Er dere en start-up? Da må du lese videre om GDPR og informasjonssikkerhet:

Det er lett å tenke at personvern og informasjonssikkerhet er noe man kan utsette eller ikke trenger å legge for mye vekt på som en start-up - “vi er jo bare i startfasen”.

Men plutselig vokser virksomheten, datasikkerheten og GDPR har blitt nedprioritert og konsekvenser følger. Hva skal til for å unngå dette? 

Rolf Haavik er Habberstad sin fagspesialist innen personvern og informasjonssikkerhet, og er personvernombud for flere virksomheter. Rolf har jobbet med flere startup-selskaper som senere har vokst seg store. Her deler han sine beste råd for å unngå GDPR-kniper i fremtiden som oppstartsbedrift:

Hvorfor er dette aktuelt?

Det har kommet utrolig mange innovative skytjenester de siste årene, og det er veldig nyttig for oss alle! Det skal være i Sky og «Mobile First», det skal være enkelt og selvforklarende. Ikke minst har det blitt mye lettere å levere gode tjenester gjennom nye driftsplattformer for skytjenester som AWS, Azure og Google.

Det har også blitt enklere å lage slike tjenester. De er raskere å ta i bruk på kundesiden og er ofte rimelig priset. Drift blir sentralisert til meget profesjonelle virksomheter, og mye god sikkerhet bygges inn i løsningene. I tillegg kan man enkelt skifte løsninger når man ønsker det. Det er ingen tvil om at denne utviklingen er positiv på mange måter. Men..

Ofte er det overraskende små selskaper som lager disse løsningene

Et typisk scenario hos en oppstartsbedrift: De shopper skytjenester, syr dem sammen gjennom gode API-er og har ingen egen drift. Men så, når tjenesten er lansert og større kunder etter hvert strømmer til, krever kundene at det skal inngås en databehandleravtale.

Sannhetens øyeblikk er kommet! Personopplysningsloven og GDPR skal oppfylles, informasjonssikkerhet skal være på plass og dette har ikke vært hovedfokus hos leverandøren i den kreative fasen, naturlig nok.
Situasjonen kan ofte være at man har underskrevet databehandleravtaler med kunder uten å ha alt på plass

Det er ikke etablert rutiner rundt internkontroll for informasjonssikkerhet og personvern slik  personopplysningsloven krever. Det er ikke risikobasert sikkerhet, prinsipper for behandlingen følges ikke og de registrertes rettigheter er ikke innfridd. Mye av dette kan være på plass i hodene på gründerne, men det mangler dokumentasjon. Tjenesteleverandøren oppfyller kanskje ikke kravene i databehandleravtalen, noe som kan få konsekvenser ved at andre leverandører velges ved neste korsvei.

Mer alvorlig er det om Datatilsynet skulle komme inn i bildet. Det kan skje etter en lekkasje av informasjon eller klager på personvern fra brukere. Et tilsyn vil kunne resultere i bøter ved brudd på GDPR. Botens størrelse er avhengig av hvor kritiske personopplysningene er og omfanget på behandlingen.

Så hva er løsningen?

Å etablere en internkontroll for informasjonssikkerhet starter med å utarbeide styrende dokumenter som dokumenterer hvordan de ulike kravene oppfylles i virksomheten. Det er policy dokument, veiledere for brukere og rutiner for ulike arbeidsoppgaver i et internkontrollsystem. Frekvens for ledelsens gjennomgang, egenkontroll og revisjon må også besluttes.

For en liten organisasjon er det en utfordring å få dette tilpasset til organisasjonen på en god måte. Ikke minst å opprettholde over tid. Derfor må tiltak være tilpasset virksomhetens størrelse og risikobilde.
Risikobasert informasjonssikkerhet får en ved å gjennomføre risikovurderinger, eventuelt vurdering av personvernkonsekvenser og penetrasjonstester. All kritisk informasjon må kartlegges. Definer passende sikkerhetstiltak, planlegg gjennomføring av tiltak og oppfølging av risikobildet over tid. Kontinuerlig forbedring er mantra her.

Det gjelder også å få opp en tilstrekkelig bevissthet, forståelse og kompetanse om personvernet rolle i virksomheten. For å sikre at virksomheten har fokus på sikkerhet og være proaktive bistår Habberstad med å etablere internkontroll

Slik kommer du i gang: 

• Etabler en sikkerhetsorganisasjon, med roller og ansvar. Det «noen» skal gjøre, blir ofte aldri gjort!
• Etabler policy for informasjonssikkerhet og personvern og tilpassede veiledere for ulike målgrupper.
• Kartlegg personopplysninger og utarbeid en protokoll og en systemoversikt.
• Gjennomfør risikovurderinger, eventuelt vurdering av personvernkonsekvenser eller penetrasjonstester.
• Etabler nødvendige rutiner for personvern i utvikling og drift som sikrer personopplysningssikkerheten.
• Sikre at virksomheten har tilstrekkelig bevissthet, forståelse og kompetanse på personvern slik at kontinuerlig forbedring finner sted.
  
  

Habberstad har bistått en rekke virksomheter med å få alt på plass, og kan anbefale hva som er tilstrekkelig internkontroll for informasjonssikkerhet og personvern.

Har du flere spørsmål rundt dette mer internkontroll, GDPR og informasjonssikkerhet, eller er du i startfasen av og etablerer.  Vi tar gjerne en prat og ser på deres situasjon og hvordan dette kan kvalitetssikres.

Ta kontakt med vår fagansvarlige for personvern og informasjonssikkerhet, Rolf Haavik:

E-post: rolf.haavik@habberstad.no

Telefon: +47 90 73 37 60