Kurs i Stockholm för Gdpr

Allmänna dataskyddsbestämmelserna numer GDPR kommer som ett svar på det föråldrade direktivet från år 1995.

Gdpr utbildning
General data protection regulation
General data protection regulation
General data protection regulation

Introduktion Gdpr kurs Stockholm

Med General data protection regulation ställs det mycket hårdare på organisationer om efterfrågan på efterlevnad, vilket främst sker genom högre straff, vilket ger organisationer en uppmaning att ålägga. Sett ur informationssystemens perspektiv måste organisationerna genomföra kraven i förordningen i sina dataprocesser för att hålla sig i överensstämmelse.

Vad är gdpr i Stockholm?

I litteraturen saknas förståelse för vilka utmaningar organisationerna står inför när man strävar efter efterlevnad i informationssystem. Allmänna databeskyddsförordningen användes som en lins för att undersöka den tillgängliga överensstämmelseteorin. Detta gjordes genom att intervjua medarbetare som arbetar med och i organisationer som försöker följa Allmänna databeskyddsförordningen i ställen som säkerhetshantering, produkthantering och projektledning.

Sju utmaningar i kurs gdpr i Stockholm

Vi hittade sju utmaningar och en underutmaning avseende dataprocesser som organisationer möter när de anpassar sig till den allmänna databeskyddsförordningen eller som den nu heter general data protection regulation.

GDPR-kurs-stockholm

GDPR börjar gälla i Maj 2018 – SEvOlution hjälper er

– Vi är specialister inom nulägesanalys av GDPR och datasäkerhet.

– Vi är ledande i Stockholm på gdpr (general data protection regulation).

– Vi har 22 års samlad erfarenhet av affärkritisk data inom informationsteknologi och systemlösningar inom e-transaktioner.

– Vi erbjuder helhetslösningar utifrån Stockholm med i hela Sverige.

Hör gärna av er vid frågor eller för mer information.

Mer att utveckla inom GDPR

Helt plötsligt ställs en massa nya krav på hur data ska hanteras när de väl hamnat i databaser. Lösningar för datainsamling som tuffat på i åratal utan problem måste nu ses över och modifieras, kanske till och med skrotas för att ersättas med nya.

gdpr,förstaelse,organisation,losningar

Någon måste designa och bygga de tekniska lösningar som krävs för att uppfylla alla nya krav som GDPR medför. Skriva koden helt enkelt, bygga om formulär, skriva nya sql-satser och tänka ut vilken information som skall sparas och på vilket sätt.

Existerande information blir en riskfaktor

Hur ofta har du som utvecklare funderat över hur avlusningsinformation och logginformation hanteras? Det är dags att göra det nu, eftersom datatjuvar potentiellt kan härleda information utifrån sådana datakällor. Det gäller framför allt under drift, men kanske även under utvecklingsfasen, beroende på vilka data som används då. Det senare gäller speciellt under agilt arbete då nya funktioner utvecklas parallellt med drift av applikationer.

Extremt svårt att avidentifiera data

Vi avidentifierar bara data, kanske du har hört någon säga? Det är sannerligen ett problem. Det är i själva verket extremt svårt att avidentifiera data på ett säkert sätt. Räkna med att lägga mycket tid och möda på det, om det behövs.

Påverkan på tidsplan och budget

Mer utvecklingsjobb medför fler jobbade timmar, flera utvecklare och framflyttade deadlines. Det fattar utvecklare, men fattar chefer och affärsansvariga det och om de fattar det, accepterar de det? Åtminstone projektledare och utvecklingschefer behöver se över sina argument.

Allmänt ökade kostnader

Man behöver inte bara ta hänsyn till direkt utvecklingsrelaterade kostnadsökningar. Det ambitiösare säkerhetsarbete som blir följden av GDPR kostar mer pengar i största allmänhet. Från vilka budgetar ska de pengarna tas?

Ställ krav på tjänsteleverantörer

Glöm inte säkerheten i den underliggande plattformen. Vilka krav behöver man ställa på sina leverantörer? Se till att inte du som utvecklare blir ansvarig för sådant som andra bör ordna.

