GDPR, en dagsslända eller nyckeln till en långsiktig förändring?

Nedräkningen inför att GDPR ska börja gälla pågår och frågan kring om lagen verkligen kommer att innebära en varaktig förändring diskuteras allt oftare. Satsas stora resurser bara på grund av en konsultdriven hype som snart kommer att falla i glömska eller är det verkliga behov som ligger bakom? I denna artikel försöker vi belysa båda aspekter av frågan och hoppas på en intressant debatt nere i kommentarsfältet.

Historik och bakgrund
Vi har alla en mänsklig rättighet att bli lämnade ifred och rätt till vår information. Detta är inskrivet i Europeiska unionens stadga om de grundläggande rättigheterna[1]. Sverige har även en stolt tradition inom dataskydd som första land i världen med lagstiftning på området. Datalagen 1973:289 är nu 45 år gammal. 1998 trädde personuppgiftslagen (PUL) i kraft och lagstiftningen har varit densamma sedan dess. Redan enligt PUL har vi som individer stora rättigheter att få reda på vilken information som organisationer har om oss i sina register. Lagen skrevs dock på en tid då internet fortfarande var i sin linda och register var manuella eller fanns i centrala databaser.

Sedan dess har omvärlden förändrats kraftigt. PUL gav möjlighet till sanktioner och hade till och med fängelse i straffskalan. Tillämpningen av lagen har dock visat att Datainspektionen valt förelägganden och diskussion snarare än hårdhänta sanktioner som böter och fängelsestraff. Enligt Datainspektionens egen statistik har till dags dato ingen organisation blivit föremål för ekonomiska sanktioner på grund av PUL. Det har gjort att samhället har tagit förhållandevis lätt på dataskydd och att organisationer har prioriterat andra saker framför skyddet av kunders och anställdas personuppgifter.

PUL bygger på ett direktiv som EU antog 1995. Ett direktiv innebär att samtliga medlemsländer ska genomföra bestämmelserna i sin egen lagstiftning. Det ledde till att Sverige gjorde sin egen tolkning av direktivet i PUL, medan andra länder tolkade det annorlunda och riktade fokus mot andra aspekter i sitt genomförande. Resultatet har blivit att det är svårt att hantera EU:s marknader på ett enhetligt sätt och att man har olika regler i olika länder.

Med GDPR ändrar man på detta genom att istället använda sig av rättsaktsformen förordning. En förordning gäller direkt som lag i alla EU:s medlemsländer och är kopplad till särskilda styrmekanismer som tvingar alla länder att tolka lagen likadant, oberoende av i vilket land man befinner sig i. GDPR är den lag i EU:s historia som har genomgått flest ändringar, och många fäster stor betydelse vid att man lyckats få igenom den i EU:s byråkrati.

En viktig orsak till att lagen uppkommit är tanken om den gemensam marknad inom EU och behovet av att hålla jämna steg med den snabba digitalisering som sker, där allt blir digitalt och i stort sett alla företag och organisationer hanterar personuppgifter.

Argument som talar för en varaktig förändring
GDPR omfattar alla EU:s medborgare och efterlevnaden är gemensam inom hela EU
GDPR gäller för samtliga organisationer som riktar sig till EU-medborgare. På så sätt får GDPR en global påverkan, som gäller även för amerikanska bolag som riktar sig till medborgare inom EU. En central del i lagstiftningen är även att ingen enskild nation själv ska kunna bestämma hur man efterlever lagen. Visst utrymme finns för nationellt självbestämmande, men i det stora hela ska man kunna förvänta sig samma tillämpning i Tyskland som i Cypern eller Sverige. Det finns även ett råd, Dataskyddstyrelsen som har till uppgift att säkerställa efterlevnad av lagen på EU-nivå.

GDPR ställer krav på nya roller i organisationer och rapportering till ledning
En av de delar som ingår i GDPR är att organisationer över en viss storlek eller som behandlar en viss typ av data måste skapa en organisation för att följa upp vilka personuppgifter organisationen har. En motsvarighet när det gäller ekonomisk information är kravet på en revisor som granskar uppgifterna och går i god för att de stämmer. Dataskyddsombudet är att betrakta som en revisor för dataskyddet. I GDPR finns även inskrivet att dataskyddsombudets utlåtanden måste nå organisationens högsta ledning oförvanskade. Genom denna skrivning har man försäkrat sig om att organisationer i EU inte kommer att kunna hävda att de saknat kännedom om felaktigheter som begåtts. När detta kopplas till risken för sanktioner så kommer alla ledningsgrupper/styrelser i framtiden att tvingas ta hänsyn till frågor kring dataskydd.

GDPR har tydliga sanktioner och skadestånd och dessa kommer att användas
Sanktionerna inom GDPR har uppmärksammats mycket i debatten och troligtvis bidragit till att skapa viss hype inför införandet den 25 maj. Sannolikt kommer inte sanktioner att utdömas direkt när lagen börjar gälla utan tillsynsmyndigheterna kommer att använda andra möjligheter om organisationerna visar på en vilja att arbeta mot att efterleva GDPR. Detta är dock spekulationer och sanningen kommer att visa sig efter lagens ikraftträdande. En tydlig trend inom andra områden är dock att EU inte räds att använda sanktioner. Exempel på detta är stämningarna mot Apple och Facebook som rör skatter, men GDPR skapar en ny arena där sanktioner kommer att utdömas.

