Anledningen till varför du behöver ta dataskydd på allvar - och hur ESET kan hjälpa till

LADDA NER GRATIS GUIDE
Vad är GDPR?

Är ni förberedda inför GDPR?

I maj 2018 träder en ny dataskyddslag i kraft inom EU.

Om den påverkar dig bör du tänka på åtgärder redan nu. Denna sida är till för att hjälpa dig att förstå GDPR, vad som kommer att krävas av dig och ditt företag, och erbjuda lösningar. The General Data Protection Regulation (GDPR) kommer att påverka alla organisationer inom Europa som behandlar personuppgifter på något sätt. Lagen påverkar också alla företag som gör affärer inom EU. Reglerna är komplexa och böter kan utfärdas om man inte följer dem, på upp till 20 miljoner Euro.

Men du är på rätt ställe för att undvika detta och att lära dig mera!

calendar due date GDPR

LADDA NER GRATIS GUIDE

ESET har tillsammans med juridiska rådgivare tagit fram denna djupgående guide (eng) för att visa hur den nya EU-förordningen kommer att påverka dig. Du kan också läsa mer här nedan.

guide general data protection regulation

Online - kolla om du följer reglerna

Följer ditt företag de nya reglerna?

Att följa GDPR, steg för steg

Konsekvenserna av GDPR är komplexa, så vi har brutit ner processen att följa GDPR i tre grupper av åtgärder som du bör överväga, indelade i olika områden med mer detaljerad förklaring. Klicka bara på staplarna i diagrammet nedan för att undersöka dessa områden.

+Sammanfattning

Några av de principer som anges i GDPR är en fortsättning på de som anges i det befintliga direktivet om dataskydd, nämligen: rättvisa, lagenlighet och öppenhet, begränsning av syfte, minimering av data, datakvalitet, säkerhet, integritet och sekretess.

GDPR etablerar en ny princip för ansvarsskyldighet genom en dataskyddsansvarig som är ansvarig för att principerna följs. Dessutom lägger GDPR nya aspekter till de befintliga principerna för dataskydd, enligt följande

Laglighet, rättvisa och öppenhet – Personuppgifter måste nu behandlas på ett öppet sätt i förhållande till den registrerade.

Begränsning av syfte – Med vissa försiktighetsåtgärder anses arkivering av personuppgifter, som är av allmänt intresse, inte vara oförenliga med de ursprungliga bearbetningsformerna.

Lagring – Personuppgifter måste hållas i en form som inte tillåter identifiering av en berörd person  längre än vad som är nödvändigt för de ändamål som personuppgifterna behandlas.

Ansvar – Dataskyddsansvarig ansvarar för, och måste kunna visa, att principerna följs.

+Organisatoriska strukturella krav

Enligt GDPR måste du genomföra ett brett spektrum av åtgärder för att säkerställa att du minskar risken för att bryta den nya lagen och bevisa att du tar datastyrning på allvar. Bland de nödvändiga ansvarsföreskrifterna är: Konsekvensanalys av personuppgifter, revisioner, policyöversikter, aktivitetsregister och (eventuellt) utnämning av dataskyddsansvarig. (Data privacy officer – DPO).

I och med GDPR införs skyldigheten för vissa organisationer att utse en dataskyddsansvarig (DPO). Organisationer måste utse en anställd eller en extern konsult som sin DPO.

Om du är marknadsförare med en stor konsumentdatabas måste du förmodligen utse en DPO. Nationella dataskyddsmyndigheter förväntas ge vägledning om vem som kvalificerar sig.

Din DPO ansvarar för att övervaka överensstämmelsen med GDPR, ge dig råd om dina skyldigheter, ge råd om när och hur en konsekvensbedömning ska genomföras och vara kontaktpunkt vid förfrågningar från nationella dataskyddsmyndigheter och enskilda personer.

Konceptet med en one-stop shop gör det möjligt för en organisation som är etablerad i flera EU-länder att bara hantera en nationell dataskyddsmyndighet , fast reglerna för att bestämma vilken DPA som ska ta denna roll och hur de skulle hantera klagomål, är i vissa fall komplexa.

+Processer, förfaranden och policys

GDPR definierar en dataöverträdelse som “ett brott mot säkerheten som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av, eller tillgång till, personuppgifter som överförts, lagrats eller på annat sätt bearbetats”.

Detta är en bredare definition än tidigare och tar inte hänsyn till om överträdelsen skapar skada för individen. Om du utsätts för ett datasäkerhetsbrott, måste du informera din nationella dataskyddsmyndighet senast 72 timmar efter att överträdelsen upptäckts.