Nya infallsvinklar på databaser

De nya kraven på datahantering medför inte bara jobbiga punktinsatser. Som utvecklare, arkitekt och designansvarig måste man ta på sig en kanske helt ny tänkarmössa. Det handlar om att se på databaser från ett angreppsperspektiv för att förstå hur de ska säkras. Förutom att fundera på hur angrepp kan förhindras måste man anta att datatjuven kan ha slagit till. Frågor: Hur kan man minska konsekvenserna om data blir stulna. Hur kan man säkerhetskopiera data så att de fortfarande är enkla att hantera. Vad finns det för möjligheter att upptäcka om en incident pågår eller har inträffat?

Ansvar, påverkan och operativt inom Gdpr

Vem inom mitt företag kommer att ansvara för överensstämmelse av GDPR?

GDPR definierar flera roller som är ansvariga för att säkerställa överensstämmelse: datastyrare, dataprocessor och dataskyddsansvarig (DPO). Datatillsynsmannen definierar hur personuppgifter behandlas och syftet med vilka det behandlas. Kontrollen ansvarar också för att se till att utomstående entreprenörer följer. Dataprocessorer kan vara de interna grupperna som underhåller och behandlar personuppgifter eller något outsourcingföretag som utför hela eller en del av dessa aktiviteter.

GDPR håller processorer ansvariga för överträdelser eller bristande överensstämmelse. Det är då möjligt att både ditt företag och bearbetningspartner som en molnleverantör är ansvarig för straff även om felet helt och hållet är på processpartnern. GDPR kräver att regulatorn och processorn utser en DPO för att övervaka datasäkerhetsstrategin och GDPR-överensstämmelsen. Företagen måste ha en DPO om de bearbetar eller lagrar stora mängder EU-medborgaruppgifter, bearbetar eller lagrar speciella personuppgifter, övervakar regelbundet registrerade eller är offentliga myndigheter. Vissa offentliga enheter som brottsbekämpning kan vara befriade från DPO-kravet.

Hur påverkar GDPR tredje- och kundkontrakt?

GDPR placerar lika ansvar på datainsamlare (organisationen som äger data) och dataprocessorer (utanför organisationer som hjälper till att hantera den data). En tredjepartsprocessor som inte överensstämmer innebär att din organisation inte överensstämmer. Den nya förordningen har också strikta regler för rapportering av överträdelser som alla i kedjan måste kunna följa. Organisationer måste också informera kunder om sina rättigheter enligt GDPR. Vad det innebär är att alla befintliga avtal med processorer (t.ex. molnleverantörer, SaaS-leverantörer eller leverantörer av löneverkstjänster) och kunder behöver stava ansvar. De reviderade kontrakten måste också definiera konsekventa processer för hur data hanteras och skyddas, och hur överträdelser rapporteras.

Den största övningen är på upphandlingssidan av huset – dina leverantörer av tredje part, dina inköpssamhällen som behandlar data för din räkning. Det finns en hel grupp av leverantörer som har tillgång till dessa personuppgifter, och GDPR lägger mycket tydligt fram att du måste se till att alla tredje parter följer GDPR och behandlar uppgifterna i enlighet med detta. Kundkontrakt måste också spegla de lagstiftningsförändringar. Kundkontrakt tar ett antal olika former, oavsett om de är online-klick eller formella avtal där du gör åtaganden om hur du ser, åtkomst och bearbetar data.

Innan dessa kontrakt kan revideras måste företagsledare, IT och säkerhetsgrupper förstå hur data lagras och bearbetas och enas om en överensstämmande process för rapportering. En ganska stor övning krävs av teknikgrupperna och datahanteringsgruppen för att förstå vilka data som passar inom företaget, där det lagras eller bearbetas och där det exporteras utanför företaget. När du förstår dessa dataflöden och påverkan på verksamheten kan du börja identifiera de leverantörer du behöver vara mest fokuserade på, både från ett informationssäkerhetsperspektiv, hur du hanterar dessa relationer framåt och hur du minns det i kontraktet själv.

