7 av 10 företag ännu inte redo för GDPR

EU:s nya dataskyddslag GDPR träder i kraft om drygt två månader, men 72 procent av företagen och myndigheterna i Sverige har ännu inte till fullo anpassat sina rutiner och regelverk för hantering av personuppgifter enligt de skärpta kraven. Endast 28 procent av företagen och 13 procent av myndigheterna uppger att de är redo för GDPR idag. Det visar en undersökning bland 250 IT-ansvariga på företag och myndigheter som Novus gjort på uppdrag av Inrego.

Trots att de nya reglerna införs om cirka två månader har majoriteten av företagen ännu inte gjort sin hemläxa, enligt en aktuell studie som Novus genomfört bland IT-ansvariga i privat och offentlig sektor.

I undersökningen fick respondenterna ta ställning till följandepåstående: Vi har idag helt och hållet anpassat rutiner och regelverk för hantering av personuppgifter efter EU:s nya dataskyddslag GDPR.

22 procent anger att de har anpassat sina verksamheter fullt ut, men 63 procent har endast gjort det delvis och ytterligare 9 procent har inte gjort det alls. Med andra ord: 72 procent är inte redo för GDPR än.

Så här svarade de IT-ansvariga:

Stämmer helt: 22 % (28 % i privat sektor respektive 13 % i offentlig sektor)
Stämmer delvis: 63 % (55 % i privat sektor respektive 74 % i offentlig sektor)
Stämmer inte: 9 % (8 % i privat sektor respektive 10 % i offentlig sektor)
Vet ej: 6 % (9 % i privat sektor respektive 3 % i offentlig sektor)

– Det börjar bli bråttom att ställa om och jag tror att många inte tänker på att skydda informationen i den utrustning som är avskriven. Med GDPR blir det ännu viktigare för organisationer att dels skapa en säker hantering av IT-utrustning som fasas ut, dels att säkerställa att all data raderas på ett korrekt sätt och inte kan återskapas. Dessutom måste man kunna påvisa att så har skett genom exempelvis raderingscertifikat, säger Andreas Ericson, säkerhetschef på Inrego som är specialiserat på återanvändning och dataradering av IT-utrustning och har en process som lever upp till kraven i dataskyddsförordningen.

Om GDPR
General Data Protection Regulation (GDPR), eller dataskyddsförordningen som den kallas på svenska, innebär hårdare krav på hur myndigheter och företag hanterar och lagrar personuppgifter, det vill säga information som kan härledas till en person som namn, adress, epost, telefonnummer mm.

Lagen börjar gälla den 25 maj i hela EU och gör det möjligt för Datainspektionen att döma ut böter på upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen till företag som exempelvis hanterar personuppgifter utan lagligt stöd eller inte skyddar personuppgifter med lämpliga säkerhetsåtgärder.

Reglerna ställer bland annat krav på spårbarhet och att man har kontroll på de personuppgifter som lagras i till exempel databaser, system och på lagringsmedia i datorer, mobiler och skrivare med mera. Därmed är det mycket viktigt att skapa en säker hantering av den IT-utrustning som avyttras, läggs i förråd eller skänks bort, särskilt med tanke på att personer som är registrerade har rätt att få sina uppgifter raderade enligt lagen.

Om undersökningen
På uppdrag av Inrego har Novus under januari 2018 genomfört telefonintervjuer med 250 IT-chefer/IT-ansvariga i offentlig sektor (+250 anställda) samt privata företag (fördelat på tre grupper: 50-250 anställda, 250-500 anställda samt +500 anställda). Totalt 100 offentliga organisationer samt 150 privata företag ingår i studien. Företagen och organisationerna är slumpmässigt utvalda och representativa för populationen.

För mer information
Andreas Ericson, säkerhetschef Inrego, andreas.ericson@inrego.se, 072-250 23 05