Få hela storyn
Starta din prenumeration

Prenumerera

Debatt

Hårdare personuppgiftslag utmaning för myndigheter

Den är inte så känd i Sverige, men en ny EU-förordning som leder till förändringar i personuppgiftslagen träder i kraft nästa vår. Myndigheter och företag bör förbereda sig redan nu.

Publicerad: 18 januari 2017, 09:15

Det här är opinionsmaterial

Åsikterna som uttrycks här står skribenten/skribenterna för.

Den nya personuppgiftslagen kommer att ha både större muskler och hårdare nypor.

Foto: Colourbox


Ämnen i artikeln:

It-säkerhetSekretess

Den 10 januari passerades en drömgräns – eller för många myndigheter och företag kanske snarare en mardrömsgräns – i och med att det då var 500 dagar kvar tills EU:s GDPR-förordning, som träder i kraft den 25 maj 2018, måste vara implementerat. Trots att detta får omvälvande konsekvenser för hur organisationer bedriver datadriven verksamhet (och i dagens värld är så gott som all verksamhet datadriven), är tystnaden kring ämnet kompakt. Nästan som att ”om vi blundar så kanske det inte händer”.

När man gör en mediesökning på GDPR i en av Sveriges största pressdatabaser nämndes GDPR totalt 122 gånger under 2016 och då ofta i form av pressreleaser. Som en liten jämförelse tar det ungefär 17 timmar för Zlatan Ibrahimovic att uppnå samma mängd klipp.

Vad är då GDPR? Kortfattat handlar det om en ny dataskyddsförordning som ställer upp ett antal riktlinjer kring hur data hanteras och lagras. Förordningen har kommit till för att skydda individen och uppgradera det mer än 20 år gamla direktiv som ligger till grund för dagens svenska personuppgiftslag, PuL. Den lagen upphör också att gälla den 25 maj nästa år, och dess europeiska efterföljare har både större muskler och hårdare nypor. Att hantera personuppgifter kräver exempelvis aktivt samtycke från personen i fråga, med ett fåtal undantag.

Verksamheter måste också informera om hur och i vilka sammanhang uppgifterna används och kunna skicka registerutdrag på begäran. Individens skydd ökar också genom ”rätten att bli glömd”, det vill säga att man får en lagstadgad rätt att tvinga exempelvis sökmotorer att ta bort personuppgifter.

En viktig nyhet är också att verksamheter som drabbas av dataintrång måste informera samtliga personer som berörs och anmäla intrånget till Datainspektionen.

Konsekvenserna av att inte följa förordningen blir också stora. Datainspektionens uppdrag är att utdöma vite på upp till fyra procent av verksamhetens omsättning, dock med en maxgräns på 20 miljoner Euro.

Klockan tickar allt snabbare. Det bästa sättet att förbereda sig är att börja agera som om förordningen redan trätt i kraft på de områden där det är möjligt. Utöver alla de system som måste byggas om för att möjliggöra att reglerna efterlevs, och de tekniska säkerhetsåtgärder som måste vidtas för att uppfylla kraven på säker lagring, är den kanske viktigaste frågan av alla att ändra attityd.

I Sverige, liksom globalt, är dataintrång och hackningsförsök något vi inte pratar om, förrän vi måste. En verksamhets förtroendekapital är redan i dag beroende av integriteten i de data man förvarar, och när en incident inträffar är ryggmärgsreflexen att skydda verksamheten, snarare än kunden. Men om mindre än 500 dagar är alltså den strategin olaglig – och vill man förbereda sig för GDPR på bästa möjliga sätt är den föråldrad redan idag.

Att utbyta och dela med sig av erfarenheter – även negativa erfarenheter – mer aktivt och transparent är vad som leder till förbättring. När det gäller att förbereda sig på bästa sätt inför GDPR sitter hela näringslivet och hela offentligheten i samma båt och även arga konkurrenter har allt att vinna på att diskutera frågorna med varandra, öppet och transparent.

Ställ väckarklockan på tidig ringning.

Christoffer Callender, Säkerhetsingenjör, Intel Security

Det här är opinionsmaterial

Åsikterna som uttrycks här står skribenten/skribenterna för.

Ämnen i artikeln:

It-säkerhetSekretess

Dela artikeln:

Nyhetsbreven som ger dig bäst koll på samhället

Välj nyhetsbrev

Se fler branschtitlar från Bonnier News