GDPR kan också ändra tankesättet för företag och säkerhetsgrupper mot data. De flesta företag ser deras data och de processer de använder för att nyttja den som en tillgång, men den uppfattningen kommer att förändras. Med tanke på GDPR: s uttryckliga samtycke och företag som behöver vara mycket mer granulerade när det gäller deras förståelse av data och dataflöden finns det en hel del skulder som nu existerar vid ackumulering av data. Det är en ganska annorlunda uppfattning både för laglig och efterlevnad, men kanske viktigare för hur affären tänker på ackumulering och användning av data och för informationssäkerhetsgrupper och hur de tänker hantera den data.

Data lämnar företaget på alla sätt. Medan CISO och teknologigrupperna måste kunna spåra allt detta måste du också sätta skydd på plats. ”Dessa skydd måste stavas ut i kontraktet, så att utomstående företag förstår vad de kan och inte kan göra med data. Genom att gå igenom processen för att definiera skyldigheter och ansvar förbereder företaget ett företag för att hantera GDPR-överensstämmelse operativt. Om en av dina leverantörer säger att du hackades igår kväll visste de vem som ska ringa och hur man svarar som en del av att uppfylla de lagstadgade kraven.

Det 72-timmars rapporteringsfönster som GDPR kräver gör det särskilt viktigt att leverantörerna vet hur man korrekt rapporterar ett brott. Om en leverantör hackats och du är en av tusentals kunder, meddelar de din upphandlingsavdelning eller en kontoperson eller någon i kundfordringar? Det kan komma på alla sätt. Du vill ha en tydligt definierad väg i kontraktet för att informationen ska komma till den person i din organisation som ansvarar för anmälan av överträdelsen. En regulator kommer inte att säga att du inte borde ha åsidosatt. De kommer att säga att du borde ha haft politiken, rutinerna och svarstrukturen på plats för att snabbt lösa det.

Större företag kan ha tusentals kontrakt att uppdatera. Att komplicera den utmaningen är att det måste ske sent i efterlevnadsprocessen. Innan du kan definiera ansvarsområden och ansvar måste du veta exakt vilka uppgifter du har, var och hur det behandlas och dataflödena. Det är kvar att många institutioner kämpar mot tidsgränsen för att försöka klara av de tekniska och operativa frågorna och måste spela in på att sätta rätt avtal på plats för att genomdriva det. Många företag har inte gjort några omförhandlingar av kontraktsvillkor.

Det stämmer frågan: Vad händer om avtalen inte är på plats före majstiden? Det finns flera risker för att inte slutföra kontrakten:

Operativt: 

Om du inte har kommit överens om vad dina processer kommer att vara med en leverantör är det inte klart hur du kommer att fungera under GDPR.

Leverantörshantering: Under GDPR behöver du veta hur dina leverantörer fungerar, inklusive deras säkerhetsramar och hur de hanterar data. Utan den kunskapen vet du inte risken de presenterar.

Regelbundna böter: EU är känt för sin vilja att ta ut kraftiga böter för bristande överensstämmelse. Om ett brott uppstår, kan det inte vara bra att inte ha kontrakt på plats. Att inte ha ett kontrakt är en indikation på att du inte vet vad dina leverantörer gör, och det är en större ledningsfråga om vilken infrastruktur du använder och hur du behandlar data. Det ger omvärlden uppfattning om hur organiserad du är och hur väl du förstår dina dataflöden.

GDPR – Vad händer efter 25 maj 2018?

GDPR projektaktiviteter? Hur kommer GDPRs affärsmässiga fördelar att säkras över tiden?

Det är tidigt i planeringen att det bör övervägas och planeras för. Detta beror på att GDPR är ett långsiktigt perspektiv.

Börja med att svara på dessa 9 frågor:

Vilka är de långsiktiga affärsmässiga fördelarna med att genomföra ett dataskyddsprogram eller projekt?

Hur mäter du det och vem ska inse affärsfördelarna och behålla dem?

Hur kommer aktiviteterna att skyddas och planeras när projektet är stängt?

Hur kan du se till att dataskyddsområdet får löpande uppmärksamhet från organisationens överordnade ledning?

Vilken typ av övervakning, bedömningar och recensioner kommer att utföras på ett systematiskt sätt?