Du är dock befriad från att meddela personerna i fråga om du har genomfört lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, till exempel kryptering.

En viktig del av att följa GDPR är integritet genom design, dvs. att utforma varje ny process eller produkt med framförallt integritetskrav i centrum. Detta tillvägagångssätt, som tidigare var bästa praxis, är nu ett uttryckligt krav.

En konsekvensbedömning för dataskydd, även känd som Privacy Impact assessment (PIA), syftar till att identifiera och minimera risker för bristande överensstämmelse.

GDPR gör PIAs till ett formellt krav; specifikt, kontrollanter måste se till att en PIA har genomförts, innan det påbörjas, någon behandlingsaktivitet av “hög risk”.

Om du arbetar internationellt är dina regler och processer för överföra data till icke EU jurisdiktioner kommer att vara en betydande övervägning, eftersom överensstämmelse eller överföring av uppgifter till jurisdiktioner som inte erkänns (av Europeiska kommissionen) till att ha en lämpling uppgiftsskyddsförordning blir mycket allvarligare under GDPR.

+Medvetenhet om datasäkerhet

Nu är det dags att börja förklara behovet av att följa GDPR för dina egna medarbetare. Du kan redan nu behöva börja planera ändrade förfaranden för att hantera GDPRs nya regler för öppenhet och individuella rättigheter. Detta kan ha betydande ekonomiska, IT- och utbildnings-effekter.

+Ansvar - tekniska åtgärder

GDPR gör kontrollanter ansvariga för att visa överensstämmelse med sina dataskyddsbestämmelser, så du måste se till att ni har klara policys för att bevisa att ni uppfyller de nödvändiga standarderna genom att regelbundet övervaka, granska och utvärdera era databehandlingsförfaranden, bygga upp skyddsåtgärder och se till att er personal är utbildad för att förstå sina skyldigheter – Och var redo att visa detta när som helst, när det krävs av er nationella dataskyddsmyndighet.

+Dataöverträdelse - tekniska åtgärder

Ni måste förbereda er för överträdelser mot datasäkerheten (definierat som “brott mot säkerheten som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av, eller tillgång till, överförda personuppgifter, lagrade eller på annat sätt behandlade”) genom att sätta tydliga policys och beprövade rutiner på plats för att säkerställa att ni kan reagera på och meddela eventuella överträdelser om det behövs.

Att inte anmäla ett brott när det krävs kan resultera i böter, såväl som böter för själva överträdelsen mot datasäkerheten.

+Säkerställ datafrågor - tekniskt

GDPR stärker rättigheter för berörda personer , till exempel genom rätten att kräva information om data som behandlas och rör dem själva, tillgång till data under vissa omständigheter och korrigering av data som är fel.

Ett av huvudmålen med GDPR är att stärka individernas rättigheter. Som resultat kommer reglerna för att hantera ansökningar om tillgång till berörd person att ändras, och ni måste uppdatera era rutiner för att avspegla detta.

I allmänhet får du inte ta betalt för att följa en begäran. Du kommer även att normalt bara ha en månad på dig att följa begäran (den nuvarande gränsen är 40 dagar)

Rätten att glömmas bort (‘radering’ i GDPRs terminologi) tillåter individer att kräva av kontrollanter att deras data eller personuppgifter raderas utan oskälig fördröjning i vissa situationer, till exempel om det finns ett problem med bearbetningens underliggande laglighet eller om de återkallar sitt samtycke.

Tredje part med vilka du delar en individs data omfattas också av dessa regler.

GDPR definierar profilering som “någon form av automatiserad behandling av personuppgifter som består av användningen av personuppgifter för att utvärdera vissa personliga aspekter som rör en fysisk person, särskilt för att analysera eller förutsäga vissa aspekter beträffande den fysiska personens prestationer på arbetsplatsen, ekonomiska situationer, hälsa, personliga referenser, intressen, tillförlitlighet, beteende, plats eller rörelse”; det finns emellertid viss tvetydighet angående om att berörda personers rätt att inte bedömas baserat på profilering kommer verkställas.

GDPR introducerar en ny rätt till dataöverförbarhet som går utöver individers rätt att kräva utlämnande av uppgifterna i en vanlig elektronisk form och kräver att kontrollanten tillhandahåller information i en strukturerad, allmänt använd och maskinläsbar form.

Det finns vissa begränsningar för denna regel, till exempel gäller den endast personuppgifter som behandlas med automatiska medel.

