Bläddra till toppen

Inspiration om GDPR och data

Här hittar du fem artiklar om GDPR och data som kan inspirera dig och hjälpa din organisation på väg.
Du är alltid välkommen att boka ett möte med mig direkt HÄR, eller skriva till mig på abs@dataandmore.com om du vill höra mer eller vill samarbeta med oss.

.

Andreas Strøbek, delägare, Data & More

 

PS: Är du nyfiken på din efterlevnad av GDPR - då erbjuder vi en gratis dataskanning av dina data (se i slutet av texten)

A: Har du koll på dina fildelningssystem?

Saknar ni information om vad som finns i era fildelningssystem? Är ni bekymrade över dataintrång eller anmälningar till Integritetsskyddsmyndigheten (IMY)? Vill ni säkerställa att ni följer lagstiftning på fältet?

 

Få personer kan med gott samvete hålla med följande påståenden:

 

  • Vi lagrar inte olagliga data.
  • Om det sker ett dataintrång på våra fildelningssystem vet vi precis vilka (person)data som kan ha utsatts.
  • Sker det ett ransomware angrepp på våra fildelningssystem finns det inte en risk för att våra företagshemligheter blir stulna.
  • Blir vi utsatt för tillsyn av Integritetsskyddsmyndigheten kan vi snabbt hitta relevant data i vårt fildelningssystem. 

 

Fildelning är som en stor källare: Man behöver aldrig rensa där nere - det finns ju alltid plats för en till papplåda. År efter år fylls källaren av fler papplådor tills vissa papplådor har varit där så länge att ingen längre vet vad det är i dem - eller vem som har lagt dem där nere.

Men så kom GDPR, Ransomware och dataintrång. Allt som allt, ett behov för att rensa i all arv och skuld som har hopat sig, som vi tillsammans har varit med och bidra till år efter år.

Problemet är tyvärr långt större än man skulle kunna tro. Data & More hanterar dagligen över 2 000 000 000 dataset (Excelark, pdf:er, Word-dokument, PowerPoints osv.) för att hjälpa organisationer att följa lagstiftningen och säkerställa respekt för data. Och det visar sig att 3-7% av all data utanför HR-, ärendehanterings- och ekonomisystem är olagliga och borde raderas.

3-7% låter kanske inte som så mycket, men när en organisation med 100 anställda har cirka 150 000 olagliga dataset - då förstår man omfattningen av problemet (gånger antalet anställda om man är fler...). Och bara ett dataset (till exempel ett Excel-ark) kan innehålla mycket personuppgifter och känslig information. Här är några exempel från verkligheten:

  • Ett stort försäkrings- och pensionsbolag hade ett fem år gammalt Excel-ark i deras fildelningssystem med uppgifter om deras kunder, finansiell information, sjukdomar, familjeinformation, personnummer osv. Vi pratar om djupt personliga och känsliga uppgifter om hundratusentals personer, som var tillgängliga för alla anställda under årtionden.
  • Eller vad sägs om en kommun som i samband med deras årliga fastställande av budget hade urgamla Excel-filer med information om handikappade barn i kommunen och relaterade kostnader liggande i den gemensamma fildelningen. 
  • Eller företaget som sparade bilder på pass och körkort från gamla kunder, som länge sedan borde ha raderats.

Jag skulle kunna fortsätta, men poängen är att vi utav respekt för varandras data bör se till att rensa vår data innan den delas med andra - eller sätts till försäljning. Det här är inte ett problem som försvinner av sig själv.

Lyckligtvis finns det lösningar som kan hjälpa med det tunga arbetet, eftersom det är en omöjlig uppgift att rensa manuellt. Genom att till exempel använda en dataskanner till att automatiskt skanna data kan en reell översikt etableras över exakt vad fildelningssystemet innehåller, utan att utsätta sina medarbetare för stress. På så sätt väcker man åtminstone ledningens uppmärksamhet och får förhoppningsvis stöd för att åtgärda problemet. Det är trots allt våra egna data vi pratar om.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

B: På väg mot molnlagring?

Om du planerar att flytta din data till molnlagring (eller byta platform) – då är det en bra idé att rensa bort den data som du inte längre behöver eller har rätt att lagra. Att städa upp gamla, onödiga data er inte bara det logiska att göra – det finns faktiskt en hel del goda skäl till det. Här är några av dem:

 

1 - Du sparar pengar
För det första sparar du pengar på att städa. Molntjänster kostar pengar - och priset baseras ofta på hur mycket data du lagrar och hur ofta du har tillgång till den. Om du rensar upp och tar bort all gammal data som du inte behöver - ja, då har du mindre data att flytta. Det innebär att kostnaderna blir lägre både när du flyttar din data och för själva lagringen i molnet. Tänk på det som att du slipper betala hyra och slipper lagra saker som du ändå aldrig använder.