Hur kommer medvetenhet och kommunikation att hanteras?

Hur ska dataskyddsområdet interagera eller annan information som informationsklassificering, riskhantering, kontinuitetskontroll etc.? som också skyddar information? Hur hanteras dataskydd inom processer som inköp, företagsarkitekturhantering, projektledning, systemutveckling, systemunderhåll?

Vad är den årliga kostnaden för att vara kompatibel?

Hur kan du göra kontinuerliga förbättringar för dataskyddsområdet?

Har du ett ISMS?

Kanske har din organisation redan ett informationssäkerhetshanteringssystem (ISMS)? Min erfarenhet, som ISMS-specialist, är att dataskyddsområdet skulle kunna leva lyckligt någonsin inom samma struktur som informationssäkerhetsområdet (ISO27001) eller affärs kontinuitetsområdet (ISO22301).

Jag anser att det vore rättvist att anta att dataskyddsområdet behöver samma styrelse. Eller något annat ledningssystem som kan vara på plats. I de flesta fall består det systematiska tillvägagångssättet av enkla processer som dokumenteras, beslutas och kommuniceras av organisationens överordnade ledning. Precis som andra områden behöver dataskyddet en årlig (underhålls) plan med mål och aktiviteter. Planen för att skydda data och skydda data.

Snabbspår för att kontrollera dataskydd

En väl underhållen ISMS (eller till och med certifierad?!) Kan vara en snabb spårning till ”långsiktiga dataskyddsrisker” och ”långsiktiga överensstämmelseskriser” för organisationen.

Nedan visas en överblick över några vanliga ISMS-processer. För att förstå tanken på att använda ISMS för långsiktig GDPR-överensstämmelse

Ersätt ”informationssäkerhet” med ”dataskydd” i några av processerna

Lägg till vissa sekretessområdespecifika processer (t.ex. Hantera Privacy Consent), så att dessa processer upprätthålls och förbättras i hanteringssystemet

ISMS är ett lagligt beslutsfattande beslutsprocess

ISMS för juridisk överensstämmelse

För att sammanfatta:

GDPR är i många fall en informationssäkerhet och cybersäkerhetsreglering.

Om du har ett förvaltningssystem som ISMS, använd det! Om inte, använd ett annat systematiskt tillvägagångssätt.

Börja planera för livet efter den 25 maj 2018 nu. Det är när underhållsfasen börjar, beredningar bör göras mycket tidigare.

Hjälp din organisation att bli transparent och verifierbar när det gäller att hantera privatlivet!

 

gdpr-langsiktigt-forbereda

GDPR: s inverkan på marknadsföringsteknik och cybersäkerhet

Hur ska du förbereda dig för den europeiska integritetsförordningen som träder i kraft nästa år?

GDPR 25 MAJ 2018

Att inte vara en bra förvaltare av konsumentdata genom att låta den falla i fel händer kommer snart att leda till allvarliga påföljder i Europeiska unionen. I händelse av en dataöverträdelse måste företagen betala motsvarande X-antal tiotal miljoner euro eller uppskattningsvis 4 procent av årliga intäkter. Från och med den 25 maj 2018 utfärdar generaldirektivet (GDPR) ansvaret för att hedra dessa rättigheter i händerna på dem som samlar och behandlar kunddata. Det gäller alla företag eller organisationer som tar upp, delar eller besitter personligt identifierbara uppgifter från EU-medborgare under verksamheten.

MAKT ÅT KONSUMENTERNA ÄR GDPR

GDPR är en ny lagstiftning från Europeiska unionen som ger konsumenterna större kontroll över sin personliga information, bland annat ”rätten till skydd av personuppgifter” och ”rätten att bli glömd”. Föreställ dig varje datapunkt i en IT-infrastruktur som ett barn som går i spel från hus till hus i ett grannskap, där varje hem har varierande grad av säkerhet. Tänk nu att bortförare alltid lurar i närheten och söker efter ett tillfälle att bryta sig in i ett hem och ta en av dem. I sin mest effektiva inkarnation kan DCAP identifiera alla dessa barn och följa dem oavsett var de går och se till att de är skyddade. Detta innebär också att man håller ögonen på kontrollerna på plats vid varje hus, folket kommer i kontakt med barnen i varje hus och utfärdar varningar om eventuella säkerhetsbrott eller ovanligt beteende som kan signalera ett problem.

