Digitalisering
Experten: så klarar du dataskyddslagen

Färdiga lösningar kan försena den som vill leva upp till dataskyddsförordningen. It-advokaten Agnes Hammarstrand tycker att varje bolag måste utgå från sina förutsättningar.
Den nya dataskyddsförordningen väcker känslor. Det vet Agnes Hammarstrand, som har blivit utskälld vid flera tillfällen det senaste året.
– De skjuter budbäraren och tycker att det jag säger är helt sjukt. Det är ingen ovanlig reaktion, men jag har aldrig stött på det i något annat sammanhang tidigare.
Hammarstrand är advokat och delägare på advokatfirman Delphi. Hennes specialistområden är it och telekom, immaterialrätt, e-handels- och konsumenträtt. När hon för ledningsgrupper förklarat vad dataskyddsförordningen, GDPR, innebär och ställer för krav på deras bolag, kan de reagera med ilska.
– Jag har en ganska pragmatisk inställning. Men det hjälper inte alltid, vissa blir helt tokiga. ”Vi har inte ens 20 000 kronor i vår budget till juridik och det finns inte på kartan att vi skulle kunna göra det här!”
De flesta väljer trots allt att lyssna. Och det de då får lära sig är att strunta i alla färdiga lösningar och skräddarsydda applikationer som just nu svämmar över marknaden. Dataskyddsförordningen – som börjar gälla från och med 25 maj 2018 – för med sig olika skyldigheter för olika bolag. Det kan bland annat handla om hur mycket data man har, vilken typ av data och hur den används.
– Jag ser många konstiga åtgärder, som jag inte riktigt begriper. Som det här med gap-analys (ett affärsverktyg för att jämföra nuvarande och potentiell prestation, reds anm). Ja, det är viktigt att göra, men frågan är vad man kartlägger med en sådan analys. Vissa försöker endast kartlägga någon slags allmän känsla för hur mycket dataskydd man har.
Hon beskriver ett frågeformulär i stil med ”Har du kryptering?”.
– Svaret kan ju vara ”Nej, men jag behöver inte kryptering”. Jag är skeptisk till att dra slutsatser av sådant. Man måste utgå från de legala kraven som gäller för det egna bolaget.
En vanligt förekommande term i samband med GDPR är ”privacy by design”, som ibland kallas inbyggd integritet på svenska, eller inbyggt dataskydd. Det går ut att på att bolagets system är konstruerade så att de i sin grundinställning ger det dataskydd förordningen kräver. Men Agnes Hammarstrand påminner om att det i praktiken är olika krav för olika företag.
– Det kan innebära att man har kryptering. Det kan innebära att man har behörighetsstyrning, om det till exempel rör sig om känsliga personuppgifter. Men jobbar du med ett okänsligt affärsregister med offentlig data kanske du inte behöver det för att leva upp till förordningen.