 

2 - För miljöns skull
Att flytta och lagra data går utöver miljön. All hantering eller lagring av ett e-postmeddelande, en bilaga, filer på filstationer etc. kräver ström. Hur mycket Co2 beror på flera faktorer, men enligt Berners Lees bok "The Carbon Footprint of Everything" är mängden Co2 mellan 30 gr och 5 kg för bara 100 e-postmeddelanden... Räkna sedan ihop hur många e-postmeddelanden du har - och kom ihåg dina data på fildelning.

 

3 - Minimera affärsrisken
Att lagra gamla data innebär en hög affärsrisk, eftersom de ofta innehåller känsliga personuppgifter och affärskritiska data. Att behålla denna data, som du inte längre behöver och som lagras på fel ställen, eller som till och med kan vara djupt olaglig enligt Integritetsskyddsmyndigheten, är en betydande affärsrisk. Många rapporter till Datainspektionen kommer i själva verket från de anställda själva, som är långt ifrån nöjda med hur organisationen (ledningen) prioriterar compliance med lagstiftningen. Och om det sker ett dataintrång och det inte finns någon överblick över organisationens data - då kan det sluta med att massor av dina och mina data plötsligt säljs vidare.

 

4 - Gör det effektivt och spara tid
Ofta blir städningen inte av för att det helt enkelt tar för lång tid. Och i en hektisk vardag är det inte precis det som står högst upp på att-göra-listan. Men Datainspektionens krav på radering har gjort att nya typer av lösningar har kommit ut på marknaden - lösningar som effektivt kan skanna, identifiera och radera data antingen genom att inkludera medarbetaren eller automatiskt, beroende på hur man vill hantera raderingen. Och om man tittar på hur mycket tid man sparar som organisation - så är det ofta en bra lösning på ett annars irriterande och svårt problem.

 

5 - Minimera tiden för att flytta dina data
Ju mer data du har, desto längre tid kommer det att ta att flytta den. Genom att göra dig av med data som du inte behöver kan hela processen göras snabbare. Det innebär mindre stilleståndstid för din organisation och en snabbare övergång till den nya uppsättningen.

 

6 - Kom ihåg alla data - inte bara de ytliga
Du måste ha kontroll över alla dina data, och inte bara de som är lätta att radera. Det kan finnas massor av data som ska raderas i e-postmeddelanden, pdf-bilagor, i bilder, Excel-ark och naturligtvis i vanliga dokument. En enda Powerpoint-presentation med snygga grafer och budgetförslag för 2019 kan t.ex. innehålla ett inbäddat ark med alla kommunens utgifter (inklusive personnummer och detaljerad information) om kommunens funktionshindrade medborgare.

 

7 - Fastställ roller och ansvarsområden kring data
Att flytta data till molnet är också ett bra tillfälle att få ordning på dina data. Med tiden har din hårddisk säkert blivit en enda röra av föråldrade filer, dubbletter, felplaceringar osv. Genom att städa innan du flyttar dina data säkerställer du att endast relevanta data flyttas - men du bör också fastställa roller och ansvarsområden för datahanteringen.

 

8 - Undvik att allt blir sant
I samband med flytten ska ni självklart ha etablerat metoder, verktyg och fördelat ansvar för att säkerställa att detta inte händer igen. Sverige är ett i hög grad digitaliserat land och mängden data i organisationer ökar för varje dag.

Sätt in några ord – rensa upp din data innan du flyttar till den till molnet – det är logiskt, du sparar tid och pengar och det är bra för miljön. Och slutligen, fastställ nödvändiga åtgärder så att det hela inte händer igen. Vi har ett gemensamt ansvar att rensa vårt gamla arv och skulder – även i en hektisk vardag. Mycket av dem är trots allt dina och mina data.

