GDPR. Är du involverad i offentlig förvaltning eller i det privata näringslivet har du säkert stött på dessa bokstäver i denna kombination på sistone. Den 25 maj träder en ny lag i kraft och de senaste månaderna har det målats upp en domedagsliknande bild av denna nära förestående händelse.
Svenska företag är sämst i klassen och ingen vet vad som kommer att hända mer än att det finns risk för dryga böter. Men hur illa ställt är det egentligen och vad behöver göras? Peter Essenberg arbetar som säljare på IT-mästaren som har kontor i Stockholm, Karlstad och Örebro. Enligt honom finns det mycket att göra men läget är långt ifrån hopplöst.
Bakgrunden till den nya lagen är att skapa ett bättre skydd för vår digitala närvaro och samtidigt få till samma lagstiftning i hela Europa.
– Man ska ha rätt att bli bortglömd om det inte finns någon lag som hindrar. Du kommer exempelvis inte kunna radera dina uppgifter i brottsregistret, men i övrigt ska man kunna begära att lagrade uppgifter om en raderas. Det är grundtesen för GDPR, berättar Peter Essenberg.
Direktivet i den nya lagen säger att du ska göra ”allt som står i din makt” för att skydda personuppgifter. Enligt Peter behöver man ställa ett antal frågor inom organisationen: Vilka personuppgifter lagras? Vilken typ av uppgifter är det? Vad betyder det om datan läcker ut?
– Är det uppgifter av känslig karaktär är det ännu viktigare att tänka igenom hur man skyddar datan.
Lagen säger också att uppgiftssamlarna har anmälningsskyldighet om datan läcker ut. Peter berättar dock att statistik visar att det tar i snitt 180 dagar efter att data försvunnit innan man märker det vilket indikerar att det finns mycket kvar att förbättra. I GDPR ställs nämligen även kravet på att organisationerna ska veta var all data finns lagrad samt försäkra sig i största möjliga mån om att den inte kan komma på villovägar. Missköter man hanteringen av personuppgifter kan bötesbeloppet uppgå till 20 miljoner euro eller 4 procent av omsättningen.
– Det blir mer kännbart med GDPR, helt klart, säger Peter Essenberg.
Men hur illa ställt är det då och varför är svenska företag ”sämst i klassen” enligt flera undersökningar?
– Det finns en grundläggande anledning till att vi är dåligt förberedda i Sverige. Vi har haft en svag lag tidigare (PUL, red. anm.) jämfört med många andra länder. Det har exempelvis funnits undantagsregler i PUL som sagt att man inte behövt bry sig om ”ostrukturerad data”. Vi har inte haft koll på detta tidigare i Sverige och det är därför en del svenska företag blir lite svettiga nu.
Enligt Peter är det först nu som många svenska företag börjat lyfta på locket till GDPR-burken och det finns en hel del som omfattas av lagen som man kanske inte tänker på. Exempelvis påverkas lönesystem, automationssystem.
– Cookies på webbplatser är ett annat exempel. Och är du i B2C-segmentet kan det handla om alla dina kunder. En liten fotograf har kanske inte tänkt till än på vad GDPR innebär.
För de som ännu inte börjat arbeta med att anpassa sig till GDPR brinner det i knutarna, men det är samtidigt ingen total katastrof om man inte är helt redo när lagen träder i kraft den 25 maj.
– Nu är resursläget hos konsulterna dåligt för de som behöver extern kompetens, de flesta är fullbokade. Men att det basuneras ut som domedagsprofetior på många håll är lite överdrivet. Så kommer det inte att bli enligt min bedömning. Kan man visa på att man påbörjat arbetet med GDPR så tror jag att det inte gör så mycket om man inte är helt färdig när lagen träder i kraft. Det är bättre att göra något än inget alls.
Peter Essenbergs viktigaste råd inför GDPR:
- Börja inventera. Vilka uppgifter lagrar ni och var? Då ser man vad som behöver göras.
- Ställ krav på dina underleverantörer. Du kan aldrig avtala bort ditt ansvar men ställ krav.
- Dokumentera er process.
- Bättre att börja och göra något än inget.