5 frågor till experten: ”Vi kommer få se hårdare GDPR-kontroller”
Ett år har gått sedan den europeiska Dataskyddsförordningen GDPR ersatte den tidigare Personuppgiftslagen. Chefs dataskyddsexpert Caroline Olstedt Carlström utvärderar den nya lagen såhär långt – och konstaterar att företagens arbete med GDPR är långt ifrån över.
Fjolårets GDPR-ångest har bleknat till ett vagt olustigt minne. De omtalade bötesstraffen på upp till 20 miljoner euro för brister i dataskyddet har ännu lyst med sin frånvaro i Sverige. Kanske har du hunnit dra en lättnadens suck, och så smått börjat glömma vad allt ståhej egentligen handlade om. Men enligt Datainspektionens nyligen utkomna nationella integritetsrapport uppger bara hälften av de svenska företagen att de idag bedriver ett systematiskt arbete med dataskydd.
Caroline Olstedt Carlström är delägare på advokatbyrån Cirio, och en av Sveriges mest erfarna dataskyddsspecialister. I egenskap av externt dataskyddsombud på Klarna och Nasdaq och som ordförande i föreningen Forum för dataskydd har hon bättre inblick i lagstiftningen och dess efterlevnad än de flesta. Chef bad inför ettårsdagen av datalagens införande om hennes bild av nuläget – och om tips för GDPR-yrvakna chefer.
Såhär ett år efter att GDPR infördes, hur ser din bild av svenska företags kunskap om, anpassning till och efterlevnad av den nya lagen ut?
”Det finns fortfarande luckor. Många har haft GDPR-projekt i en eller annan form. Medvetenheten om att det krävts någon form av åtgärder är hög. Men man ska också komma ihåg att det här är en lagstiftning som förutsätter att man regelmässigt arbetar med dataskyddet och beaktar sådana frågor i organisationen. Det är alltså inte något man implementerar och är ‘färdig’ med. De många GDPR-projekt som genomfördes förra året och nu har stängts bör alltså nu ha övergått i en löpande förvaltning. Den förvaltningen är det däremot inte lika hög genomförandegrad på, vilket ofta beror på bristande resurser, andra prioriteringar med mera.”
Vad tror du att vi har att vänta oss från EU:s kontrollmyndigheter framöver? Var det första året ett mellanår, med strängare bevakning av lagen på väg?
”Ja, jag tror vi kommer se mer aktivitet och tillsyn framöver. Det är positivt. Tillsynsarbetet ger olika branscher och även tillsynsmyndigheterna en större förståelse för de olika praktiska utmaningar som regelverket medför, förser oss med praxis och skapar förutsättningar för bättre och tydligare vägledningar från myndigheterna framöver. Man ska komma ihåg att regelverket ju är nytt även för tillsynsmyndigheterna och att det även där har behövts en startsträcka, skapa förutsättningar för mer resurser etcetera.”
Vad tror du effekterna av lagen har blivit bland användarna? Slår vi bättre vakt om våra personuppgifter nu än för ett år sedan?
”Datainspektionen har precis presenterat sin första nationella integritetsrapport. Där framgår exempelvis att 8 av 10 medborgare känner till regelverket och att det innebär förstärkta rättigheter för individer. Medvetenheten har generellt helt klart ökat. Däremot är jag mer bekymrad för den s k integritetsparadoxen; vi har ett glapp mellan vad vi säger att vi prioriterar och hur vi sedan faktiskt agerar. Det kan förstås ha många olika orsaker. Enkla och spännande tjänster, tung marknadsföring eller ett behov av effektivare verktyg kan exempelvis göra att vi väljer att ändå använda ett verktyg eller en app – även om vi egentligen känner viss oro eller saknar information. Gränssnittet mot användarna spelar idag på många olika strängar och skapar till exempel en känsla av att vi inte kan vara utan den tjänst eller app vi övervägt. Så kallad nudging är ett effektivt verktyg för att skapa ett behov och kanske få en användare att bortse från sin egen oro. Generellt tycker jag fortfarande vi har en bra bit kvar tills vi uppnår en riktigt tydlig information till användarna, full transparens. Men det är svårt!”
Vad tycker du att EU har lyckats bäst med i den nya lagstiftningen?
”Det viktigaste bidraget är harmoniseringen, att det nu är en förordning. Jag tycker inte nödvändigtvis att harmoniseringen i sig är lyckad i alla delar, men det är viktigt ATT vi eftersträvar ett harmonierat förhållningssätt. Något annat vore i vårt innovativa och globala tidevarv inte möjligt. Det ska vara enkelt att göra rätt och att ta sin verksamhet och sina affärer vidare ut i Europa! Nu har vi fått ett bra regelverk med bättre verktyg för det.”
Om man som chef misstänker att organisationen brister i GDPR-efterlevnaden – kanske i form av kundlistor som flyter omkring eller dålig mejlgallring – vilka åtgärder tycker du att man genast bör vidta?
”Kommunikation! Givetvis finns här en hel palett med olika åtgärder att ta till – det hänger mycket på vilka resurser man har och är villig att lägga ner. Men underskatta inte ‘tone from the top’. Redan det att chefen fokuserar på problemet och belyser frågan är en viktig åtgärd. De flesta anställda vill ju göra rätt. Om chefen är tydlig med problemet, och lyfter hur kundlistorna eller mejlgallringen egentligen ska hanteras så sätts rätt kultur. Medvetenhet är viktigt och det påbörjas bäst med enskilda, tydliga exempel – istället för att försöka hantera hela elefanten i ett svep. Många mindre steg!”
Fortsätt läsa kostnadsfritt!
Vi behöver bara en minut…
Så roligt att du vill fortsätta läsa! Det får du strax göra, utan att betala något.
- Tillgång till våra låsta artiklar och webinar gratis!
Dina uppgifter delas aldrig med tredje part. Läs vår integritetspolicy här.