GDPR-panik är vårens stora krämpa – 3 experter om nya förordningen

2018-05-17 06:00  

Har du drabbats av GDPR-panik? Den nya diagnosen som seglat upp som vårens stora krämpa jämte pollenallergi och solsveda.

Åtminstone om man ska tro rubrikerna som förklarat att den nya europeiska dataskyddsförordningen betyder slutet på alltifrån annonsmarknaden till AI-forskning eller varför inte hela den europeiska techindustrin.

Den 25 maj, om bara några få dagar, är det skarpt läge för den nya dataskyddsförordningen General Data Protection Regulation, eller GDPR.

Så din mejlkorg har översvämmats av ett oändligt antal företag som vill ha samtycke att fortsätta skicka mejl till dig. Någon på ditt jobb har fått ansvar för förändringarna som krävts och sprungit runt de senaste månaderna med magont och en sammanbiten uppsyn. Compliancekonsulter, som hjälper till att GDPR-säkra företag, har täljt guld.

Och den samlade styrkan av tappra människor som ägnar dagarna åt att vara roliga på Twitter har tillbringat ett femsiffrigt antal arbetstimmar med att skämta om något så torrt som en EU-förordning.

 

 

 

 

Kvar står vi med en brinnande fråga. Om det nu är så jobbigt, varför behövs GDPR?

”Det här är en historisk dag för Europa. Den här reformen kommer att återuppbygga förtroendet för digitala tjänster”, sade Europakommissionens tidigare vice-ordförande Viviane Reding som lett arbetet med GDPR när förordningen klubbades igenom i april 2016.

Räkna snabbt på fingrarna och inse att det här var före it-skandalen på Transportstyrelsen. Före jätteläckan från kreditupplysningsföretaget Equifax. Före hela historien kring Facebooks datahantering och Cambridge Analytica briserade.

Vi kan nog konstatera att behovet av att återfå förtroendet för digitala tjänster aldrig varit större.

Så hur kunde det blir så här?

– Du och jag har rättigheter som privatpersoner att få våra data skyddade. Men det finns ingen allmän rättighet för företag att behandla våra data, säger Amelia Andersdotter.

Hon är ordförande för föreningen Dataskydd.net, och när GDPR presenterades satt hon som ledamot i Europaparlamentet för Piratpartiet.

Hon säger att datoriseringen och digitaliseringen som skett de senaste decennierna skapat en maktobalans.

– Vi som enskilda blir mer transparanta för myndigheter och företag, samtidigt som de får större och större möjligheter att gömma sig i it-system och ägna sig åt saker som vi inte riktigt förstår. Dataskyddsförordningen är ett sätt att försöka jämna ut den maktobalansen, säger Amelia Andersdotter.

Med GDPR kommer en rad krav på myndigheter, företag och organisationer att vara tydliga med vilken information de samlar in om oss, och att göra det möjligt att ta del av den datan på ett förståeligt sätt.

– I slutänden är det inte så lätt att förstå vad som händer i någon annans dator. Oftast är det inte ens lagligt för dig som privatperson att ta reda på det, om inte den som äger datorn berättar självmant. Men GDPR säger att det finns en skyldighet för organisationer att berätta och att vara tydlig, säger Amelia Andersdotter.

Varför kommer GDPR nu?

Den nya dataskyddsförordningen kommer att ersätta den svenska personuppgiftslagen, PUL. Den bygger i sin tur på ett tidigare EU-fördrag från 1995, och på många sätt är världen en helt annan plats än för dryga 20 år sedan.

– Det är inte bara internet och tekniken, även branschstandarder och beteenden har ändrats. Förutsättningarna har ritats om sedan den här lagstiftningen antogs, säger Fredrik Svärd som är generalsekreterare gör branschnätverket Forum för dataskydd.

Här finns det några företagsnamn som måste nämnas. Som Amazon, Google och Facebook. Bolag som på relativt kort tid satt en ny standard för datainsamling.

