Detta kan bidra till en missvisande situation över att datorhanteringen är under kontroll, när stora mängder känslig information i själva verket ligger dolt. Med ständigt ökande datavolymer krävs därför automatiserade, intelligenta lösningar som identifierar, kategoriserar, rensar och säkrar känslig data. Manuell hantering och rensing är både tidskrävande och en kostsam uppgift.

De flesta medarbetare vill gärna göra rätt och följa de regler och policys som gäller i organisationen. Men det är en orimlig uppgift att hantera manuellt. För det första måste medarbetaren ha god kunskap om både GDPR och organisationens interna regler för datahantering, för att ens kunna avgöra när data är icke-kompatibel. Därefter krävs det tid och resurser för att manuellt gå igenom och rensa sin data.

Låt oss utgå från ett hypotetiskt fall:

En medarbetare som kan allt om GDPR och interna datapolicys – och dessutom är världens snabbaste på att arbeta med rensing.

Hen ska rensa en inkorg med 10 000 mejl, varav 1 500 har bilagor. Så lång tid tar det:

• Vanliga mejl: 4 sekunder per mejl (8 500 mejl)
• Mejlen med vanliga bilagor: 2 minut per mejl (1 000 mejl)
• Mejlen med långa eller komplexa bilagor: 6 minuter per mejl (500 mejl)

Totalt över 90 timmar (utan pauser) – för världens snabbaste och mest regelmedvetna medarbetare – bara för att rensa 10 000 mejl.

Och detta är bara e-post. De flesta har betydligt mer data lagrat i SharePoint, på filservrar eller i OneDrive. Då handlar det snarare om hundratals timmar av manuellt arbete för att rensa upp.

En av de största utmaningarna för organisationer är att hantera enskildas begäran om registerutdrag – den klassiska frågan: “Vad vet ni om mig?”

Enligt GDPR har varje individ rätt att få tillgång till de personuppgifter en organisation behandlar om dem. Men för organisationer som saknar rätt verktyg finns inget tidseffektivt automatiserat sätt att hitta och samla in den relevanta informationen. Det innebär att processen måste ske manuellt vilket ofta innebär en process av att fråga flera medarbetare och avdelningar samt att söka igenom system och ostrukturerade datakällor i jakt på dokument, mejl och annan information som kan kopplas till individen. Detta är både resurskrävande och komplext vilket dessutom måste slutföras inom den tidsgräns som Datainspektionen (eller annan tillsynsmyndighet) kräver.

Med rätt verktyg skulle det kunna hanteras på några minuter. Vid en begäran om radering uppstår ytterligare svårigheter. Alla kopior av personens uppgifter måste raderas – men om samma information har delats, kopierats och sparats i olika system, mappar och e-postkonton är det omöjligt att garantera att allt verkligen har blivit raderat.

Vem som helst har rätt att anmäla en organisation till Datainspektionen (eller motsvarande myndighet) för bristande efterlevnad av dataskyddslagstiftningen.

Vid ett seminarium som Data & More anordnade berättade danska Datatilsynet att en tredjedel av alla inkommande anmälningar kommer från organisationens egna anställda. Orsakerna varierar – men anställda har ofta både kunskap och dokumentation för att i detalj beskriva brister i hantering av personuppgifter. Detta lämnar myndigheten med få tvivel om att organisationen brustit i ansvar och efterlevnad.

Datamängderna – särskilt den ostrukturerade datan – har vuxit sig till så pass stor volym att ledningen i många organisationer helt enkelt har tappat kontrollen. Mycket av denna data rör privatpersoner – som du och din familj – vars uppgifter borde ha raderats för länge sedan. Problemet förvärras varje år i takt med att mängden data ökar. När man dessutom räknar in:

• Antalet dataintrång
• Ransomware-attacker
• Ökade regulatoriska krav (GDPR, NIS2),

… blir det tydligt att minimering av datarisker måste bli en strategisk fråga för högsta ledningen.