Ett område som beskrivs i GDPR är rätten till skadestånd för individer vars rättigheter och friheter har kränkts. GDPR ger enskilda tydliga rättigheter, och privatpersoner kommer att ha ett ekonomiskt intresse av att kontrollera enskilda organisationers efterlevnad av lagstiftningen. Här kan man bara spekulera kring hur framtiden kommer att se ut. Där det finns incitament för individer att tjäna pengar på andras efterlevnad brukar det borga för ett ökande fokus på området.

Individens starkare roll i framtidens samhälle
Det samhälle som vi lever i blir allt mer digitalt. Vi lägger ut allt mer data och information om oss själva på nätet. Möjligheterna till att den data som läggs ut samkörs och missbrukas ökar allt mer i en värld med ansiktsigenkänning, artificiell intelligens, big data och internet of things. Parallellt med detta får vi som individer en större medvetenhet kring vad vi lägger ut och börjar lägga ett större ansvar på dem som tar hand om den data vi lägger ut. GDPR ställer tydliga krav på att organisationer ska berätta vilket syfte man har och hur man hanterar data. Det gör att vi för första gången kan få kontroll över våra egna uppgifter. Detta är inget som kommer att ske automatiskt när lagen börjar gälla, men långsiktigt kommer individen att se ett ökande värde av sin egen information. Det är inte en slump att världens nu största och mest snabbväxande organisationer har som affärsidé att hantera personuppgifter som vi själva har skapat (LinkedIn, Facebook, Google etc.).

Argument som talar mot en varaktig förändring
Vad är då andra sidan av myntet – vilka krafter skulle kunna få GDPR att bli ett kortvarigt fenomen innan vi återgår till ”business as usual”? Här följer ett antal orsaker som skulle kunna leda till ett sådant scenario.

Tillsynsmyndigheterna kan inte leva upp till kraven
”What gets measured gets done”. GDPR har skapats för att man ska kunna sätta kraft bakom kravet på efterlevnad. Trots detta kommer det inte att bli någon skillnad om det inte visas i praktiken. I Sverige är Datainspektionen (kommer under året att byta namn till Integritetsskyddsmyndigheten) en myndighet med ett fyrtiotal anställda (enligt deras hemsida den 2 mars) men ska expandera kraftigt under kommande år. Expansionen till trots kommer de att inte att ha möjlighet att uppfylla alla de krav som ställs på myndigheten inom rimlig tid. Enbart incidenthanteringen kommer att ta stora resurser i anspråk hos myndigheten. GDPR ställer även krav på likvärdig behandling mellan länder. Här kommer samordning att krävas för att man ska få en likvärdig hantering med samma straffvärde och sanktioner i Spanien som i Sverige. Det kommer att krävas tid och resurser för att få det att fungera. Resurserna är i dagsläget troligtvis inte tillräckliga för nå upp till förväntningarna i början. Tiden får visa hur framtiden blir.

Spaningar inför framtiden
Hittills har vi diskuterat risker och möjligheter med lagen. Finns det saker som vi redan idag kan ta fasta på för att säkrare kunna förutspå framtiden?

IT och informationssamhället blir allt viktigare.
I många år har vi tagit digitaliseringen för given utan att fullt inse riskerna med att göra allt digitalt. Digitaliseringen av samhället kommer att fortsätta i en ökande takt. Vi kommer med säkerhet att bli mer beroende av informationssamhällets tjänster, och allt från uppkopplade hem och bilar till det vi arbetar med blir digitalt. GDPR och informationssäkerhet kommer att bli allt viktigare delar i vårt samhälle när vi inser att vi även måste skydda och ta hand om all den information som digitaliseras och riskeras att spridas utan kontroll.

Dataskydd som en drivkraft för förändring
Millenniebuggen beskrivs ofta som en jättesatsning som inte gav något resultat. Möjligheten som den gav var att sätta ljuset på många gamla system som behövde städas och åtgärdas. GDPR har motsvarande effekt kring hantering av personuppgifter. För att kunna efterleva kraven som GDPR ställer måste många system ses över, bytas ut, konsolideras och göras om. Denna förändring kommer att leda till mer effektiva organisationer och strukturer, vilket kommer att leda till högre vinstmarginaler. På köpet kommer man dessutom att få ett bättre kundförtroende.

Avslutande tankar
Stora krafter har satts i rörelse med GDPR och vi kommer troligtvis inte att se några omedelbara effekter direkt när lagen träder i kraft. Trots att lagen gäller med full effekt från den 25 maj ger tillsynsmyndigheterna intrycket att tillämpningen kommer att ske gradvis. Troligtvis kommer ett antal fall att prövas och praxis kommer att växa fram. Det viktiga är att det är nu det börjar och att lagens ikraftträdande är starten. De faktorer ovan som talar för en varaktig förändring verkar alla i det långa loppet, medan det som talar emot verkar i ett kortare perspektiv. Den underliggande digitaliseringen är en transformerande kraft som påverkar hela samhället och dessa frågor följer med i dess kölvatten. Diskutera gärna era tankar kring detta ämne och om ni har egna spaningar i kommentarsfältet nedan.

[1]https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/forordningstexten/beaktandesatserna/

By |2018-03-26T15:29:53+00:00mars 26th, 2018|Kategorier: Uncategorized|0 kommentarer

Om författaren:

Fredrik Jonasson är delägare i IT-säkerhetsbolaget och föreläser och utbildar kring GDPR. Certifierad CIPM, Verksamhetsarkitekt, ITIL-Expert. Fredrik är en civilingenjör i Teknisk Fysik.

Lämna en kommentar

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.