Dryga året efter att GDPR började gälla vet fortfarande inte merparten av allmänheten vad den nya lagen innebär för dem. Vi träffar minnestillverkaren Kingston för att höra vad som gäller för dig på individnivå.
Foto: Kingston
Trots att väldigt många företag och organisationer i Sverige och även runt om i Europa valt att utbilda sin personal inom GDPR är det fortfarande, dryga året efter att lagkravet trädde i kraft, en majoritet som inte vet exakt vad som gäller eller vilket ansvar som vilar på dem som individer. Istället är många av den uppfattningen att allt ansvar ligger på IT-avdelningen, chefen eller någon annan. Oavsett hur invecklat och byråkratiskt allt kan verka så är det faktiskt relativt få saker som du som slutanvändare verkligen behöver tänkta på.
Ansvaret vilar på dig
När det kommer till kärnan inom GDPR handlar det om att skydda data som sparas och används om dig som individ, så att denna inte kommer i orätta händer. Ser vi på detta ut ett komplett infrastrukturellt synsätt finns här såklart väldigt många delar i form av servrar, lokala och externa enheter, minnen, molnet och mycket, mycket mer. Merparten av dessa delar hanteras och ska skyddas av företaget, organisationen eller olika tjänsteleverantörer och dessa delar har vi så klart mindre kontroll över. Det den anställda ska fokusera på är den mobila sidan i form av bärbara enheter, bärbara hårddiskar och kanske framför allt USB-minnen och mobiler.
Bortglömda minnen
Under ett samtal med Jan Terje Kleiven som är ansvarig för Kingston i Europa berättar Jan att det årligen hittas över 70 000 USB-minnen i Londons Taxi, samt tusentals mobiler och bärbara datorer av olika slag. Alla med den gemensamma nämnaren att merparten inte har tillräckligt skydd.
– Det är här de flesta användare brister. Det räcker inte, som många verkar tro, att datorn har ett lösenord eller en kod för inloggning om platsen där din data lagras inte är krypterad. Och för att göra det hela enkelt så måste allt som lämnar kontoret vara krypterat oavsett om det handlar om SSD:er, USB-minnen eller andra externa enheter, säger Jan Terje Kleiven.
– Enligt GDPR handlar det inte om ifall den data du har med dig skulle råka komma i fel händer utan det handlar om att du måste ha gjort det bästa du kan i förebyggande syfte för att skydda din data. Har du gjort det är du fri från ansvar, men om du inte gör detta skyddar du inte EU-medborgarens data vilket är ett lagbrott, säger Jan Terje Kleiven.
Hårdvarubaserat skydd
Nu finns de flera olika typer av kryptering och så även argument mot att använda krypterad lagring. De vanligaste av de senare är tappad prestanda och allt för höga kostnader. Trots att det finns flera programbaserade krypteringslösningar är hårdvarubaserade skyd att föredra. Dels gör den dedikerade processorn att prestandan kan bibehållas i det närmaste intakt och att alla kryptering sker med automatik och ”on the fly”, vilket gör att slutanvändaren inte behöver komma ihåg att aktivera en kryptering.
”företaget kan bestämma vilka typer av exempelvis USB-minnen som får användas i företagets datorer”
Enheter med hårdvarukryptering kostar mer än andra enheter och ska den även gå att fjärradministrera stiger kostanden ytterligare, men sett till den eventuella skada som förlorad data kan åsamka, både enskilda individer och företagets rykte, är prisbilden ändå väldigt låg. Och framför allt vet du att du och dina kollegor att ni följer er del av GDPR.
– Vill ni sedan ta detta ytterligare en nivå så kan företagets IT-avdelning komplettera krypteringen med exempelvis ”white- och blacklisting” där företaget kan bestämma vilka typer av exempelvis USB-minnen som får användas i företagets datorer. På detta sätt kan företaget garantera att enbart ”rätt” typ av säkra minnen används. En funktion jag även skulle rekommendera i varje fall lite större organisationer är lösningar där IT-avdelningen kan fjärrhantera minnet för att på detta sätt kunna byta ett bortglömt lösenord eller skicka ut en sorts ”kill-signal” som direkt raderar minnet.
Använd aldrig samma lösenord
En annan viktig del, som borde vara en naturlig del av våra datarutiner, är att skapa en rutin för att byta lösenord även för dina krypterade enheter. Detta görs med fördel samtidigt som du byter lösenord på andra system och vill du vara extra noga bör du så klart även använda olika lösenord på olika krypterade enheter.
Men det viktigaste budskapet för din del är; använd hårdvarukryptering på samtliga enheter som du planerar att använda utanför kontoret, för så länge du gör ditt bästa för att skydda din data så har du gjort din del av GDPR:s krav.