C: Lyckas med Microsoft Purview

Många testar Microsoft Purview för att bättre kunna hantera deras data, men måste ge användandet upp efter en tid. Men det finns faktiskt hopp! De största utmaningarna med Purview kan formuleras i några få meningar - och lyckligtvis kan de alla lösas:

I Purview måste du själv bygga och underhålla en komplex sökmotor som alltid kommer att ha en hög felfrekvens – och som dessutom är otroligt långsam på att söka igenom data. Och om det uppkommer fel eller förändringar ska man börja om igen. Inte all relevant data kan hanteras av Purview - och när du till slut vill radera data – raderar du blint utan att veta om Purview har gjort det ordentligt.

Dessa områden är ofta hinder för organisationer som vill ha kontroll över sin egen data. Jag har därför formulerat de saker som Purview har problem med –ochd de lösningarna som finns tillgänliga.

 

Så var misslyckas Purview ?

 

1. Dålig identifiering av data

Purview kommer med några fördefinierade sökningar. De är långt ifrån vad som behövs och de är inte heller särskilt exakta. Du måste därför själv upprätta alla de många tusen typer av sökningar som är nödvändiga för att till exempel följa GDPR och snart NIS2. Det är ingen dealbreaker – men det är ett enormt jobb som kräver ett helt team av både språkexperter och MS-konsulter. För varje språk du använder i organisationen måste givetvis även en separat uppsättning göras för detta språk. Och då måste man också se till att till exempel inte ett tyskt serienummer förväxlas med det danska personnumret. Tyvärr är komplexiteten i att säkerställa korrekta sökningar både en enorm uppgift och avgörande för framgång.

 

2. Mycket långsam skanning

Purview är en (extremt) långsam datascanner - så att du lätt kan vänta i flera år på att få dina data skannade. Om du har 250 anställda med cirka 100 000 datafiler var (e-postmeddelanden, bilagor, filer etc.) kommer det att ta cirka 365 dagar att skanna all data (multiplicerat om ni är fler). Och det är bara en genomsökning. Eftersom du bara kan köra en skanning med en varaktighet på 7 dagar åt gången, blir det också en projektmässigt tung process att slutföra skanningen av all data.

 

3. Omskanning är ofta nödvändigt

Du behöver såklart justera dina sökningar när du till exempel blir mer kunnig om din egen data, när du vet mer om vad du vill skanna efter, om du vill minimera false positives, etc. Varje ändring kräver en omskanning av alla organisationens data (se ovan).

 

4. Märkning - men bara på ett fåtal data

Märkning är en mycket central funktion i Purview. Det är därför viktigt att rätt data märks med en etikett så att den i efterhand kan hanteras korrekt. Det är dock bara ett fåtal utvalda data som Purview kan skanna och märka. Resten av organisationens data är då ännu omärkt.

 

5. Städning med slutna ögon

Få människor vågar rensa i deres data med slutna ögon utan att veta exakt vad de raderar (data som ofta till och med är felaktigt utvalda). Men det gör du i Purview. Den anställde/dataägaren är inte inblandad – och istället tas beslut om att initiera radering från ett centraliseret team. Detta i sig kan få enorma affärskonsekvenser när viktig data försvinner.

 

Men som sagt, det finns en möjlighet att behålla Purview, öka lanseringen och lyckas:

 

Data & Mores lösning kan övervinna alla dessa utmaningar (och fler) där Purview brister. Du kan till exempel använda Data & Mores lösning som en fristående lösning eller som en kompletterande lösning som hanterar det tyngsta arbetet. På så sätt kan organisationen snabbt börja använda Purview för dess kärnkompetenser.

 

Lite om Data & Mores lösning:

  • Lösningen är klar att använda. Det finns inget behov av konfiguration, programmering etc.
  • Den innehåller hundratusentals fördefinierade och testade sökningar på flera språk
  • Lösningen skannar snabbt och kan hantera enorma mängder data (petabyte)
  • Om sökningar ändras behöver du inte göra skanningen igen
  • Lösningen har alltid kontroll över all data i alla anslutna datakällor - inklusive ny data
  • Markeringar (lables) kan placeras på alla typer av data – som sedan kan användas av t.ex. Purview, DLP mm.Den anställda involveras automatiskt vid behovDen anställda kan dubbelkolla vad som är satt för radering innan det raderasLösningen kan hitta vald data på några sekunder (t.ex. vid åtkomstförfrågningar) över all data

 

I grund och botten gör Data & Mores lösning det hårda arbetet – nämligen att snabbt och effektivt skanna all data och applicera rätt markeringar – på rätt data – i alla relevanta datakällor. Och involverar medarbetaren om uppgifter också ska raderas. Under de senaste åren har Data & More utvecklat och upprätthåller kontinuerligt klassificering för GDPR, CCPA, PIPEPA etc. baserat på miljarder datamängder (e-post, bilagor, filer etc.) varje dag – och den kan användas direkt tillsammans med Purview.