Det har faktiskt bara gått 14 år sedan Mark Zuckerberg lanserade den första versionen av Facebook för studenter på Harvarduniversitetet. Det sociala nätverket är förstås inte ensamt om att leva på att kartlägga sina användare, men har blivit förgrundsgestalt för hela det komplicerade ekosystem av tjänster som livnär sig på att tänja på vår integritets gränser.

Under tiden som Facebook och de andra nya nätjättarna växt med raketfart har lagstiftningen stått och stampat. Det gör situationen än mer komplex. Företag har byggt upp en ny ekonomi där våra personuppgifter är grundpelare – och nu måste lagen anpassa sig.

– I det här vakuumet innan lagstiftaren hunnit reagera har de stora plattformarna som Facebook, Amazon och Google hunnit bygga affärsmodeller och skapat konsumentbeteenden som kan bli svåra att peta i. Nu har de i princip vuxit till stormakter med standarder som hela världen måste förhålla sig till, säger Fredrik Svärd

Borde inte en lagstiftning som GDPR varit på plats redan för tio år sedan när man började se att den stora datainsamlingen började rullas igång?

– Jag tycker det. För mig har det varit helt uppenbart att den här lagstiftningen behövs, och jag tror att ytterligare reformer är att vänta. Just när det gäller de stora plattformarna blir det allt tydligare att självreglering inte räcker.

Och då kommer vi till GDPR-paniken

Fler och fler bolag har hakat på datapionjärerna, och för bolag som byggt hela sin affärsmodell på att kartlägga privatpersoner får förstås problem när en förordning som GDPR ritar om riktlinjerna för hur data får hanteras.

– Det kan lätt bli så att vi inför regler som innebär att de här företagen inte kan justera sina verksamheter lite, utan måste ändra hela sina affärsmodeller. Det är nackdelen med att gå och vänta. Hade man varit mer i takt med tiden hade det kanske inte blivit sådana kantringar och slag. Det hade blivit mindre turbulent, säger Fredrik Svärd.

Fast den andra sidan av myntet är att GDPR knappast kom som en blixt från klar himmel. Förordningen har diskuterats sedan millennieskiftet, och presenterades första gången redan 2012.

Dessutom är stora delar av innehållet samstämmigt med det tidigare EU-direktivet från 1995, som i Sverige regleras genom personuppgiftslagen, PUL. Företag borde helt enkelt inte bli så överraskade.

– I den utsträckning de har blivit tagna på sängen är det helt och hållet deras egna fel. Det är ingen annans fel att de suttit och sovit i sex år, säger Amelia Andersdotter på Dataskydd.net.

– Eftersom dataskyddsförordningen substantiellt sett är nästan exakt likadan som PUL borde det inte varit några problem att implementera GDPR om man bara följt PUL från början. Men nu är det många som inte gjort det och då blir det ju problem.

Så organisationer har bäddat för den här situationen själva genom att inte anpassa sig efter PUL?

– Så är det ju. Om man anstränger sig för att låta bli att förbereda sig då finns risken att man blir oförberedd. Jag tror att många känner igen det från sina egna liv.

Höga kostnader och skräckpropaganda

Det finns förstås flera andra anledningar till uppståndelsen inför GDPR träder i kraft.

För många företag och organisationer krävs enorma investeringar för att få alla system och rutiner på plats. Det finns fortfarande oklarheter och frågetecken. Och ett väldigt stort fokus på hotet om enorma sanktioner.

För de grövsta överträdelserna kan GDPR innebära böter på fyra procent av ett företags globala omsättning. En andel som lätt kan ge svindlande summor, vilket kanske fått alltför stort utrymme i diskussionen.

– Det stora samtalsämnet har varit sanktionerna, och där finns en karaktär av skräckpropaganda. De nivåerna är till för de absolut mest allvarliga fallen där stor integritetsskada uppstått. Där företag kanske avsiktligt och systematiskt missbrukat data. Det kommer säkert inte att vara normen, även om till exempel ett fall som Cambridge Analytica kanske skulle ha slagit i taket, säger Fredrik Svärd.