Fakta skapar insikt och prioritet. Organisationer har redan idag möjlighet att genomföra en dataskanning och få en faktabaserad rapport över efterlevnadsnivå och risker – i vissa fall helt utan kostnad. De flesta organisationer och medarbetare vill följa lagen och minska riskerna, men utan rätt verktyg är det praktiskt omöjligt. Därför växer trycket på ledningen att agera – även om affärsnyttan är uppenbar.

— /// —

A: Har ni koll på era fildelningssystem?

Saknar ni information om vad som finns i era fildelningssystem? Är ni bekymrade över dataintrång eller anmälningar till Integritetsskyddsmyndigheten (IMY)? Vill ni säkerställa att ni följer lagstiftning på fältet?

Få personer kan med gott samvete hålla med följande påståenden:

Vi lagrar inte olaglig data.
Om det sker ett dataintrång på våra fildelningssystem vet vi precis vilka (person)data som kan ha utsatts.
Sker det ett ransomware angrepp på våra fildelningssystem finns det inte en risk för att våra företagshemligheter blir stulna.
Blir vi utsatt för tillsyn av Integritetsskyddsmyndigheten kan vi snabbt hitta relevant data i vårt fildelningssystem.
Fildelning är som en stor källare: Man behöver aldrig rensa där nere – det finns ju alltid plats för en till papplåda. År efter år fylls källaren av fler lådor till slut finns det lådor som ingen längre vet vad de innehåller – eller vem som en gång lade dit dem. Det ser kanske oskyldigt ut på ytan, men bland lådorna kan det ligga känsliga uppgifter som borde ha raderats för länge sedan.

Men så kom GDPR, Ransomware och dataintrång och med det ett tydligt behov av att rensa upp i det digitala arv och skuld som byggts upp över tid. Ett arv vi alla varit med och skapat, år efter år, genom att spara mer än vi borde och radera mindre än vi måste

Problemet är tyvärr långt större än man skulle kunna tro. Data & More hanterar dagligen över 3 000 000 000 dataset (Excelark, pdf:er, Word-dokument, PowerPoints osv.) för att hjälpa organisationer att följa lagstiftningen och säkerställa respekt för data. Och det visar sig att 3-7% av all data utanför HR-, ärendehanterings- och ekonomisystem är olagliga och borde raderas .

3-7% låter kanske inte som så mycket, men när en organisation med 100 anställda har cirka 150 000 olagliga dataset – då förstår man omfattningen av problemet (gånger antalet anställda om man är fler…). Och bara ett dataset (till exempel ett Excel-ark) kan innehålla mycket personuppgifter och känslig information. Här är några exempel från verkligheten:

Ett stort försäkrings- och pensionsbolag hade ett fem år gammalt Excel-ark i deras fildelningssystem med uppgifter om deras kunder, finansiell information, sjukdomar, familjeinformation, personnummer osv. Vi pratar om djupt personliga och känsliga uppgifter om hundratusentals personer, som var tillgängliga för alla anställda under årtionden.
Eller vad sägs om en kommun som i samband med deras årliga fastställande av budget hade urgamla Excel-filer med information om handikappade barn i kommunen och relaterade kostnader liggande i den gemensamma fildelningen.
Eller företaget som sparade bilder på pass och körkort från gamla kunder, som länge sedan borde ha raderats.
Jag skulle kunna fortsätta, men poängen är att vi utav respekt för varandras data bör se till att rensa vår data innan den delas med andra – eller sätts till försäljning. Det här är inte ett problem som försvinner av sig själv.

Lyckligtvis finns det lösningar som kan hjälpa med det tunga arbetet, eftersom det är en omöjlig uppgift att rensa manuellt. Genom att till exempel använda en dataskanner till att automatiskt skanna data kan en reell översikt etableras över exakt vad fildelningssystemet innehåller, utan att utsätta sina medarbetare för stress. På så sätt väcker man åtminstone ledningens uppmärksamhet och får förhoppningsvis stöd för att åtgärda problemet. Det är trots allt våra egna data vi pratar om.

