Digitalisering

Experten: så klarar du dataskyddslagen

It-advokaten Agnes Hammarstrand möter företag och organisationer som försöker förbereda sig för dataskyddsförordningen. Foto: Sören Håkanlind
It-advokaten Agnes Hammarstrand möter företag och organisationer som försöker förbereda sig för dataskyddsförordningen. Foto: Sören Håkanlind

Färdiga lösningar kan försena den som vill leva upp till dataskyddsförordningen. It-advokaten Agnes Hammarstrand tycker att varje bolag måste utgå från sina förutsättningar.

Publicerad

Den nya dataskyddsförordningen väcker känslor. Det vet Agnes Hammarstrand, som har blivit utskälld vid flera tillfällen det senaste året.

– De skjuter budbäraren och tycker att det jag säger är helt sjukt. Det är ingen ovanlig reaktion, men jag har aldrig stött på det i något annat sammanhang tidigare.

Hammarstrand är advokat och delägare på advokatfirman Delphi. Hennes specialistområden är it och telekom, immaterialrätt, e-handels- och konsumenträtt. När hon för ledningsgrupper förklarat vad dataskyddsförordningen, GDPR, innebär och ställer för krav på deras bolag, kan de reagera med ilska.

– Jag har en ganska pragmatisk inställning. Men det hjälper inte alltid, vissa blir helt tokiga. ”Vi har inte ens 20 000 kronor i vår budget till juridik och det finns inte på kartan att vi skulle kunna göra det här!”

De flesta väljer trots allt att lyssna. Och det de då får lära sig är att strunta i alla färdiga lösningar och skräddarsydda applikationer som just nu svämmar över marknaden. Dataskyddsförordningen – som börjar gälla från och med 25 maj 2018 – för med sig olika skyldigheter för olika bolag. Det kan bland annat handla om hur mycket data man har, vilken typ av data och hur den används.

– Jag ser många konstiga åtgärder, som jag inte riktigt begriper. Som det här med gap-analys (ett affärsverktyg för att jämföra nuvarande och potentiell prestation, reds anm). Ja, det är viktigt att göra, men frågan är vad man kartlägger med en sådan analys. Vissa försöker endast kartlägga någon slags allmän känsla för hur mycket dataskydd man har.

Hon beskriver ett frågeformulär i stil med ”Har du kryptering?”.

– Svaret kan ju vara ”Nej, men jag behöver inte kryptering”. Jag är skeptisk till att dra slutsatser av sådant. Man måste utgå från de legala kraven som gäller för det egna bolaget.

En vanligt förekommande term i samband med GDPR är ”privacy by design”, som ibland kallas inbyggd integritet på svenska, eller inbyggt dataskydd. Det går ut att på att bolagets system är konstruerade så att de i sin grundinställning ger det dataskydd förordningen kräver. Men Agnes Hammarstrand påminner om att det i praktiken är olika krav för olika företag.

– Det kan innebära att man har kryptering. Det kan innebära att man har behörighetsstyrning, om det till exempel rör sig om känsliga personuppgifter. Men jobbar du med ett okänsligt affärsregister med offentlig data kanske du inte behöver det för att leva upp till förordningen.

Prenumerera på Ny Tekniks kostnadsfria nyhetsbrev!

Juristens råd: 9 steg mot GDPR

1 Är företaget helt oinsatt kan man börja med en kort presentation inför ledningsgruppen. Sätt av 90 minuter för en expert på förordningen.

2 Tillsätt en projektgrupp. Det kan lämpligtvis vara en bolagsjurist (om man har en sådan), någon från it, hr och kundvård. Gärna en intern projektledare.

3 Kör en heldagsworkshop. Det blir en jättebra kickstart. Då kan man område för område gå igenom vad reglerna säger och vad det innebär för det aktuella företaget. Just denna punkt är det många som missar. Kunskap först fungerar bäst.

4 Sätt i gång projekt. Det ser olika ut beroende på om det är ett stort eller litet bolag, och vad som ska prioriteras. En it-leverantör kan börja med kundförhållandet. Kunden efterfrågar dataskydd redan nu, inte om ett år. Är man någon som har egen behandling av data så är första steget inventering. Vilka register har företaget? Vilka behandlingar utförs? Det gäller att kartlägga dem. Göra en registerförteckning.

5 Kartlägg databehandlingen. Det kan pågå parallellt med registerförteckningen. Vad är syftet med behandlingarna? Vilken är den lagliga grunden för behandlingarna?

6 Kartlägg relationer, avtal och överföringar. Det kan vara ytterligare ett projekt, som ofta hamnar hos en jurist. Om it utreder behandlingarna så kan juristen utfärda avtalen.

7 Klargör rollerna. När är man personuppgiftsbiträde och när är man ansvarig? Det är två olika sorters behandlingar och man måste dessutom kartlägga relationen mellan dem. Ett personuppgiftbiträdesavtal är exempelvis när man delar uppgifter med någon, eller är molnleverantör.

8 Bedöm det lagliga stödet för behandling. Behövs samtycke? Denna bedömning kan behöva göras i samråd med jurist. Man måste fråga sig vilka åtgärder man behöver vidta för att kunna fortsätta göra den behandling man gjort tidigare.

9 Allt detta leder till flera åtgärder: upprätta policydokument, upprätta intern personuppgiftspolicy och se över informationssäkerheten.