På så sätt får Purview den optimala utgångspunkten för att lyckas.

D: AI även Microsoft CoPilot

När man t.ex. använder Microsoft CoPilot (eller vissa typer av AI), delar man ofta ut data. Men har man inte kontroll över sina data kan man riskera att dela ut stora mängder data till t.ex. Microsoft. Data som inte borde delas, och till och med data som kanske borde ha raderats för länge sedan.

Det är en sak att bli utsatt för ett dataintrång utifrån på grund av t.ex. säkerhetsbrist. En annan sak är att medvetet lägga ut sin organisations data, ofta inklusive andra personers personuppgifter och känsliga data, utan att säkerställa att man exakt vet vilka data man delar.

Om ni är det minsta osäkra på exakt vilka data ni delar - se till att få koll på era egna och andras data innan ni delar dem.

 

E: Dataläck (Data Breach)?!

Se till att dina beredskapsplaner innehåller information om hur du kommer att säkerställa snabb och korrekt insikt i läckt data på ett effektivt sätt om ni har en dataläcka.

Därigenom kan du snabbt kommunicera och hantera dataintrånget i förhållande till de berörda privatpersonerna utifrån saklig information om innehållet i dataläckan.

Data & More hjälper snabbt och effektivt organisationer som har en dataläcka genom att säkerställa full insyn i exakt vilken personlig identifierbar och känslig data som har läckt ut. Självklart kan vi också hjälpa till att avgöra vilken affärskritisk information som har läckt ut.

Men ett gott råd är ändå det välkända "Töm bilen före tjuven" - så se till att rensa upp din data innan. Då är skadan så mycket mindre – om det skulle hända.

Läs mer här: https: //dataandmore.com/sv/data-breach/

 

 

Få insikt i din risk för dataefterlevnad – effektivt och gratis 

Organisationer har inte varit bra på att rensa upp gammal data.  Fortfarande lagras massor av data, som borde ha raderats för länge sedan enligt GDPR – och ny data läggs till varje dag. Det är nackdelen med att leva i ett digitalt samhälle. Vi berörs alla av detta som individer när vår personliga och känsliga information ingår i ett dataintrång – eller som organisation när Integritetsskyddsmyndigheten kommer på besök eller du hamnar i media.

För att hjälpa till att säkra organisationer och oss alla som individer erbjuder vi nu gratis skanningar. Det är precis samma typ av lösning som vi annars säljer – och som hanterar över 2 000 000 000 mejl, bilagor, dokument mm varje dag. Det är bara gratis.

  • Kom igång på några minuter - ingen installation krävs
  • Automatisk genomsökning av din organisations e-postmeddelanden (upp till 250 konton)
  • Skanningen bygger på myndigheternas GDPR-regler
  • Lösningen letar efter innehåll under stor risk, som skulle katastrofalt i händelse av en dataläcka
  • Saklig risköversikt som kan laddas ner
  • Ingen i din organisation har tillgång till den skannade informationen - inte ens du
  • Följ dina nyckeltal, trender och risker över tid.
  • Leverantören är från Skandinavien och är ISAE 3402 och GDPR 3000 certifierad
  • Alla juridiska dokument (databehandlingsavtal etc.) ingår

Själva skanningen kan ta 2-4 veckor beroende på hur många konton som behöver skannas och hur mycket data det finns. Om du är intresserad av en snabbare eller större skanning – eller om det finns andra typer av data du vill skanna, skriv till mig på abs@dataandmore.com

  • Automatiserad Data Compliance: Identifierar och raderar icke-kompatibel integritetsdata med slutanvändarvalidering.
  • Begränsning av dataintrång: Identifierar och rapporterar om registrerade personer som är involverade i ett dataintrång, vilket säkerställer korrekt datavalidering.
  • Copilot Privacy: Förhindrar Microsoft Copilot från att oavsiktligt komma åt känslig information genom att tagga sekretessdata med Microsofts känslighetsetiketter.
  • Data & More för Purview: Förbättrar Purview med fullständig GDPR-sekretessklassificering och ställer automatiskt in Microsofts sekretesskänslighetsetiketter på data.
  • AI-plattform för företagsdata: Använder vår klassificeringsteknik för att identifiera och utnyttja data från stora ostrukturerade arkiv för stora språkmodeller (LLM).