PÅFÖLJDER AV GDPR

Oberoende av officiella böter, har ingen råd med den efterföljande nedfallet som allvarliga överträdelser medför. En stor multinationell kan drabbas av kostnader och reparationer i hundratals miljoner, för att inte tala om en stor inverkan på aktiekurserna. Ett mindre företag som erbjuder databehandlingstjänster kan drabbas av ett förbud mot förädling och förlust av trovärdighet hos sina kunder. företag som arbetar direkt med konsumenterna kan förlora sin verksamhet direkt. Även ideella organisationer riskerar att förlora givare eller medlemmars deltagande. Hackers blir mer sofistikerade varje dag i sina försök att bryta in och bortföra dina data, och GDPR kommer att spika dig om det händer. DCAP skyddar mot båda scenarierna. Var inte en statistik – gör vad som krävs för att skydda din organisation och dess data idag.

general-data-protection-regulation-kurs-stockholm

Den skrämmande sanning om GDPR och ditt företag

GDPR innebär X % av din årliga omsättning.

Har du personliga uppgifter om dina kunder? Då måste du förbereda ditt företag för Allmänna databeskyddsförordningen (GDPR), som träder i kraft den 25 maj 2018.

Tänk på GDPR som den andra versionen av 1998 års dataskyddslagen, med ett centralt uppdrag att skydda människors integritet och data (inklusive dina) används på sätt som de inte har godkänt.

Individer måste nu ge uttryck för sitt företag till deras data (t.ex. Det är inte tillräckligt att ha en klausul i din term – du borde vara påvislig. Med andra ord måste ditt företag vara lättare

Europeiska företag får inte tillåtas att arbeta med dig om du inte är kompatibel

Tyvärr är det inte lätt att följa GDPR. Du kommer att få motstridiga åsikter och råd, och tolkningen av reglerna kan variera dramatiskt.

Att ignorera det kommer inte att ge dig skydd.

Även om organisationer & företag är välkända, kommer dessa att göras av företag av alla storlekar. Ditt första steg i förberedelserna för GDPR bör vara att besöka & bemöta de frågor som dito ställer och det kommer att avslöja vad som krävs av dig och ditt företag framåt.

GDPR – Arbetsflödesprocesser kan hjälpa till med med strukturerad data i systematiserad datahantering

Enligt EU-regler som träder i kraft i maj 2018 måste företagen genomföra en rad kontroller och övervakning av dataintegritet och de måste genomföra ett sätt att göra saker som att ge kunderna ett enkelt sätt att se vilken information de har om dem, ett sätt att korrigera den informationen och ett sätt att ta bort den data (ibland känd som ”rätt att bli glömd”). Allmänna dataskyddsförordningen (GDPR) kommer att göra EU: s redan starka skydd för privatlivet ännu starkare. Det är en detaljerad uppsättning regler, och företag som inte följer dem kan bli föremål för stora böter och straff.

Dessa regler – som gäller för alla företag som behandlar uppgifter om EU-boende eller kunder, oavsett om verksamheten är belägen i EU eller ej – erbjuder ett utmärkt exempel på hur arbetsflödesplattformar kan hjälpa till med torniga problem. Ett antal molntjänster, lokalt programvara och datalager kommer säkert att lägga till ökad auditivitet och auktoriseringsfunktioner, men att lämna den på det skulle göra varje enskild arbetares liv mycket mer komplicerat och riskbelastat än det är idag. Det beror på att ett stort antal – kanske majoriteten – av affärsinteraktioner involverar flera mjukvaror, tjänster och innehåll.

Företagen har två val: (1) massor av tränings- och policyhandböcker som förklarar vart man ska gå och vad man ska göra när de ryms genom kunddata eller (2) genomföra automatiserade processer som arbetar med data på ett sätt som överensstämmer med policy/lag och låta användare köra dem.