B: På väg mot molnlagring?

Om du planerar att flytta din data till molnlagring (eller byta platform) – då är det en bra idé att rensa bort den data som du inte längre behöver eller har rätt att lagra. Att städa upp gamla, onödiga data er inte bara det logiska att göra – det finns faktiskt en hel del goda skäl till det. Här är några av dem:

1 – Du spara pengar
För det första sparar rensning pengar. Molntjänster kostar pengar – och priset baseras ofta på hur mycket data du lagrar och hur ofta du kommer åt den. Om du städar upp och tar bort all gammal data du inte behöver – ja då har du mindre data att flytta. Det gör att både kostnaderna blir lägre när du flyttar din data och för själva lagringen i molnet. Se det som att slippa betala hyra och slippa förvara saker du aldrig använder ändå.

2 – För miljöns skull
Att flytta och lagra data går ut över miljön. Varje hantering eller lagring av ett e-postmeddelande, en bilaga, filer på filenheter etc, kräver ström. Hur mycket Co2 beror på flera faktorer, men enligt Berners Lees bok “The Carbon Footprint of Everything” är mängden Co2 mellan 30 gr till 5 kg för endast 100 mejl… Lägg sedan ihop hur många mejl du har – och kom ihåg dina data på fildeling.

3 – Minimera affärsrisk
Att lagra gammal data innebär en hög affärsrisk, eftersom den ofta innehåller känsliga personuppgifter och affärskritiska data. Att förvara denna data, som du inte längre behöver och som lagras på fel ställen, eller som till och med kan vara djupt olaglig enligt Integritetsskyddsmyndigheten, är en betydande affärsrisk. Många anmälningar till Integritetsskyddsmyndigheten kommer faktiskt från de anställda själva, som är långt ifrån nöjda med hur organisationen (ledningen) prioriterar efterlevnad av lagstiftning. Sker det ett dataintrång och det inte finns någon överblick över organisationens data – då kan det sluta med att massor av din och min data plötsligt säljs vidare.

4 – Gör det effektivt och spara tid
Ofta städar man inte för att det helt enkelt tar för lång tid. I en hektisk vardag är det inte precis det som står högst upp på att göra-listan. Men Integritetsskyddsmyndigheten krav på radering har gjort att nya typer av lösningar har kommit ut på marknaden – lösningar som effektivt kan skanna, identifiera och radera data antingen genom att inkludera medarbetaren eller automatiskt, beroende på hur man vill hantera raderingen. Ser man på hur mycket tid man sparar som organisation  – är det ofta en bra lösning på ett annars irriterande och svårhanterat problem.

5 – Minimera tiden för flyttning av dine data
Ju mer data du har, desto längre tid tar det att flytta den. Genom att bli av med den data du inte behöver kan hela processen göras snabbare. Detta innebär mindre driftstopp för din organisation och en snabbare övergång till den nya uppsättningen.

6 – Kom ihåg all data – inte bara dem på ytan
Du måste ha kontroll över all din data, och inte bara de som är lätta att rensa. Det kan finnas massor av data som ska raderas i mejl, pdf-bilagor, i bilder, Excel-ark och såklart i vanliga dokument. Ett enda Powerpoint-presentation med fina grafer och budgetförslag för 2019 kan till exempel innehålla ett inbäddat blad med kommunens alla utgifter (inklusive personnummer och detaljerad information) om kommunens funktionshindrade medborgare.

7 – Etablera roller och ansvar kring data
Att flytta data till molnet är också en bra chans att få ordning på din data. Med tiden har din filenhet säkert blivit en enda röra med föråldrade filer, dubbletter, felplaceringar etc. Genom att rensa innan du flyttar din data säkerställer du att endast relevant data flyttas – men du bör också införa roller och ansvar för hantering av data.

