Nu träder GDPR i kraft ... och det är inte bara negativt

Det är inte så länge sedan att GDPR-förordningen fortfarande verkade långt borta, men nu har den trätt i kraft. Därför har Lee Williams talat med Alan Calder, grundare och chef för IT Governance, och Tom Hassall, datavetenskapare vid Peak, ett företag som arbetar med artificiell intelligens om GDPR.

GDPR-förordningen trädde i kraft i slutet av maj, och det är skrämmande. Men det är inte en ny multiresistent bakterie eller ett massförstörelsevapen. Det är EU:s nya regler för dataskydd, General Data Protection Regulation. Men man skulle kunna tro att det är något av ovanstående så som vissa företag reagerar.

Och det finns också en del skrämmande förhållanden kring GDPR. Exempelvis påföljderna för personuppgiftsincidenter som kan vara upp till 20 miljoner euro eller fyra procent av företagets globala årsomsättning. Det har en kommentator redan kallat ”livshotande” för vissa företag. Till detta kommer den tid och de kostnader som uppstår när organisationerna nu tvingas strömlinjeforma sina personuppgifter för att uppfylla kraven i GDPR. Framöver måste de veta var varje uppgift finns, vad den används till och varför, och de måste också radera alla uppgifter som inte längre är relevanta för företaget.

Enligt en PwC-undersökning räknar 68 procent av de amerikanska företagen med att lägga mellan en och tio miljoner dollar på att efterleva dataskyddsförordningen. Och enligt it-företaget IT Governance kan det ta minst ett år att omställa sig till att följa reglerna i GDPR. GDPR trädde i kraft den 25 maj 2018. Och den gäller även om ditt företag inte har sitt säte i Europa. Alla organisationer som hanterar EU-medborgares personuppgifter omfattas av reglerna.

Ett av kraven i dataskyddsförordningen är att organisationerna ska radera alla irrelevanta och föråldrade personuppgifter.

 

När något skrämmande håller på att inträffa är det en naturlig mänsklig reaktion att sticka huvudet i sanden. Det förklarar kanske varför det enligt en rapport från datahanteringsbolaget Erwin endast var sex procent av organisationerna som i februari svarade att de var redo för GDPR – bara fyra månader innan lagen trädde i kraft.

Men stämmer verkligen alla domedagsprofetiorna? Många experter tror inte det, så istället för att sticka huvudet i sanden bör organisationerna arbeta för högtryck med att uppfylla de nya bestämmelserna.

”Om du följer GDPR ska du öppet informera de personer vars personuppgifter du registrerar exakt vad du gör med deras uppgifter”, säger Alan Calder, grundare av och chef för IT Governance.

”Det innebär att du kan bygga upp tillit hos kunderna. Det sänder en signal om att de kan komma till dig och ge dig sina personuppgifter. För de vet att du kommer att göra precis som du säger att du ska göra. Och dessutom kan de säkert lita på dig i andra sammanhang också.”

Ett av kraven i dataskyddsförordningen är att organisationerna ska radera alla irrelevanta och föråldrade personuppgifter. Calder anser att detta ger företagen en möjlighet att vårstäda bland de enorma mängder information som har ackumulerats i organisationernas system.

”Du slipper alla personuppgifter du inte bör bevara. På så sätt reduceras kostnaderna för din datalagring”, säger Calder.

”Du rensar ut i processerna, i det du lagrar och i dina aktiviteter och det gör dig mer kostnadseffektiv som företag.”

GDPR kan också göra det möjligt att automatisera vissa dataprocesser som är tidskrävande och enformiga och på så sätt frigöra mänsklig arbetskraft till mer produktivt arbete. Redan nu kommer artificiell intelligens fram som en metod för att strömlinjeforma dataprocesser så att de följer GDPR, och det görs på ett sådant sätt att det kan gynna organisationen som helhet. Peak är ett företag som arbetar med artificiell intelligens för att hjälpa företag att expandera genom användning av personuppgifter. Deras Artificial Intelligence System hjälper organisationerna att öka sina intäkter och sin vinst och ser samtidigt till att deras dataanvändning hela tiden uppfyller GDPR. Systemets algoritm skannar och strömlinjeformar alla de personuppgifter som organisationen har och riskbedömer varje enskild del.