Vi förespråkar naturligtvis det andra tillvägagångssättet. Utan arbetsflöde kan överensstämmelse med flera aspekter av GDPR vara en mardröm av personalutbildning och tidskrävande att hantera. Och igen, om bara en anställd tar en genväg eller gör ett misstag, väntar dessa EU-böter. Å andra sidan, om ett företag använder en arbetsflödesplattform, kan GDPR-överensstämmelse vara billigt, korrekt och repeterbart. Dessutom kan ett korrekt utformat och kodat arbetsflöde ändras utan att kräva omfattande omskolning av anställda.

För ett litet företag kan det finnas en enda kunddatabas. För större företag finns det många potentiella datakällor som inte bara är av alla dina divisioner och dotterbolag, utan även dina partners och entreprenörer. Dessa data kan innehålla olika stavningsnamn, vissa med hans mellannamn, vissa med olika adresser. Det finns kundrekord, fakturaposter, fraktposter, sociala medier spårningsdata, annonser visningsdata, opt-ins, opt-outs. Det finns uppgifter om hans utbildning, hans inkomstkonsol, hans favoritfärg, hans politiska preferenser, hans favoritblad, hans skjorta, om han äger en Blu-ray-spelare, hans frus namn, hans hustrus favoritfotbollslag, hans sons ålder, hans sonens favoritfotbollslag.

Uppgifterna är inte rena, det är inte synkroniserat – det finns ingen enda sanningskälla. Tidigare har det inte funnits någon avkastning på att korrigera skillnaderna i hundratals datakällor. Du har lärt dig att leva med det. Men under GDPR måste du hitta all data – och det är vettigt att normalisera hans register i processen. Ett sätt att beskriva rätt procedur för att hämta data skulle vara att göra ett uttömmande forskningsprojekt för att hitta alla datakällor och förklara hur man hanterar dem. Du kan då skriva ut dessa procedurer i ett 3-rings bindemedel eller en PDF – och hoppas att varje anställd som kan hantera dessa förfrågningar kommer att följa dessa processer till brevet. Om en fel hittas i rutinerna måste du uppdatera dessa manualer och omskola dina anställda.

Vad jag beskriver låter som ett arbetsflöde. Varför lär de anställda hur man hittar GDPR-mandatuppgifterna, och hoppas att de kör det felfritt? Varför inte få dem att skicka in ett formulär, låt ett arbetsflöde hämta data på alla dessa platser och samla ihop det? Varför inte automatiskt skapa ett dokument som innehåller allt detta du kan ge? Arbetsflödet kommer inte att glömma ett steg, och loggar alltid på vad som hände om det finns regleringsrevisioner. På samma sätt kan arbetsflöden användas för att identifiera dataavvikelser och följ sedan lämpliga policyer för att fixa dem. I vissa fall kan dessa hanteras algoritmiskt (t.ex. använd den fysiska adressen som anges i senaste transaktionen); i andra kan det vara bäst att fråga att hjälpa till att rätta till informationen, eller ge honom det mandatalternativet att radera det.

Detta är större än GDPR

Många saker är GDPR antingen uttryckligen eller faktiskt mandat saker vi borde göra ändå. Hur många av oss har blivit upprörda av datainvikelser i våra tjänsteleverantörer – precis som informationen i vårt flygbolags frekventa flier databas matchar inte exakt det på vår körkort, vilket inte exakt matchar det i vårt pass. Att lösa dessa problem är en övning i tålamod och kan ta många frustrerande timmar. Det skulle vara underbart om företagen hade en enda databas, en enda referenspunkt. Vi vet alla att det inte kan fungera för saker som prestanda, komplexitet, historia (t.ex. flera kunddatabaser efter en sammanslagning av två företag) och säkerhet/överensstämmelse. Det kommer inte att hända. Vi måste t.ex att fortsätta göra saker som att lagra information om våra tyska kunder i Tyskland och kanadensiska kunder i Kanada. Vi vill behålla kunddata i Salesforce och kundfordringsdata i SAP.

Vi kan träna vår väg ut ur detta, koda oss ut ur detta, eller lita på arbetsflödesprocesser för att hantera det för oss. Endast arbetsflödesruten reducerar både risken och möjliggör enkla ändringar, eftersom företag lägger till innehåll, ändrar policy etc. Det är också troligt att det också är billigast på lång sikt.

