Publicerat: 7 februari 2018
Redan för ett halvår sedan spådde Gartner att ungefär hälften av företagen i Europa kommer att vara oförberedda när GDPR träder i kraft 25 maj 2018. Tahles undersökning från november i år bekräftar de farhågorna.
Det ser likadant ut överallt och gäller både i Sverige och resten av Europa. Jag tror att många som jobbar med GDPR känner igen sig och vissa kanske skulle säga att alla de som fortfarande inte har inlett sitt GDPR-arbete är i gott sällskap, men frågan är om det verkligen är där man vill befinna sig?
Tolkningarna av förordningen är tvetydiga på sina håll, vilket skapar förvirring över vad man verkligen behöver göra som företagare. Det kommer uppstå en hel del tvister om hur GDPR ska tolkas och prejudicerande domstolsfall som klargör tvetydigheter. Detta kan bidra till att vissa företag blir en smula avvaktande i sitt agerande i nuläget.
Inledningsvis kommer det vara de större företagen som ligger i blickfånget för Datainspektionen och det är en av huvudorsakerna till varför många mindre företag helt ignorerat att GDPR är i antågande. Men tyvärr slipper ingen undan, tvärtom finns det massor av detaljer vi alla måste ta itu med och du bör inleda arbetet här och nu om du vill undvika sömnlösa nätter under våren.
Räkna inte heller med någon smekmånad från Datainspektionen. De har varit tydliga med att 25 maj är en deadline. Faktum är att smekmånaden pågår just nu, för handen på hjärtat – det här har vi vetat om länge. GDPR trädde officiellt i kraft redan 27 april 2016 medan diskussioner inleddes redan 2009, så varför kommer detta som en överraskning? Vi har haft fem år för att förbereda oss för en lag som antogs för mer än ett och ett halvt år sedan, och vi är fortfarande inte redo. Det finns tillslut ingen ursäkt kvar.
Idag vill företag veta allt om alla och ser också till att samla in den informationen. Nästan varje organisation har tillgång till någon form av känsliga personuppgifter och metoderna för att samla in dem är sofistikerade. Jag behöver inte gå längre än till vår egen webbavdelning där vi – på våra kunders begäran – utvecklar sidor med enkla ”acceptera-rutor” eller blanketter som fylls i automatiskt för att det ska bli så enkelt som möjligt för kunderna att överlämna sina personuppgifter. Överallt hittar man snabb-knappar för att dela på sociala medier och vi hittar nya affärsmodeller där kunderna kan köpa tjänster med personlig information istället för pengar. En drömvärld för säljare och marknadsförare som i och med GDPR får lära sig leva i en ny verklighet utan denna data och utan dessa möjligheter.
Ett ”Big-Data-samhälle” där personlig integritet inte prioriteras speciellt mycket – vi har nog alla insett att det så småningom skulle leda till en ny lag. En lag som inte bara skulle bli en ny uppdaterad PUL som ändå ingen följer, utan en lag som verkligen sätter ned foten för att klargöra att människor faktiskt har rätt till sitt privatliv. Varje överträdelse av PUL de senaste åren (och det finns många exempel som även uppmärksammats i media) har varit en varning för oss. Vi pratar även exempelvis om diverse suspekta register, malvertising, kostnadsfria IT-tjänster eller oönskade men träffsäkra annonser mm. GDPR är alltså välbehövlig och en ”game changer” och det är EU som skapar riktlinjerna. Men hela världen tvingas nu följa efter om de vill ha fortsatt handel med oss, eftersom GDPR även gäller för kunder, partner och leverantörer till alla företag verksamma i EU. Kina var exempelvis först ut att införa de nya reglerna.
De organisationer vars medarbetare använder ett riskbaserat tillvägagångssätt för integritetsskydd förstår inte att det indirekt är deras egen integritet de sätter i fara. Vi är alla berörda. Någon förlorar sin nattsömn eftersom deras galna ex-partner kan ta redan på var deras barn går i skola. En annan stöter på patrull eftersom information om vilken religion de utövar, vilka läkemedel de använder, eller vilka misstag de gjort tidigare i livet är tillgängligt för alla. GDPR är inte bara en kontroll av cybersäkerhet.
Många av de saker som förordningen tar upp om förhållningssätt är också allmänt rimliga och samtidigt en rejäl knuff mot den typ av förbättringar som IT-säkerhetsfolk länge har bett om, d v s bättre datainventering, bättre kryptering, bättre pseudonymisering, bättre övervakning, bättre och tätare tester av sårbarhet samt applikationer som inte är fulla av säkerhetshål.
Historiskt har programmerare fritt kunnat skriva diverse applikationer med bristfällig säkerhet, men nu uttrycker GDPR att alla applikationer som hanterar personuppgifter måste vara ”säkra genom design” samt att lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är anpassad till risken måste vidtas, vilket borde sätta punkt för de flesta av de problemen. Och inte bara det. Den kartläggning, dokumentation och de register som vi nu alla tvingas göra av vår IT-miljö samt eventuellt medföljande IT-policy, bör vara tillräckligt underlag för att eliminera exempelvis den skugg-IT ditt företag förmodligen brottas med. Man kan säga att ju mer skrämmande du upplever dina kunders rätt att bli bortglömd, eller 72-timmars anmälningsskyldigheten som gäller vid en personuppgiftsincident, desto sämre integritetsarbete har du gjort fram till nu.
Företag måste vara ansvarsfulla parter i ett samhälle. De måste förstå att när andra människor ger oss det som rätteligen tillhör dem borde de också veta att vi är i besittning av det och vårda det varsamt. De måste veta var vi förvarar det och även kunna återlämna det när vederbörande vill ha det tillbaka. Vad GDPR gör är alltså att de definierar personuppgifter (eller personlig identifierbar information) som en tillhörighet och att det därför också bör behandlas som det.
Thomas Fälldin
GDPR-konsult Gibon