06/12 2018
 

InTechrity besökte Nordic Privacy Arena

 
 


Incidentrapportering

Ett återkommande tema var naturligtvis hanteringen och rapporteringen av

incidenter. Lena Schelin från Datainspektionen uppmanade organisationer att bygga upp en riksorganisation, att öva på incidenter och att bygga upp rutiner

 

Durgesh Gupta från Nasdaq rekommenderade noggrant studium av WP29:s riktlinjer i frågan och hans huvudbudskap kan sammanfattas ”do not overnotify”, de kriterier han pekade på för att avgöra om en incident ska rapporteras var framförallt de drabbades egenskaper (patienter, barn och personer med skyddad identitet betraktas som känsligt), hur många som är drabbade och vilka konsekvenserna kan bli. Han var också noga med att påtala att stora organisationer behöver ha en fungerande incidenthanteringsorganisation där ledningen är involverad. Kravet på utredning och eventuell anmälan inom 72 timmar innebär att incidenthanteringsorganisationen måste kunna sammanträda med mycket kort varsel.

 

Att vara konsekvent i sin riskbedömning och ta fram någon form av verktyg och rutiner för detta verkar alla vara överens om är en nyckel. Utmaningen för alla vi pratade med är att faktiskt bedöma konsekvensens svårighet innan man har byggt upp en bank av incidenter att jämföra med.

 

AdTech

Problemet med onlineannonsering adresserades bland annat av Raegan MacDonald från Mozilla. Branschen har många problem att brottas med och som borde adresseras, men det rör sig samtidigt om en mycket lukrativ marknad vilket gör att krafterna verkar mot varandra. Problemet är att marknadsföring via Internet är lönsamt, men inte långsiktigt hållbart. GDPR och kommande ePrivacy kommer att rita om kartan och de företag som lyckas ställa om till etiska principer är de som kommer att överleva i långa loppet.

 

Vi väntar med spänning på praxis kopplat till AdTech och hoppas på tydlighet i vad som är tillåtet och vad som inte är det.

 

Mer information

Vi på inTechrity bevakar vad som händer inom integritets- och informationssäkerhetsområdet, kontakta oss gärna på info@intechrity.se om du vill veta hur vi kan hjälpa din verksamhet med frågor relaterade till GDPR och informationssäkerhet.