GDPR – ett år senare

För ett år sedan hägrade införandet av den nya dataskyddsförordningen, GDPR. Många kände sig osäkra på vad direktivet egentligen skulle innebära och alltför få visste hur man, rent praktiskt skulle gå tillväga för att förbereda sig. Spaltmeter efter spaltmeter med goda råd och varningar om dataskyddsförordningen publicerades, fram till införandet den 25 maj 2018. Sedan blev det tyst. Så vad har egentligen hänt i efterdyningarna av införandet? Hur har förordningen påverkat företag i stort och vet vi egentligen mer idag än vad vi gjorde då?

GDPR-granskade verksamheter

Få domar har än så länge fallit – såväl på global som inrikes nivå. Gällande internationella bolag är kanske den stora snackisen att Datainspektionen mer eller mindre omedelbart efter införandet av GDPR riktade ett föreläggande mot Google att ta bort ett antal sökträffar som innehöll personers namn i sammanhang som var “oriktiga, irrelevanta, inte längre relevanta eller överflödiga”. Flera av de resultat som skulle ha tagits bort ligger dock fortfarande kvar, nästan ett år efter föreläggandet, vilket innebär att Google i värsta fall riskera en bot på drygt 11 miljarder kronor.

På lokal nivå avslöjades det så sent som i februari 2019 att 1177 Vårdguiden läckt 2,7 miljoner inspelade telefonsamtal som privatpersoner gjort från 2013 och framåt. Samtal som innehåller frågor för rådgivning kring olika hälsotillstånd och sjukdomar. Då detta är patientdata anses de vara känsliga personuppgifter som kräver särskilt skydd. Datainspektionen har nu inlett en granskning av 1177 Vårdguiden.

Hajpen kring GDPR har lagt sig

Men det som kanske har märkts tydligast är att den hajp omkring GDPR som rådde för ett år sedan, nu har lagt sig. Förmodligen handlar det inte om att alla nu känner sig mer trygga i att man faktiskt gjort det arbete som krävs, utan att det helt enkelt inte har ”drabbat” särskilt många. Att så få företag har bötfällts skapar felaktigt en känsla av att det kanske inte är så noga det där med GDPR, trots allt.

Många har ”sminkat” företaget på ytan genom att exempelvis upprätta en integritetspolicy, det vill säga – det som syns utåt. Få företag har på riktigt lagt fokus på det stora arbete som krävs för att fundamentalt förändra förhållningssättet i det dagliga arbetet, och sätta rutiner för hantering av personuppgifter.

Vad man verkar ha missat är att de större teknikföretagen sedan införandet av GDPR ständigt utvecklar nya tjänster för att möta kraven, vilket gör steget mot compliance allt mindre.

Varför har så många gjort så lite?

Att så få arbetat på djupet med GDPR handlar främst om bristande kunskap. Kanske har man fått en utbildning om förordningen, men hur den på individuell nivå är relevant för medarbetarna i deras dagliga arbete är ofta oklart. Särskilt om inte rätt teknik och interna processer som stödjer medarbetarna i sitt arbete med detta finns på plats.

Många företag ställer även sin egen position mot andras. Mindre företag utgår ofta från att om de bara samarbetar med större, etablerade företag så kan de utgå från att allt är ok. Sanningen är att du inte kan anta något alls, särskilt efter att det nu visat sig att många större bolag, som ofta är mindre benägna att förändra sig än små, inte lever upp till kraven för GDPR. Detta i kombination med att det inte ännu inte finns någon rättspraxis gör att det enklaste blir att inte göra något alls. Förordningen finns där, men du vet inte hur den ska tolkas, vad du rent praktiskt ska göra för att följa den och vilka effekter den kommer att ha om något händer.

På sikt kan du tjäna på GDPR

Om du som så många kört fast i arbetet med GDPR är ett bra sätt att komma vidare att försöka se på det som en verksamhetsförbättring snarare än en kostnadspost i budgeten. Använder du Office 365-miljö finns det färdiga lösningar som hjälper dig att på enklast möjliga sätt uppnå grundkraven. Genom att använda dessa lösningar kan du samtidigt arbeta bort redundanta eller manuella processer som istället kan automatiseras vilket gör arbetet betydligt effektivare, billigare och säkrare.

Vill du veta mer? Tveka inte att kontakta oss på WeSafe, så hjälper vi dig!

Webinar

Hantera säkerhet och efterlevnad i Microsoft 365

Kostnadsfri utbildning till dig som är Microsoft 365 administratör. Säkerställ att din organisation har rätt säkerhet och efterlevnadsnivå med hjälp av Microsoft 365.

Läs mer
Kostnadsfri Säkerhetsanalys av er Microsoft 365-miljö

Få konkreta och handfasta tips på hur du bättre kan skydda din organisation

Läs mer och boka

Skriven av:

Marcus Juvin

Technical Lead - Security and Compliance

marcus.juvin@upheads.se