Det har gått några år sedan GDPR (General Data Protection Regulation) officiellt lanserades och trädde i kraft den 25 maj 2018. Om du fortfarande kämpar för att förstå och implementera den är du inte ensam. Faktum är att i en stor studie fann man att endast 7% av alla företag uppfyllde alla kraven. Det är inte förvånande eftersom denna förordning med 99 artiklar är mycket att bita i och de flesta organisationer helt enkelt inte känner till alla steg som krävs för att följa den.
Vad är GDPR?
GDPR är en omfattande förordning som är utformad för att skydda européernas privata uppgifter i IT-system. Den omfattar ett stort antal ämnen, från hur och när man ska meddela tillsynsmyndigheter om dataintrång till användarnas insyn i vilka uppgifter som samlas in och varför.
Du ställer fel fråga
De flesta företag frågar sig fortfarande: ”Gäller GDPR för oss?”. Ur en rent teknisk synvinkel är här några av de kriterier som avgör vem som berörs:
- Du har kunder, anställda eller entreprenörer som är EU-medborgare eller baserade i EU-länder (och ja, Storbritannien räknas).
- Du gör affärer i Europa, även om din verksamhet är belägen någon annanstans.
- Du har en online-närvaro (inklusive din webbplats) som är tillgänglig för européer att använda.
En bättre fråga är: ”Hur uppfyller vi kraven?”, eftersom de flesta av GDPR-kraven är bästa praxis som de flesta företag borde ha gjort hela tiden. Om det inte är tillräckligt motiverande kan vi titta på konsekvenserna av att inte uppfylla dessa krav.
Bristande efterlevnad kan vara förödande
Om du drabbas av ett enda dataintrång kan du få böter på 20 miljoner euro eller upp till 4 % av din årsomsättning, beroende på vilket belopp som är störst. För att sätta detta i perspektiv kan man säga att detta skulle motsvara 7 miljarder dollar för Amazon, vilket är mer än två års vinst. Dessutom kan du drabbas av ytterligare böter beroende på typ av intrång, exponerade uppgifter, anmälan, åtgärdande och svar. Och detta inkluderar inte irreparabel skada på ditt rykte eller kostnader för försäkringar, juridiska avgifter och förlikningar.
SSL är en viktig del av efterlevnaden av GDPR
Även om GDPR inte innehåller något särskilt avsnitt om användningen av SSL-certifikat innehåller den tydliga krav som endast kan uppfyllas med hjälp av digitala certifikat. Artikel 32 i förordningen (”Säkerhet”) börjar så här:
… den personuppgiftsansvarige och personuppgiftsbiträdet ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inklusive bland annat i tillämpliga fall:
1. pseudonymisering och kryptering av personuppgifter;
2. Förmågan att garantera fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och -tjänster;
GDPR säger i princip att om din webbplats samlar in och lagrar information från dina användare har du som datakontrollant eller databehandlare ett ansvar för att hålla denna information säker och skyddad, inklusive kryptering av personuppgifter och säkerställande av fortlöpande konfidentialitet. I Verizons rapport Data Breach Investigation Report nämns bristande kryptering och bristande säkerhet vid hantering av konfidentiell information som de vanligaste orsakerna till överträdelser, så dessa krav är helt logiska. Det är oroväckande att endast 4 % av de rapporterade överträdelserna skyddades av kryptering, vilket gör uppgifterna värdelösa för cyberkriminella. Om du drabbades av ett intrång, skulle du då inte åtminstone vilja se till att dina företags- och kunddata inte kan dekrypteras av kriminella?
SSL-certifikat har i över 30 år varit den standard för kryptering och autentisering som gäller för all konfidentiell webbkommunikation. Om du inte har ett SSL-certifikat ökar risken för dataintrång. Om du har en e-handelswebbplats som tar emot betalningsinformation från användaren, t.ex. bankkontouppgifter, är det nödvändigt att ha ett SSL-certifikat. Men även om din webbplats är en statisk HTML-sida som inte säljer något och inte har några kontaktformulär eller anmälningsformulär behöver du ändå ett SSL-certifikat för att undvika varningar i webbläsaren som inte är säkra.
Alla hostingpaket på kubes kommer med gratis SSL som standard och avancerade automatiserade skydd som når upp till kraven för GDPR och även de rigorösa säkerhetskraven för ISO/IEC:27001. På det erbjuder vi även oslagbar prestanda, senaste tekniken, enkel kontrollpanel och 24/7 Support från experter.
SSL ger andra affärsfördelar
Om du fortfarande tvekar om du ska investera i ett SSL-certifikat kan du tänka på fördelarna för ditt företag som sträcker sig långt bortom GDPR-efterlevnad.
Snabbare webbplatsprestanda – I den här ”jag vill ha det nu”-världen är det ingen som vill vänta på att dina webbsidor ska laddas. SSL-certifikat möjliggör HTTP/2 för att snabba upp sidladdningar och ge besökarna en bra upplevelse.
Öka sökmotortrafiken – Google belönar webbplatser som tillhandahåller alla sidor via en krypterad HTTPS-anslutning med upp till 5 % högre rankning i sökmotorerna. Det innebär att fler människor klickar sig vidare till din webbplats.
Optimera den mobila upplevelsen – De mest efterfrågade mobila funktionerna, inklusive geolokalisering, enhetsorientering, helskärm, mikrofon och kamera, aktiveras endast under sessioner som skyddas av SSL-certifikat.
Öka omvandlingarna – Enligt Comodos DevOps EV-studie från juni 2018 är 50,2 % av de tillfrågade mer benägna att genomföra finansiella transaktioner när det finns en grön adressfältsknapp i EV. Och tester har visat på typiska ökningar på cirka 10 % fler genomförda transaktioner.
Undvik nätfiskeattacker – Cyberbrottslingar kan smita förbi domänvalidering med ett DV-certifikat och lura besökare med ”Secure” i adressfältet, men den mer djupgående processen för Extended Validation (EV) SSL-certifikat bidrar till att säkerställa att endast lagliga webbplatser godkänns.
Stryk SSL från din lista med uppgifter om efterlevnad av GDPR
Att se till att alla sidor på din webbplats använder SSL-certifikat för att autentisera och kryptera kommunikation är ett smart steg mot att uppfylla GDPR-kraven. Och även om du tekniskt sett inte berörs av GDPR bör du använda digitala certifikat för att skydda dina kunder och maximera besökarnas förtroende. Varje dag som du går utan SSL skrämmer du bort besökare med varningar för Not Secure. Se över dina SSL-alternativ för att se till att din webbplats omedelbart skapar förtroende och uppfyller GDPR:s krav på kryptering och konfidentialitet.