Trodde du att GDPR-arbetet var färdigt? Tänk om! Nu kommer nästa fas – att lära sig leva med den nya lagen och förstå hur den faktiskt ska tillämpas i vardagen.
Våren var lite lätt galen, hysterisk och förvirrande. GDPR stod på allas priolista med intensivt arbete. Nu börjar arbetet handla om hur lagen faktiskt ska tillämpas. Vilka incidenter ska anmälas, vilken information får man hålla och hur mycket information är man skyldig att lämna ut när någon begär det? O.s.v…
– Den hysteri som rådde i våras tror jag aldrig mer att jag kommer att uppleva en motsvarighet till. Nu börjar det landa och de flesta börjar inse att det här är en lag man ska leva med – inte bara ett projekt som tagit slut. Man blir aldrig klar med dataskydd, det börjar företagen inse nu, säger Agnes Hammarstrand, it-advokat på advokatfirman Delphi i en artikel på IDG.se.
– Arbetet är långt ifrån klart i de flesta organisationer. Fortfarande pågår exempelvis många förhandlingar kring sådant som personuppgiftsbiträdesavtal som man är skyldig att ha enligt lagen. Och när det gäller sådant som privacy by design, att systemen ska byggas och anpassas så att de stöder en korrekt personuppgiftsbehandling – Ja, då finns det mycket jobb kvar, säger David Frydlinger, advokat på advokatfirman Lindahl
Knappt någon klarar lagen fullt ut ännu enligt David, men han oroar sig självklart mest för de som har struntat i att anpassa sig helt. Agnes fyller i och menar på att det fortfarande finns en hel del missförstånd kvar, inte minst att det är många som tror att en del regler är nya fast de sett exakt likadana ut i flera decennier. Det har spritts många felaktiga ”sanningar” vilket har skapat en viss handlingsförlamning för de som inte förstår vad de får göra.
Efter GDPRs inträde har dataskydd fått en helt ny plats på företagen och många har faktiskt blivit riktigt duktiga på de här frågorna. Nu fortsätter arbetet.
Anmälningarna rasar in
IDG.se meddelar att GDPR-incidenterna ökar, anmälningarna rasar in. I slutet på september hade över tusen incidenter där säkerheten kring personuppgifter brustit anmälts. Personuppgiftsincidenter innebär incidenter där uppgifter kan ha förstörts eller röjts för någon som är obehörig. Enligt den nya dataskyddsförordningen ska de anmälas inom 72 timmar.
De vanligaste incidenterna som anmälts är felaktiga mejl och brevutskick. Incidenten bedöms beroende på vilken typ av personuppgifter det handlar om. Känsliga eller okänsliga uppgifter, krypterat eller okrypterat, gäller det en person eller flera tusen och vad har gjorts för att det inte ska kunna hända igen?
Har ni kommit igång ordentligt med GDPR-arbetet på ditt företag?
Läs mer om hur vi kan hjälpa till.
Tina Viitala Joelsson
Marknadsassistent
tina.viitala@k3nordic.com