8 – Undvik att allt blir hända igen
I samband med flytten bör du självklart ha etablerade metoder, verktyg och tilldelade ansvar för att det hela inte ska hända igen. Sverige är ett i stor grad digitaliserat land och mängden data i organisationer ökar varje dag.

Rensa upp din data innan du flyttar till molnet – det är logiskt, du sparar tid och pengar och det är bra för miljön. Slutligen, fastställ nödvändiga åtgärder så att det hela inte händer igen. Vi har ett gemensamt ansvar att rensa vårt digitala arv och våra gamla dataskulder – även i en stressig vardag. En stor del av den informationen handlar trots allt om dig och mig.

C: Lyckas med Microsoft Purview

Många organisationer testar Microsoft Purview för att få bättre kontroll över sin data, men tvingas ofta ge upp efter en tid. Purview kräver att du själv bygger och underhåller en avancerad sökstruktur – något som kan bli både komplext och felbenäget. När det sedan är dags att radera data sker det ofta “blint”, utan att du med säkerhet vet om raderingen verkligen har genomförts korrekt.

Men det finns hopp. De vanligaste utmaningarna med Purview går att lösa – och vi visar hur: https://hubs.ly/Q03nwkFK0

D: Dataläcker – är ni förberedda?

Se till att era beredskapsplaner innehåller tydliga rutiner för hur ni snabbt och korrekt identifierar vilken data som har läckt – om olyckan är framme.

Med rätt verktyg kan ni agera direkt, kommunicera sakligt med berörda personer och hantera incidenten på ett ansvarsfullt sätt utifrån faktiskt innehåll i dataläckan – inte gissningar.

Data & More hjälper organisationer som drabbats av dataintrång att snabbt få full insyn i vilken personligt identifierbar och känslig information som har läckt ut. Vi kan även bistå med att identifiera om affärskritisk data exponerats.

Men det bästa rådet är fortfarande det klassiska: “Töm bilen innan tjuven gör det.”

Genom att rensa känslig och gammal data i förväg minskar du konsekvenserna markant – om det värsta skulle inträffa.

Läs mer här: https://hubs.ly/Q03nwmkm0

Få insikt i din data risk – effektivt och gratis

Organisationer har generellt varit dåliga på att rensa bort gammal data. Fortfarande lagras stora mängder information som enligt GDPR borde ha raderats för länge sedan – och ny data tillkommer varje dag. Det är baksidan av ett digitalt samhälle. Vi påverkas alla, både som individer när våra känsliga personuppgifter hamnar i fel händer, och som organisation när Integritetsskyddsmyndigheten knackar på – eller när vi hamnar i media.

För att hjälpa till att säkra organisationer och oss alla som individer erbjuder vi nu gratis skanningar. Det är precis samma typ av lösning som vi annars säljer – och som hanterar över 3 000 000 000 mejl, bilagor, dokument mm varje dag. Det är bara gratis.

• Kom igång på några minuter – ingen installation krävs
• Automatisk genomsökning av din organisations e-postmeddelanden
• Skanningen bygger på myndigheternas GDPR-regler
• Lösningen letar efter innehåll under stor risk, som skulle katastrofalt i händelse av en dataläcka
• Saklig risköversikt som kan laddas ner
• Ingen i din organisation har tillgång till den skannade informationen – inte ens du
• Följ dina nyckeltal, trender och risker över tid.
• Leverantören är från Skandinavien och är ISAE 3402 och GDPR 3000 certifierad
• Alla juridiska dokument (databehandlingsavtal etc.) ingår

Själva skanningen kan ta 1-3 veckor beroende på hur många konton som behöver skannas och hur mycket data det finns. Om du är intresserad av en snabbare eller större skanning – eller om det finns andra typer av data du vill skanna, skriv till mig på abs@dataandmore.com