Nada Kapidzic Cicovic säkerhetskonsult hos Omegapoint och Mattias Sällström från Omegapoint i Umeå som anordnade seminariet.

GDPR lägger fokus på säkra system

EU:s nya datalagringslag GDPR börjar gälla den 25 maj 2018. Hur detta påverkar utvecklare var i fokus på ett seminarium av Omegapoint.

Dataskyddsförordningen (DSF), på engelska General Data Protection Regulation (GDPR), kommer från och med 25 maj 25 maj 2018 ersätta personuppgiftslagen (PuL). Syftet med GDPR är att skydda fysiska personer genom att reglera hur personuppgifter får behandlas. Nada Kapidzic Cicovic är senior säkerhetskonsult vid Omegapoint och gav vid ett lunchseminarium i Umeå 100 personer en djupdykning i den nya lagstiftningen och skärningspunkten mellan GDPR och utveckling och vad man måste tänka på som utvecklare.

Kortfattat kan man säga att GDPR ger alla medborgare i EU starkare rättigheter. Som privatperson kan man med den nya lagstiftningen ställa mycket högre krav på företag och organisationer kring vilka uppgifter som finns om en. Det finns även en rättighet att ens personuppgifter ska kunna raderas fullständigt. Detta ställer i många fall helt nya krav på de IT-system som finns och används.

– Som företag måste man veta vilken information man har och varför. Alla onödiga personuppgifter kommer behöva rensas bort. För om man inte följer den nya lagstiftningen väntar stora sanktionsavgifter om man blir granskad, säger Nada Kapidzic Cicovic.

– Kostanden för att spara data har länge gått ner vilket har gjort att de flesta företag och myndigheter har sparat allt för mycket onödiga uppgifter om sina kunder och medborgare. Här kommer de flesta behöva göra en rejäl gallring och rensning, säger Nada Kapidzic Cicovic.

Hänsyn till säkerhet

Uitfrån ett systemutvecklingsperspektiv handlar det egentligen om att bygga system redan från början som tar stark hänsyn till säkerhet.

– För sådana som mig som har propagerat för IT-säkerhet länge är det egentligen bara skönt med GDPR. Nu kommer en lagstiftning som fokuserar på säkra system och att bygga in en bevisbarhet kring säkerhetstänket, säger Nada Kapidzic Cicovic.

– GDPR kommer dock bli en dyr historia för många bolag som måste anpassa sig efter det nya regelverket, säger Nada Kapidzic Cicovic.

Startups kan tänka rätt från början

För en startup som inte redan har flera system och applikationer utvecklade behöver inte GDPR bli alltför kostsamt.

– Om man redan från början tänker på vilka personuppgifter man behöver lagra och hur man enkelt kan komma åt dem kan man relativt enkelt bygga system som efterlever den nya lagstiftningen, säger Nada Kapidzic Cicovic.

– Dock har man ju oftast en begränsad budget och tid som en startup. Så självklart är det utmanande och inte alltid så lätt att tänka rätt från start. Men om man utvecklar säkert redan från början borde det inte bli särskilt mycket dyrare, säger Nada Kapidzic Cicovic.