Fler inser fördelarna med GDPR 11 november 2019

Fler ser fördelarna med GDPR-efterlevnad – men behövs mer transparens

När GDPR infördes i mitten av 2018 var det inte direkt till glädjehopp och fanfarer från de organisationer som på något sätt berördes av den nya dataskyddsförordningen. Snarare menade många att det skulle bli svårt att leva upp till kraven, att de var för hårda eller komplexa, att det skulle bli för dyrt och att det i slutändan skulle gå ut över kunderna. I dag är dock tongångarna lite annorlunda, och allt fler organisationer säger sig se fördelarna med att leva upp till GDPR-kraven. 

I en ny undersökning från Check Point, utförd i samarbete med OnePoll, tillfrågade över 1000 europeiska CIO: er, IT-chefer och säkerhetschefer om hur de ser på GDPR med lite perspektiv. Och det är onekligen intressant läsning om de potentiella vinsterna och synergieffekterna med att omfamna GDPR. Först och främst anser 3 av 4 av de svarande att GDPR har förbättrat konsumenternas förtroende. 44 procent av de svarande ser GDPR som ett sätt att effektivisera verksamheten på ett övergripande plan. Särskilt värdefullt anses förordningen vara för IT-säkerheten i organisationen – 73 procent menar att deras datasäkerhet har förbättrats sedan GDPR infördes. Dessutom menar 40 procent att GDPR  ger dem en mer omfattande och fullständig bild av den information som behandlas av deras organisation.

I undersökningen framgår också knappt 60 procent av de tillfrågade anser att deras organisationer ”helt” har antagit alla GDPR-åtgärder, medan bara 4 procent fortfarande väntar på att starta processen. Bland den klara majoritet av organisationer som säger sig vara antingen helt GDPR-efterlevande, eller som har kommit en bra bit på vägen mot att leva upp till alla krav, är det tydligt att förberedelser, investeringar och utbildning varit viktiga initiativ.  Över hälften (53 procent) uppger att deras organisation inrättade en dedikerad arbetsgrupp för GDPR och nästan lika många (45 procent) avsatt medel i sin budget för att täcka kostnaderna för att genomföra GDPR, och 41 procent uppger att de även anlitade konsulthjälp.

Som en del av sina strategier genomförde organisationerna också ett antal tekniska steg för att leva upp till GDPR-kraven. Till exempel uppger 41 procent att  deras organisation utbildat anställda för att de bättre ska förstå datasäkerhetsrisker och lika många organisationer har implementerat nya åtkomst- och krypteringskontrollsystem.

Utbildning en nyckelfaktor för datasäkerhet

Just utbildning av den egna organisationen är en nyckelfaktor för GDPR-efterlevnaden. För det är en sak att införa sekretessbestämmelser och policyer i teorin – och en helt annan sak att få hela organisationen att efterleva dessa fullt ut. Oavsett hur hårt organisationen sliter för att leva upp till nya krav kring exempelvis dataskydd, så kokar allt i slutändan  ner till de anställdas förståelse och beteende. Och enligt den nya undersökningen 2019 Eye on Privacy Report från MediaPRO misslyckas organisationer i hög grad med att utbilda sina anställda kring hur de ska hantera känsliga data, med exempelvis GDPR i åtanke.

Och det är inte heller bara efterlevnaden av GDPR som anställda känner osäkerhet kring. Hela 58 procent av de över 1000 tillfrågade anställda i studien uppgav att de aldrig hade hört talas om PCI-standarden för skydd av kreditkortsuppgifter. Hur mycket kunskap anställda har kring dessa frågor varierar beroende på deras arbetsuppgifter. Till exempel visar undersökningen också att 73 procent av anställda på IT-avdelningen rankar personuppgifter som mest känsliga data, jämfört med 88 procent av de anställda i alla andra sektorer. Inloggningsuppgifter ansågs överlag vara viktigast att skydda, vilket är förståeligt – men det säkerhetsarbetet får aldrig överskugga andra känsliga områden.

Okunskap medför stora risker för datahanteringen

Att anställda inte känner till grunderna i lagstiftningar och policyer kan snabbt få katastrofala följdkonsekvenser för ett företag. Om de till exempel saknar förståelse och kompetens för att identifiera vad som utgör personlig information, kommer de i hög utsträckning heller inte att tillämpa korrekta datahanteringsrestriktioner eller missa att kryptera data, vilket i förlängningen leder till att kritisk information hamnar i riskzonen för till exempel dataintrång.