Att utnyttja en plattform för arbetsflödesautomation i ditt teknologisystem kan bidra till att policyn inte bara är på plats utan faktiskt följt som de borde vara. Med ett automatiserat arbetsflöde kan företagen se till att alla steg följs och att endast den information som behöver delas med arbetstagare eller externa resurser delas med den publiken. Så är det med GDPR också. De nya reglerna kommer. det är dags att förbereda dina processer och stödja mjukvarulösningar för att tillgodose kraven.

Jag är en finansiell rådgivare, varför skulle jag bry mig?

Under GDPR, om du utsätts för en cyberattack och uppgifter om individer bryts, kommer du att ha 72 timmar att anmäla denna överträdelse till regulatorn – och i de flesta fall till varje enskild person. Hur identifierar du attacker och rapporterar dem på lämpligt sätt? Vidare är förgreningarna för rådgivande företag mångfientliga. Inte bara kommer överträdelser att rapporteras, men de kommer också att offentliggöras.

Så hur kan rådgivare säkra sina uppgifter och mildra denna risk?

För mer information kan du ladda ner Intelliflos vitbok om cybersäkerhet här.

På marknadsföringssidan kommer GDPR att påverka hur du närmar dig potentiella kunder och kommunicerar med befintliga kunder. För att e-posta prospekter och klienter, under GDPR måste företagen ha en dubbeloption från de personer som de kontaktar. Kort sagt innebär det att personer vars e-postadresser du har måste ha klickat för att föreslå att de är glada att höra från dig, som de gör just nu, men sedan vidare välja att ta emot kommunikation från ett företag efter mottagande av ett bekräftelsemail. Det innebär att din första e-postkorrespondens med en prospekt kommer att vara ett mail som ber dem att bekräfta att de är glada att få ytterligare e-postmeddelanden från dig. Det kommer inte längre vara tillräckligt för att helt enkelt erbjuda mottagarna ett prenumerationsalternativ – de måste ha valt för din korrespondens i första hand.

Hur kommer jag fångas ut?

Om du inte kan bevisa att den missnöjda mottagaren av dina marknadsföringsinsatser har valt in på din korrespondens eller att de andra mottagarna av dina e-postmeddelanden också har mötet med utsikterna till en rejäl böter. Det tar bara en icke-överensstämmande rekord, dock – efterföljande straff är baserat på hela organisationen. Enligt gällande regler för dataskydd kan felbehandling resultera i en böter på upp till 500 000 kr. Enligt GDPR kommer de övre gränserna för böterna att vara 20 000 000 euro eller fyra procent av de globala intäkterna, beroende på vilket som är högst.

Kommer jag verkligen få böter € 20.000.000?

Vi vet inte säkert, men vill du verkligen försöka ta reda på det?

Hur kan jag bevisa överensstämmelse?

Du behöver ett revisionsspår som visar att ditt universum av kontakter har samtyckt till att höra från dig. Det här revisionsspåret måste vara tidsstämplat så att du kan visa när personer gav tillstånd för dig att kontakta dem via e-post.

Utöver det måste du också ge människor rätt att bli glömda. Detta går utöver den befintliga ”kontakta inte” avgränsningen i din CRM och innebär att du måste helt och hållet ta bort den kontakten och deras personliga uppgifter från ditt system.

Det sätt på vilket de flesta företag hanterar kunddata kommer att behöva förändras före maj 2018. Om dina uppgifter riskerar att brytas måste du börja identifiera riskerna nu och lägga planeringen på plats i väntan på ett brott som uppstår. Om du blev hackad idag, hur skulle du klara dig? Hur skulle du kommunicera med kunder? Hur skulle du rapportera till regulatorn?

Det här är förfaranden som du kan börja genomföra nu, vilket gör uppgiften för GDPR-överensstämmelse mycket enklare när det kommer till allvar i maj 2018. Det är värt att ta ställning till detta så snart som möjligt – hur många rådgivare når ut till potentiella kunder kommer att drabbas dramatiskt av detta.