Cookie.

På acando.se använder vi cookies för att din upplevelse ska bli så bra som möjligt.

    Så ökar ni ert digitala förtroende – och vänder GDPR till er fördel

    Det ställs allt högre krav på att organisationer har stenkoll på sin hantering av personuppgifter, inte minst genom GDPR:s framfart. Från kunder till lagstiftare, konkurrenter och anställda är förväntningarna nu höga på att informationen behandlas på ett lagligt och korrekt sätt. Görs det på rätt sätt skapas en form av digitalt förtroende, som ger ömsesidiga relationer byggda på transparens och tillit. Men hur når man dit – och var börjar man? Ett sätt att ta sig an utmaningen stavas identitets- och åtkomsthantering.

    Vad är egentligen identitets- och åtkomsthantering?

    För de allra flesta innebar våren 2018 ett hårt slit för att hinna med så mycket som möjligt av arbetet som behövde göras inför den deadline som hägrade den 25 maj, då GDPR trädde i kraft. Stort fokus lades på att identifiera var personuppgifter fanns hur de behandlades för att på bästa sätt kunna säkerställa individens rättigheter. Det gällde att hitta vilka skyddsåtgärder som behövde genomföras, prioritera dessa och planera för ett genomförande.

    IAM kan vara nyckeln till att säkra en laglig hantering av personuppgifter

    Bland de åtgärder som många identifierade sticker identitets- och åtkomsthantering ut på ett intressant sätt. Området benämns traditionellt IAM (efter den engelska benämningen Identity and Access Management) och för enkelhetens skull använder vi den benämningen även här.

    GDPR och IAM går hand i hand

    GDPR ställer två distinkta krav på hanteringen av personuppgifter som gör just IAM relevant. Principer som gör gällande att:

    Så, vad säger detta oss? Ett av grundsyftena med IAM är att livscykelhantera personlig information om individers identitet, konton och behörigheter på ett bra sätt. Vilket leder oss till den första kopplingen mellan IAM och GDPR:

    Identiteter, konton och behörigheter är personuppgifter och måste därmed hanteras i enlighet med GDPR.

    Motiveringen till detta är tämligen självklar då en identitet vanligtvis består av uppgifter så som namn, personnummer, adresser och kontaktinformation som telefonnummer och e-postadress. Dessa kan var för sig utgöra personuppgifter, men när uppgifterna binds ihop till en identitet klarnar bilden ytterligare.

    GDPR-dataskyddsombud

    Varför är kontoinformation och behörigheter en personuppgift?

     

    Vad gäller konton och behörigheter behöver dessa ofta sättas i sitt sammanhang för att skapa klarhet i det hela. Ett konto består i sin enklaste form av ett användarnamn och ett lösenord. Beroende på hur användarnamnet är utformat kan det vara en direkt utpekande personuppgift (om exempelvis e-postadress används som användarnamn) eller indirekt om det är ett internt genererat ID, som då tillsammans med övrig information på kontot kan hjälpa till att peka ut vilken individ som äger det.

    Detsamma gäller för behörigheter och beror då på hur dessa är namngivna, en behörighet som heter ”Läsbehörighet Ekonomichef” ger en ganska bra fingervisning om vem som äger kontot.

    Eftersom IAM syftar till att just livscykelhantera identiteter, konton och behörigheter blir därmed området en naturlig åtgärd för att kunna hantera de personuppgifter som finns inom en organisation i form av konton och behörigheter.

    Säkerställ er efterlevnad av GDPR

    Att säkra skyddet av personuppgifter

    Den andra kopplingen mellan IAM och GDPR relaterar till de krav som ställs på att säkerställa tillräckligt skydd av personuppgifter på ett så effektivt och automatiserat sätt som möjligt:

    IAM utgör en organisatorisk och teknisk skyddsåtgärd som säkerställer att åtkomst till personuppgifter inom en organisation sker på ett kontrollerat sätt och följs upp regelbundet. 

    Det behövs en plan för om en personuppgiftsincident inträffar

    IAM hjälper alltså till att säkerställa att rätt personer har tillgång till personuppgifter när de behöver det och att övriga inte har det. Inom IAM finns även förmågor för att över tid säkerställa detta med hjälp av rutiner för granskning av utdelade behörigheter samt spårbarhet vid åtkomst som kan underlätta om olyckan är framme och en personuppgiftsincident inträffar.

    Genom ett systematiskt arbete med IAM kan en organisation alltså få en dubbel drivkraft i sitt GDPR-arbete. Ramverket säkrar både organisatoriska aspekter som processer, roller och ansvar, såväl som tekniskt stöd i form av behörighetsstyrning i system och plattformar. Det ger också effektivare processer, kostnadsbesparingar och riskminimering. Men kanske framför allt ett högre digitalt förtroende, som ger lojala relationer till både kunder och anställda.

    Hör gärna av dig!

    Vi är alltid intresserade av att höra mer om dina utmaningar.

    Markus Lindarp markus.lindarp@acando.com +46 (0)70-963 39 67

    Eller vill du bli kontaktad?