Och när anställda inte förstår vilka skyldigheter deras organisation har gentemot konsumenter, kan de intet ont anande utforma en marknadsföringskampanj eller en webbplatsfunktion som de facto bryter mot dataskyddslagstifntingar genom att samla in data eller göra e-postutskick utan konsumentens medgivande. Eller, om de inte klarar av att identifiera vilka problem som kräver snabba åtgärder, så kan de misslyckas med att rapportera en incident som i slutändan leder till att känsliga data läcker ut. Till exempel ansåg hela 12 procent av de tillfrågade i undersökningen att en incident där cyberkriminella kom över personuppgifter (som namn, adresser och personnummer) till ett flertal av företagets kunder, inte behövde rapporteras.

En bidragande orsak till problemet kan enligt MediaPRO vara att människor inte gör kopplingen mellan integritet och säkerhet på företaget och i sitt privatliv. Många som inte personligen har påverkats av till exempel identitetsstöld, tenderar att inte heller se det som ett allvarligt hot i jobbsituationer. Därför menar MediaPRO att det är av yttersta vikt att utbilda anställda och försöka ge dem kunskap och incitament att fullt ut omfamna integritetsfrågor och att tillämpa sina nya kunskaper både i hemmet och i arbetslivet.

Krävs mer än bara efterlevnad för ökat kundförtroende

Att organisationer tycks vara medvetna om att GDPR kan borga för ett ökat kundförtroende är förstås positivt, men det är ändå inte någon naturlag att en bra GDPR-efterlevnad gör att kunderna känner sig tryggare. Framför allt upplever många människor att GDPR inte har lett till att spelreglerna kring hanteringen av personuppgifter blivit signifikant mer transparenta och lättförståeliga. Till exempel uppger över fyra av tio (42 procent) svenskar att de är oroade över hur deras digitala information hanteras och för att den används i syften som de inte är bekväma med. Det är en lika stor andel som innan GDPR trädde i kraft – och dubbelt så stor andel som för bara fyra år sedan. Det visar undersökningen. ”Delade meningar 2019” som genomförts av Insight Intelligence i samarbete med IAB, Cirio Advokatbyrå, Ports Group och Skatteverket.

Sedan 2015 har också andelen svenskar som ser den ökade insamlingen av personlig digital information som ett stort problem fördubblats, från 30 procent till dagens 62 procent – och andelen är lika stor efter som innan GDPR. Förvisso uppger hela 94 procent av de svarande att de har god kännedom om GDPR – men bara 17 procent menar att den nya lagstiftningen gjort att de nu känner sig mer trygga med att dela information digitalt.

Dessutom menar 45 procent av de svarande att de inte anser sig ha något annat val än att dela med sig av personlig information till olika digitala aktörer, och en tredjedel upplever att deras utrymme att själva bestämma över sin information har minskat under det senaste året. Främst oroar sig de svarande för hur deras information hanteras av sociala medier, på andra plats hamnade oro för integriteten i sökmotorer.

Fler agerar själva för ökad dataintegritet

I takt med att insikten och förståelsen för de här frågorna ökat, har också allt flera svenskar själva börjat ta till åtgärder för att öka sin integritet på nätet. Var tredje tillfrågad uppger att hen under den senaste månaden tagit bort en mobilapp på grund av oro och frågetecken kring integriteten. En  fjärdedel av de svarande har under den senaste månaden avbrutit ett onlineköp av samma skäl.

I den svenska undersökningen uppger 94 procent att de har god kännedom om GDPR. Men bara 17 procent känner sig mer trygga att dela information digitalt till följd av förordningen.Så vad skulle kunna göras för att svenskarna skulle känna mer tillit på nätet? Först och främst mer transparens och lättförståelig information – två tredjedelar av svenskarna kan tänka sig att byta digital tjänst om en annan tjänst är mer öppen med hur personlig information hanteras.

Med andra ord en tydlig fingervisning till alla aktörer på nätet – transparens är inte bara schysst mot användarna, det kan också vara en del av affärsidén och en konkurrensfördel.

 

Läs vidare
Visa alla artiklar