Resultatet är en tabell över personuppgifter med individuella rekommendationer om hur och var man kan spara varje upplysning samt om den ska anonymiseras eller raderas helt. Det samlar inte bara uppgifterna på ett strömlinjeformat sätt, utan uppdaterar även automatiskt organisationens personuppgifter samt hur de används – och det är en avgörande faktor i efterlevandet av GDPR, framför allt om en personuppgiftsincident inträffar.

Denna dammsugning (och eventuellt avlivning) av vilsekomna uppgifter är bra för företaget och kan enligt Tom Hassall, som är dataforskare vid Peak, påverka resultatet direkt.

”För närvarande förvaras massor av personuppgifter på olika avdelningar, och de sätts inte in i ett sammanhang”, säger Hassall.

”Men om du får en översikt över dina personuppgifter där du kan se allt – precis som GDPR nästan vill tvinga dig att göra – har du bättre möjlighet att ta hand om problemen. Du kan verkligen öka dina intäkter, expandera ditt företag och spara massor av pengar bara genom att betrakta uppgifterna på rätt sätt.”

Många av kraven i GDPR-förordningen handlar om att minska skadorna efter en personuppgiftsincident om eller kanske när det fruktade inträffar. Men tänk om risken kunde elimineras helt och hållet? Att ha ett system som gör det möjligt för organisationerna att kommunicera med sina kunder utan att spara deras personuppgifter skulle verkligen vara positivt. Och Blockchain kan vara tekniken som levererar just detta.

Blockchain-tekniken gör det möjligt att lagra personuppgifter online i en serie krypterade och anonyma ”block”. Det används normalt för att säkra kryptovalutor som Bitcoin. Men redan nu försöker driftiga bolag utnyttja tekniken för att lagra personuppgifter. Ett sådant bolag är Nuggets. Bolaget erbjuder en enhetslösning för betalnings- och datatransaktioner, där ingen i själva verket ser uppgifterna. Inte ens Nuggets själva.

”Det vi gjorde var att leta efter en nollinformationslösning”, säger Nuggets grundare och verkställande direktör Alastair Johnson.

”Det finns ingen dold administratör och inte heller någon it-personal som har fått användarnamn och lösenord och som kan glömma sin bärbara dator på en bar.”

Nuggets använder ett tredubbelt krypteringssystem. Först krypteras personuppgifterna av Nuggets, därefter krypteras de i Blockchain och slutligen sparas integritetsinställningarna för dessa uppgifter. ”Det är lite som att leta efter en miljard nålar i en höstack”, säger Johnson.

”Även om du hittar en av dessa miljarder nålar så ska du lägga ytterligare några hundra år på att försöka bryta dig in i den med modern datorkraft bara för att komma in till personuppgifterna. Och även om du lyckas får du kanske se den sista delen av mitt personnummer, och du vet inte var nålen med den första delen finns.”

Föga överraskande räknar Johnson med att tekniken kommer att spridas snabbt och att den kommer att vara implementerad om två och ett halvt år. Han anser inte att det påverkar hur företagen använder personuppgifter till att fatta beslut. Han tror att sådana personuppgifter kommer att vara anonymiserade, och om inte så kommer kunden att få ut något av det. Att flytta personuppgifterna till Blockchain skulle enligt Johnson vara det första steget mot att riva loss våra digitala identiteter från våra digitala enheter.

”Jag tror att du kommer att få ett personligt moln av information som är knuten till din identitet. Och du kan få åtkomst till det via teven, via informationsteknik, på din mobiltelefon, på din bärbara dator eller på ett annat gränssnitt där du kan identifiera dig själv”, säger Johnson. ”Du får äga dina personuppgifter igen och inte bara den telefon du har.”

GDPR kommer enligt Johnson att påskynda användningen av nya tekniker såsom automatiserad datahantering och Blockchain-kryptering, eftersom straffet för att göra fel blir så mycket högre.

”Samma scenarier som inträffade förra året kommer att inträffa igen i år. Men nu får du dessutom böter”, säger han.

”Vi börjar se huvuden rulla bland cheferna och när det händer brukar systemen skärpas.”

Kanske är GDPR ändå lite skrämmande. Men det verkar ge många möjligheter för de organisationer som anammar förordningen. Och om rädsla är den motiverande faktorn bakom implementeringen, så är det kanske bara positivt.

Vill du veta mer om GDPR, klicka här för gratis råd.

Scroll to top