Det är drygt ett år kvar innan dataskyddsförordningen (GDPR) börjar gälla som ställer nya krav på hanteringen av personuppgifter.  Att den kommer lär knappast ha undgått någon men trots det är många företag osäkra på hur de ska bete sig. Det säger Daniel Akenine, Microsofts nationella teknik- och säkerhetschef.
 – De flesta har i alla fall kommit igång med den första fasen, att inventera den individrelaterade informationen, så att man vet var den finns och vem som har tillgång till den, säger han.

Fyra faser
Nästa steg är att skapa policies och ramverk kring vilka roller i företaget som ska ha tillgång till informationen. Därefter behöver det skapas skydd som ser till att ingen obehörig kommer åt information. Det sista steget innebär att företaget sätter upp mekanismer och processer för hanteringen av informationen, i linje med GDPR.

LÄS MER: Så förbereder ni er inför GDPR

Det är förvisso inget litet arbete som ska utföras. Samtidigt underlättas det av att många redan har de nödvändiga verktygen, exempelvis för inventerings- och hanteringsfasen.
– Många använder ju våra produkter och har bara genom detta ett försprång. De innehåller en rad verktyg som alla inte har upptäckt eller vet hur de ska använda – för att hitta data, styra behörigheter och skapa rapporter kring hanteringen, säger Daniel Akenine.

Inga färdiga svar
Att hitta data är en sak. Det kräver rimligen en hel del arbete, men med rätt verktyg är det inte särskilt komplicerat. Det kan däremot nästa fas vara, att sätta upp policies kring vem som får hantera vilken information och sedan skapa mekanismer som garanterar att dessa efterlevs.
– Den delen innehåller en del mjukare aspekter. Det finns inga färdiga svar på hur en viss roll i ett företag ska se ut och vilken information den ska ha tillgång till. Det ser olika ut från organisation till organisation, förklarar Daniel Akenine.

Även här handlar en betydande del av arbetet om att använda rätt teknik. Men det ska inte förväxlas med att ”köpa ny teknik”. I många fall finns redan nödvändiga delar i de system som används, understryker Daniel Akenine.

Stärkt informationssäkerhet krävs
 Däremot kan många företag behöva utveckla sin informationssäkerhet. I synnerhet när det gäller förmågan att upptäcka intrång. Sådana ska enligt GDPR rapporteras och idag ser Daniel Akenine att många företag faktiskt inte har rätt teknik för just detta.

Läs hur ni kan förbereda er inför GDPR