Som en del av sitt syfte att stärka individernas rättigheter, ger Europeiska kommissionen också rätt att begränsa viss bearbetning och en rätt till invändning mot personuppgifter som behandlats för direkt marknadsföring.

När en individ invänder, får deras data inte behandlas för direktmarknadsföring längre och individens kontaktuppgifter ska läggas till i en intern undantagsfil.

Organisationer måste informera individer om deras rätt att göra invändningar mot behandlingen av deras uppgifter på ett sätt som är uttryckligt och separat från annan information som de också måste tillhandahålla individer.

+Kommunicera sekretessinformation (Godkännanden, rättvisa meddelande om behandling)

Du kan behöva granska hur du söker, skaffar och registrerar en berörd persons samtycke . Personuppgifter måste vara lika lätt att dra tillbaka som att ge, och du måste även ha fått en positiv indikation på att personuppgifter får lov att behandlas – den slutsatsen kan inte dras från tystnad, förkryssade rutor eller inaktivitet.

GDPR ger särskilda skydd när det gäller hantering av personuppgifter som rör barn, särskilt när det gäller kommersiella internettjänster som socialt nätverkande.

Online krävs föräldrars samtycke för användande av personuppgifter för alla under 13 år.

Som ett resultat bör du börja tänka på hur man implementerar robusta system för att verifiera individernas åldrar och att samla föräldrarnas eller vårdnadshavarens samtycke att behandla sådana data.

Samtycke måste vara verifierbart, och när ni samlar barns uppgifter måste ert sekretessmeddelande skrivas på ett sätt så barnen förstår.

GDPR kommer förmodligen att öka utbudet av information ni måste ge till berörda personer , till exempel din rättsliga grund för att behandla deras uppgifter, dina datalagringsperioder och deras rätt att klaga till sin nationella dataskyddsmyndighet. Om de tror att det finns ett problem med hur du hanterar deras data, notera att GDPR kräver att denna information tillhandahålls på ett kortfattat och tydligt språk.

+Datasäkerhet ( Integritet och sekretess)

GDPR innehåller principer för datasäkerhet som liknar dem i det nuvarande direktivet, bland annat: rättvisa, laglighet och öppenhet; begränsning av syftet; data minimering; datakvalitet; säkerhet, integritet och sekretess.

Ni måste se till att personuppgifter bearbetas på ett sätt som säkerställer dess säkerhet, inklusive skydd mot otillåten eller olaglig behandling, och mot oavsiktlig förlust, förstörelse eller skada: “organisationen och varje outsourcad tjänsteleverantör ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken”.

Förordningen föreslår ett antal säkerhetsåtgärder som kan användas för att uppnå dataskydd, inklusive: pseudonymisering och kryptering av personuppgifter; förmågan att säkerställa fortlöpande sekretess, integritet, tillgänglighet och stabilitet hos system och tjänster som behandlar personuppgifter; förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid i händelse av en fysisk eller teknisk incident; och en process för att regelbundet testa, utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten för personuppgifter.

GDPR anger kryptering som ett tillvägagångssätt som kan bidra till att säkerställa att vissa av sina skyldigheter följs. Att citera från förordningen:

Artikel 32 – Säkerhet för bearbetning

“1.   Med hänsyn till den senaste tekniken, kostnaderna för genomförandet och omfattningen, sammanhanget och syftet med bearbetningen samt risken för varierande sannolikhet och allvar för fysiska personers rättigheter och friheter så ska kontrollant och processor implementera korrekta tekniska och organisatoriska mätvärden för att säkerställa en säkerhetsnivå som är lämplig för risken: (a) pseudonymisering och kryptering av personuppgifter […]”

Artikel 34 – meddelande om brott mot personuppgifter till den registrerade

“3. meddelandet till den berörda personen som avses i punkt 1 ska inte krävas om något av följande villkor är uppfyllt: (a) En kontrollant har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och tillämpat de åtgärder på de personuppgifter som berörs av brott mot personuppgifter, särskilt de som gör personuppgifterna oförståliga för någon person som inte har behörighet att komma åt det, såsom kryptering […]”

+Datadokumentation, rättslig grund och revision

Du bör dokumentera vilka personuppgifter du hanterar, varifrån de kommer och med vilka du delar dem.

Om du har felaktiga personuppgifter och har delat dem med en annan organisation, kräver GDPR att du berättar för den andra organisationen om felaktigheten så att den kan rätta till sina egna poster. För att göra detta kan det krävas en informationsgranskning i hela organisationen eller inom specifika affärsområden. Detta kommer också att hjälpa dig att följa GDPRs ansvarighetsprincip.

