GDPR – erfarenheter från fältet

Skrämselpropagandan har varit hög och tolkningarna av de olika kraven i den nya personuppgiftslagen är lika många som antalet personer man frågar. Men vad ska man då tro om allt som sägs. Vi låter en av våra konsulter förklara läget.

Hans Graah-Hagelbäck, en av Sourcecoms informationssäkerhetsspecialister, har arbetat med införande av GDPR under senaste två åren i både offentliga och privata verksamheter. Han har agerat både som huvudprojektledade samt specialist i de olika kundprojekten.

Vilken var den första insikten du fick efter att ha arbetat med GDPR ett tag?

– Tidigt ute så var det mycket prat om samtycke, att det var enda vägen att gå om det inte fanns avtal eller lagkrav att vila sig mot. Det berodde också mycket på Datainspektionens kommunikation i ett tidigt skede. Under andra halvåret 2017 så ändrades tonen lite och att det gick bra att använda intresseavvägning i många av de fall där man tidigare använt sig av det.

All den epost som har kommit den senaste tiden har ju handlat om att man ska ge just samtycke, hur förklarar du det?

– Jo jag har också fått min beskärda del av epost med samtyckesförfrågningar. Den snabba förklaringen är masshysteri, panikåtgärder och snöbollseffekt. Jag tror att många företag när det närmade sig 25 maj (datumet då nya lagen trädde i kraft) fick panik och mailbombade kunder om samtycke utan att först ha gjort en riktig bedömning om samtycke var dem mest lämpliga grunden att basera personuppgiftsbehandlingen på. Generellt så är samtycke det sista alternativet man bör välja.

Vilka andra insikter har du fått från de olika projekten du deltagit i?

– De som redan följde den nuvarande Personuppgiftslagen hade betydligt mindre att ta tag i än de som inte uppfyllde de krav som redan gällde innan GDPR trädde i kraft. En annan insikt är också att de verksamheter som har ett fungerande ledningssystem för informationssäkerhet har mycket gratis, så resan till att uppfylla GDPR-kraven är mycket kortare.

Sista frågan. Vad händer nu?

– Jag tror dels att många företag som inte hann med ”GDPR-projektet” innnan 25 maj kommer att ta tag i det i höst och sedan tror jag också att fler kommer att införa ett ledningssystem för informationssäkerhet då det är så många delar av verksamheten som gynnas av det, förutom de delar som dubblerar GDPR. Sen är ju inte det som gjorts hittills någon slutdestination utan ett pågående arbete med förvaltning och förbättringar.