Den viktigaste slutsatsen från frukostseminariet är att vi alla helt klart måste jobba mer med logganalyser. Det är nyckeln till att säkra den data vi behöver för att företag, applikationer, tjänster och funktioner – ja, i stort sätt hela vårt samhälle ska fungera. Dels för att säkerställa att känsliga data samlas in på ett effektivt sätt och dels för att vi ska kunna radera, flytta eller säkra personuppgifter säkert och enligt lag. Vi har kommit dit att samhället är beroende av data, i en mängd som hela tiden växer. Nu måste vi helt plötsligt begränsa den. Det är en jätteutmaning vi står inför men det finns också möjligheter – om man fokuserar på rätt saker.
Vad innebär då GDPR? Niclas Edling började med att ge oss en snabb recap och bakgrundsfakta. GDPR är alltså en EU-förordning, dvs en tvingande lagstiftning som nästa år ersätter Personuppgiftslagen (PuL) som vi haft ända sedan 1998. Syftet är i grunden gott – att vi människor ska vara skyddade på nätet men också att företag som vill göra affärer inom EU ska ha ett och samma regelverk att förhålla sig till, istället för olika lagar i varje land. Niclas Edling jämför GDPR med ett isberg, som är betydligt större än vad man först anar:
Företag som inte lever upp till kraven, i vissa fall inom 72 timmar, kan få böta 4 % av sin globala omsättning, vilket såklart kan få förödande konsekvenser. Men upptäcker du isberget i tid kan du navigera förbi och undvika katastrofen.
Som att blanda olja och vatten
Vad är det då vi har att tampas med, förutom den mest uppenbara risken att gå i konkurs vid ett litet misstag? Å ena sidan har vi en datamängd som växer med 40 % årligen. Data som behövs för att kunna skapa smarta, innovativa, effektiva och samhällsnyttiga applikationer. Å andra sidan får vi en mer restriktiv lagstiftning som måste följas. Gas och broms.
”Det är som att blanda olja och vatten – men det finns verktyg som liksom diskmedel löser upp ytspänningen.” menar Niclas.
Ett exempel på ett sådant ”diskmedel” är Splunk, som vi på Tripnet ser som en av flera möjliga lösningar för att hantera våra kunders data, såväl den maskin- som persongenererade. Simon Ogden från Splunk var morgonens andra talare och fokuserade på såväl möjligheterna som riskerna med den situation vi står inför. Vi fick också se ett exempel på hur Splunk fungerar men Simon var noga med att poängtera att Splunk inte är hela lösningen – utan ett verktyg, som också har många andra fördelar.
Splunk kommer inte att göra er 100 % compliant. Däremot är det en check i boxen och ett hjälpmedel för andra processer. Exempelvis kan verktyget bidra till att hitta, övervaka och analysera information.
Simon Ogden, Splunk
Vad räknas som personuppgifter?
Allt som går att härleda till en individ räknas som personuppgifter. Det gäller alltså inte bara namn och personnummer, utan saker som foton, passnummer, ip-adresser, cookies och MAC-adresser. Simon Ogden menar att det dessutom inte är en statisk lista, utan att det högst troligen kommer att förändras och tillkomma fler parametrar:
En av utmaningarna är därför att vi inte vet om det vi samlar in idag kommer att strida mot reglerna i morgon. Det måste vi ta höjd för nu.
Påverkar GDPR innovationskraften?
Många smarta verktyg i vår vardag bygger på att stora mängder data samlats in och analyserats. Allt ifrån algoritmer i Facebook som visar det just du är intresserad av, till brottsförebyggande applikationer som kan förutse var nästa brott kommer att ske och dirigera polisbilarna dit. Kommer GDPR innebära att vi nu förlorar tillgången till big data och därmed tappar innovationskraft? Konkurrenskraftig data har ofta känslig karaktär. Därför måste applikationerna byggas så att vi kan använda data utan att bryta mot lagen. Ett sätt att tänka är ”Privacy by design and default”.
Ur ett tekniskt perspektiv måste systemen byggas restriktivt från början, så fort det är människor och processer inblandade. Idag registrerar du en öppen profil på Facebook och justerar säkerhetsnivån manuellt i efterhand. Istället måste utgångsläget vara: inga personuppgifter alls och sen får varje individ godkänna vilka uppgifter som får lov att lagras.
Det innebär också att ett företag eller en organisation kan lagra personliga data, så länge man som privatperson tydligt och klart har kryssat i eller signerat ett godkännande. Långa villkorstexter är bara att glömma – från och med nu är det kort och koncist som gäller.
Det ska inte råda någon tvekan om att man har gett sitt medgivande eller till vad.
”Mandatory erasure and portability”
En av de grundläggande principerna i GDPR innebär att jag som privatperson äger min egen data. Därmed har jag också när som helst rätt att flytta min data från en leverantör till en annan – eller att helt enkelt få den raderad.
”Detta är ett av de tuffaste kraven att uppfylla, för vad innebär egentligen ”erasure”? Om jag tar bort en fil på en dator, tar jag egentligen inte bort filen utan bara en pekare. Det finns alltid en hårddisk i botten. Många har kanske inte tänkt på vad som krävs för att det ska raderas helt.” säger Simon och menar att det är just komplexiteten i att säkerställa att processer funkar, att det rapporteras och att man gör det man ska, som Splunk kan hjälpa till med.
Logganalys för webbapplikationer öppnar upp nya möjligheter
Logganalys tillför också mycket i vårt arbete med drift av webbapplikationer. Dels för att optimera användarupplevelsen, men också för att göra bättre tester och för att förbättra säkerheten. Logganalysen ger oss insikter i våra kunders system som både vi, kunden organisation och kundens utvecklare har stor nytta av.
”Vi på Tripnet har erfarenhet av att jobba med logganalys under några år och provat olika verktyg. En nytta vi ser av att jobba med loggarna är vid lasttester. Ett exempel är när vi lasttestade en e-handelssite och med hjälp av logganalys fick fram data som gjorde att vi kunde korta laddningstiden med en tredjedel och att siten klarade många fler besökare.” berättar Martin Dohmen.
Vad gör vi nu?
Vi på Tripnet levererar insiktsfulla råd och de tjänster du behöver samla in, bevara och analysera loggarna. Kontakta oss gärna om du vill veta mer eller har frågor hur vi kan hantera din kunddata och vilka möjligheter som finns med logganalys.