Enligt GDPR bör du undersöka hur du behandlar personuppgifter och identifiera den rättsliga grunden för vilken du utför och dokumenterar dessa processer.

Detta är nödvändigt eftersom vissa individers rättigheter kommer att ändras av GDPR beroende på din rättsliga grund för behandling av personuppgifter. Ett exempel är att människor kommer att få en starkare rätt att ta bort sin data där du använder samtycke som din rättsliga grund för behandling. Samtycke är dock bara ett av flera olika sätt att legitimera bearbetningsaktiviteten och kanske inte är den bästa (eftersom det kan dras tillbaka).

Informationen som presenteras på denna webbsida utgör inte en juridisk grund, och användarna bör inte lita på dess noggrannhet när de fattar ekonomiska eller affärsmässiga beslut. ESET kommer inte att vara ansvarig för resultat som härrör från sådana åtgärder. Sök alltid oberoende juridisk rådgivning.

Gå med på vår GDPR-webinarie

Tala med våra experter om hur den nya allmänna dataskyddsförordningen kommer att påverka ditt företag. ESET bjuder in till kostnadsfria webinarium för att förklara problemen kring GDPR. Registrera dig nedan så bjuder vi in till nästa tillfälle.

Kryptering som en lösning

Vad är Kryptering?

Kryptering är processen att koda information på ett sätt som hindrar obehöriga från att kunna läsa den.

Krypteringsnyckelns längd och krypteringens styrka

Krypteringsstyrkan är oftast lika med nyckellängden (bitar) och den använda krypteringsalgoritmen. Det enklaste sättet att knäcka en kryptering är att prova alla möjliga nycklar. Detta är känt som en brute-force attack men längre nycklar har gjort detta tillvägagångssätt ineffektivt.

För att använda “brute-force” på en 128-bit AES nyckel, så skulle var och en av de ungefär 7 miljarder människor på jorden behöva kontrollera 1 miljard nycklar i sekunden i omkring 1,5 biljoner år för att gå igenom varje nyckelkombination.

Så användare försöker normalt inte att omvandla algoritmen eller köra brute-force. De letar istället efter sårbarheter i krypteringsprogrammet eller försöker infektera systemet med skadlig kod för att fånga in lösenord eller nyckeln när de bearbetas.

För att minimera dessa risker bör ni använda en oberoende validerad krypteringsprodukt och köra en avancerad och uppdaterad lösning av anti-malware.

Hur fungerar det?

Kryptering läggs till, vanligen på två olika sätt:

Krypterad lagring – benämns ofta som ‘data i vila’ – används oftast för att kryptera en hel disk eller enhet.

Denna typ av kryptering är effektiv först när systemet är stoppat, disken är utmatad eller krypteringsnyckeln blockerat.

Krypterat innehåll – kallas även granulär kryptering – betyder typiskt, kryptering av filer eller text på applikationsnivå.

Det vanligaste exemplet är kryptering av e-post, där meddelandeformatet måste förbli intakt för att e-postklienten ska kunna hantera det, men textmeddelandet tillsammans med alla bilagor krypteras.

eset data encryption example

Vilka fördelar kan man få med kryptering?

Längden på nyckeln och utbudet av programvarufunktioner är viktiga, men berättar inte hur bra produkten kommer att prestera från användarens perspektiv – eller från administratörens perspektiv.

FIPS - 140 validering

Den mest accepterade oberoende valideringen är FIPS-140 standarden. Om en produkt valideras till FIPS-140 är den redan säkrare än de flesta situationer kräver och kommer att vara acceptabel enligt GDPR och andra regler.

Lätt att använda för mindre tekniska användare

Det kommer alltid att finnas situationer där era anställda kommer behöva bestämma hurvida ett dokument, e-post etc. ska krypteras. Det är viktigt att de kan använda den tillhandahållna mjukvaran och att de kan vara säkra på att krypterad data inte låser dem ute.

Fjärrhantering av krypteringsnycklar, inställningar och säkerhetspolicyer

För att undvika att personal ska behöva ta säkerhetsbeslut kan kryptering tvingas överallt – men det kan begränsa legitima affärsprocesser och motarbeta produktiviteten. Möjlighet till fjärrhantering (en som tillåter byte av krypteringsnycklar, funktionalitet eller säkerhetspolicyinställningar för fjärranslutna användare, vilka representerar det största säkerhetsproblemet) innebär att standardinställningarna för tillämpad kryptering och säkerhetspolicys kan ställas in högre utan att begränsa normala processer på andra ställen inom företaget.

