GDPR - ett år senere

GDPR-reviserte organisasjoner

Så langt er det avsagt få dommer - både på globalt og nasjonalt nivå. Når det gjelder internasjonale selskaper, er kanskje den store nyheten at det svenske Datainspektionen mer eller mindre umiddelbart etter innføringen av GDPR utstedte et pålegg mot Google om å fjerne en rekke søkeresultater som inneholdt personnavn i sammenhenger som var "uriktige, irrelevante, ikke lenger relevante eller overflødige". Flere av resultatene som skulle ha vært fjernet, ligger imidlertid fortsatt der, nesten ett år etter pålegget, noe som betyr at Google i verste fall kan bli ilagt en bot på over 11 milliarder svenske kroner.

På lokalt nivå ble det så sent som i februar 2019 avslørt at 1177 Vårdguiden hadde lekket 2,7 millioner innspilte telefonsamtaler fra privatpersoner fra 2013 og fremover. Disse samtalene inneholder spørsmål om rådgivning om ulike helsetilstander og sykdommer. Ettersom dette er pasientopplysninger, regnes de som sensitive personopplysninger som krever spesiell beskyttelse. Datainspektionen har nå innledet en granskning av 1177 Vårdguiden.

Hypen rundt GDPR har lagt seg

Men det som kanskje har vært mest merkbart, er at hypen rundt GDPR som hersket for et år siden, nå har lagt seg. Det skyldes nok ikke at alle nå føler seg tryggere på at de faktisk har gjort det arbeidet som kreves, men at det rett og slett ikke har "rammet" så mange. Det faktum at så få selskaper har blitt bøtelagt ved en feil, skaper en følelse av at GDPR kanskje ikke er så streng likevel.

Mange har "sminket" selskapet på overflaten, for eksempel ved å etablere en personvernerklæring, dvs. det som er synlig for omverdenen. Få selskaper har virkelig fokusert på det store arbeidet som kreves for å endre tilnærmingen i det daglige arbeidet og etablere rutiner for håndtering av personopplysninger.

Det som ser ut til å ha blitt oversett, er at de store teknologiselskapene siden innføringen av GDPR stadig utvikler nye tjenester for å oppfylle kravene, noe som gjør steget mot etterlevelse enda mindre.

Hvorfor har så mange gjort så lite?

At så få har jobbet inngående med GDPR, skyldes først og fremst mangel på kunnskap. Kanskje har man fått opplæring i forordningen, men hvordan den er relevant på individnivå for de ansatte i det daglige arbeidet, er ofte uklart. Spesielt hvis man ikke har riktig teknologi og interne prosesser som støtter de ansatte i arbeidet med dette.

Mange selskaper setter også sin egen posisjon opp mot andres. Mindre selskaper antar ofte at hvis de bare samarbeider med større, etablerte selskaper, kan de gå ut fra at alt er i orden. Sannheten er at man ikke kan anta noe som helst, særlig nå som det har vist seg at mange større selskaper, som ofte er mindre endringsvillige enn mindre selskaper, ikke overholder GDPR. Dette, kombinert med det faktum at det ennå ikke finnes noen rettspraksis, betyr at det enkleste er å ikke gjøre noe i det hele tatt. Forordningen er der, men du vet ikke hvordan du skal tolke den, hva du skal gjøre i praksis for å overholde den og hvilke konsekvenser det vil få hvis noe skjer.

I det lange løp kan du dra nytte av personvernforordningen.

Hvis du, som mange andre, sitter fast i GDPR, er en god måte å komme videre på å prøve å se på det som en forretningsforbedring i stedet for en kostnadspost i budsjettet. Hvis du bruker et Office 365-miljø, finnes det ferdige løsninger som hjelper deg med å oppfylle de grunnleggende kravene på enklest mulig måte. Ved å bruke disse løsningene kan du også eliminere overflødige eller manuelle prosesser som i stedet kan automatiseres, noe som gjør arbeidet mye mer effektivt, billigere og sikrere.

Vil du vite mer? Ikke nøl med å kontakte oss i WeSafe, så hjelper vi deg!