Finns det några goda nyheter för företagen?

Går man bara på den senaste månadens rubriker är det lätt att tro att GDPR betyder slutet för många företag som jobbar med personuppgifter och dataanalys. Men det finns de som menar att läget är nästintill det omvända.

Den mest uppenbara fördelen för företag är att dataskydd får samma status och följer samma regler inom hela EU. Det är enklare att anpassa sina tjänster efter en lag än 28 olika.

Men för it-företag finns en annan, närmast psykologisk vinst.

När Viviane Reding presenterade GDPR pratade hon om att återuppbygga förtroendet för de myndigheter och företag som hanterar våra personuppgifter. Det förtroendet är inte bara ett slagord, det är ett måste för att digitaliseringen ska kunna fortsätta i samma raska takt menar Daniel Akenine som är teknik- och säkerhetschef på Microsoft i Sverige.

– Vi är på väg in i ett allt mer digitalt samhälle, och det är allt mer känslig information om oss som vi börjar använda oss av på tjänster på nätet. Det handlar om väldigt privata saker. Som hälsodata eller finansiella uppgifter, säger Daniel Akenine.

Det kräver enorm tillit för att lämna över information om din privatekonomi eller din sjukdomshistorik till ett nystartat privatägt teknikföretag. Där kan GDPR bli en garant, en hög minimumnivå av trygghet.

– Om ett ekosystem av digitala tjänster ska vara framgångsrikt måste konsumenten våga använda sig av många leverantörer som de aldrig tidigare haft en relation med. Där tror jag GDPR kommer att bidra väldigt positivt. Efter den 25 maj kommer konsumenterna i mycket högre utsträckning veta vilka regler som gäller för leverantörerna, säger Daniel Akenine.

GDPR med sina förhållandevis tydliga krav och gemensamma riktlinjer för hela EU kan helt enkelt göra klivet ut i det digitala lite lättare. På samma gång får nya, oetablerade spelare i bästa fall lättare att vinna kundernas förtroende. De kan peka på GDPR och säga att de lyder under samma strikta regler som alla andra.

Har gett nya tekniska lösningar

Fredrik Svärd på Forum för dataskydd ser en annan fördel. Arbetet med att anpassa företags verksamhet till den nya dataskyddsförordningen har gett upphov till en rad nya tekniska lösningar och strategier för datahantering.

– Det är lätt att tänka på det här som en tvångströja, men jag tror att företag som vill få styr på sin persondatahantering kanske undrat hur de ska göra, menar han.

– Med GDPR får man faktiskt en karta och riktlinjer som visar hur du som företag minimerar risker och mängden känslig data som ska hanteras. Det är lite som med bokföring och årsredovisningar, det är kanske bökigt, men gör också att företag får bättre koll på vad de sitter på.

GDPR i sju punkter

1. Rätt till tillgång av din data.

Som EU-medborgare har du rätt att veta vilken data ett företag har om dig och hur den används.

2. Rätten att bli glömd

Företag ska sluta använda och/eller radera din persondata om du ber om det.

3. Dataportablitet

Du har rätt att flytta din data från ett företag till ett annat, ungefär som du i dag kan flytta ditt mobiltelefonnummer från en operatör till en annan.

4. Inbyggt dataskydd

Om företagets system är designat för att leva upp till GDPR-standard har man vad som brukar kallas inbyggd dataskydd, eller "privacy by design".

5. Lämpliga säkerhetsåtgärder

Företag ska löpande vidta åtgärder för att skydda persondata.

6. Rapporteringsplikt

Företag måste rapportera incidenter som rör persondata, som dataintrång, till tillsynsmyndighet (i Sverige är det Datainspektionen) inom 72 timmar. I vissa fall ska även berörda EU-medborgare informeras.

7. Utökat dataskydd

Även företag utanför EU omfattas av GDPR så länge de hanterar EU-medborgares data.

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Aktuellt inom

Prevas

Debatt