Hantering av krypteringsnycklar

En av de största användningsutmaningarna är hur användarna förväntas dela krypterad information. Det finns två traditionella metoder:

Delade lösenord, vilka lider av att vara lätta-att-komma-ihåg-och-osäkra eller omöjliga-att-komma-ihåg-och-säkra-men-nedskrivna-eller-bortglömda.

Kryptering med allmän nyckel, fungerar bra i mindre arbetsgrupper med ingen eller låg personalomsättning men blir komplex och problematisk med större eller mer dynamiska team.

Med hjälp av central hantering så undviker delade krypteringsnycklar dessa problem med den tillagda bonusen att spegla hur fysiska nycklar används till att låsa våra hus, lägenheter, bilar etc. Personalen förstår redan detta koncept och det behöver bara förklaras en gång. Tillsammans med ett premium fjärrhanterings system, blir delade krypteringsnycklar den optimala balansen mellan säkerhet och användbarhet.

Testa DESlock Encryption gratis

Fyll bara i dina uppgifter så får du en testlicens som gör att du kan uppleva fördelarna med kryptering av ESET.
Som en uppföljning kan en ESET-partner kontakta dig via telefon eller e-post.

Hur ESET kan hjälpa till

Vår lösning:
DESlock Encryption av ESET

Kryptering av personuppgifterna i era system kan hjälpa till att uppfylla många krav avseende GDPR. ESET’s lösning är kraftfull, enkel att distribuera och kan på ett säkert sätt kryptera hårddiskar, flyttbara media, filer och e-post.

DESlock Encryption gör att ni kan uppfylla datasäkerhetsförpliktelser genom att enkelt tillämpa krypteringspolicyer samtidigt som produktiviteten är hög. DESlock har kort implementeringstid och ingen annan produkt kan matcha DESlock gällande flexibilitet och användarvänlighet.

Klientsidan kräver minimal användarinteraktion, har förbättrad kompabilitet och säkerhet för era företagsuppgifter från ett enda MSI-paket. Serversidan gör det enkelt att hantera användare och arbetsstationer samt utöka skyddet på ert företag utanför företagsnätverket.

Vad DESlock Encryption erbjuder

Enkel och kraftfull kryptering för organisationer av alla storlekar, krypterar säkert filer på hårddiskar, bärbara enheter och skickas via e-post.

Certifiering: FIPS 140-2 Validerad 256 bit AES kryptering för stark säkerhet.

Hybrid-cloud baserad hanteringsserver för full fjärrkontroll av krypteringsnycklar och säkerhetspolicy.

Stöd för Microsoft® Windows® 10, 8, 8.1 inklusive UEFI och GPT, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS

Algoritmer & standarder: AES 256 bit, AES 128 bit, SHA 256 bit, SHA1 160 bit, RSA 1024 bit, Triple DES 112 bit, Blowfish 128 bit

DESlock+ Pro – Fördelarna i detalj

Fulldisk-kryptering
Snabb “pre-boot” säkerhet med full insyn

Flyttbar media-kryptering
Policy-driven flyttbar media-kryptering som passar alla företags säkerhetspolicys

Outlook plugin för e-post & bifogade filer
Skicka och ta emot krypterad e-post och krypterade bilagor enkelt genom Outlook

Virtuella diskar & krypterade arkiv
Skapa en säker krypterad volym på din dator, på annan plats eller en krypterad kopia av hela katalogträdet och dess filer

Fil- & mapp-kryptering
Snabb och transparent, ger ett extra lager av säkerhet.

Text & urklipp-kryptering
Kryptera allt eller delar av en textruta – webläsare, webmail eller databasfält av typen memo/long text

Kompatibel med centraliserad hantering
Full kontroll av licensiering och mjukvarufunktioner, säkerhetspolicys och krypteringsnycklar.

DESlock+ Go portabel kryptering
Enkel programvara att använda “på-enhet” för distribuering på olicensierade system.

Testa DESlock Encryption gratis

Fyll bara i dina uppgifter så får du en testlicens som gör att du kan uppleva fördelarna med kryptering av ESET. Som en uppföljning kommer en ESET-partner kontakta dig via telefon eller e-post.

Vi använder "cookies" för att ni ska få en så bra upplevelse som möjligt på vår websida. Mer info.

OK