”Man sätter sällan säkerheten i främsta rummet”
2018-08-27GDPR, begreppet var på allas läppar under våren och ett dåligt samvete för några. Runt den 25 maj exploderade mejlboxarna med informationsmejl om integritetspolicies. Sedan tog det slut, luften gick ur och vardagen tog vid. Vad händer med GDPR nu, vad är nästa steg och nästa utmaning?
– Min uppfattning är att många företag har jobbat hårt med att implementera det nya regelverket och att det inneburit stora utmaningar, kommenterar Jesper Thornberg, GDPR-expert vid Evertrust Consulting.
– En av de största utmaningarna nu, som jag ser, är att öka förståelsen internt och få klart för sig hur man jobbar proaktivt med personalen.
Enligt Jesper Thornberg tar dataskyddsarbetet ny fart nu, och kanske framför allt när resultaten av Datainspektionens första tillsynsärenden presenteras. De har utlovats nu till början av hösten.
– Tittar man på vad de olika tillsynsmyndigheterna i Europa har sagt så kommer vi bara att se begränsade granskningar inom vissa fokusområden, förutom såklart när anmälningar kommer in från allmänheten.
– Datainspektionen säger till exempel att de huvudsakligen kommer att fokusera på myndigheter, kommuner, landsting, teleoperatörer, banker och försäkringsbolag.
–Framför allt kommer de att granska att man tillsatt ett Dataskyddsombud. Så det är inte någon jättegranskning att vänta än, förtydligar han.
Sätt interna processer
Därmed kan man förstås inte luta sig tillbaka, utan nu handlar det om att fylla det yttre GDPR-skalet som de flesta redan fått på plats.
Du kanske har din integritetspolicy och information på plats – nu ska du också exempelvis kunna hantera förfrågningar från de personer du har registrerade i dina register i praktiken. Det finns därför en hel del utmaningar att möta, både att sätta interna processer och hitta nya roller.
– Jag tror inte att man har hunnit trimma in sina processer ännu, vilket innebär att mycket av arbetet fortfarande sker manuellt i handläggningen, konstaterar Jesper Thornberg.
– Dessutom har många företag varit konsulttunga, eftersom de inte haft egen kompetens. Nu ska de få det att fungera i praktiken på egen hand.
Stora behov av säkerhet
Jesper Thornberg tycker sig se att många företag har kommit till en viss mognad och men understryker att det fortfarande – och under lång tid framöver - finns mycket kvar att göra.
– Framför allt handlar det om att ha bra koll på vad det är för typ av uppgifter man har och om man har rätt att ha dem.
– Sedan måste man fokusera på säkerhet. Säkerheten ska vara anpassad efter den typ av uppgifter man har i företaget. Tyvärr sätter många sällan säkerheten i främsta rummet, trots att det finns stora behov av gå igenom sina säkerhetsrutiner, understryker han.
Det kanske inte alltid är nödvändigt att ha skrivna rutiner i små företag men alla måste, enligt Jesper Thornberg, se över hur de säkrar sina uppgifter – det kan vara en fråga om överlevnad för företaget!
– Vad händer om ni blir hackade, om ni inte kommer åt era uppgifter eftersom de krypterats av någon annan eller om information kommer ut på annat sätt? frågar han retoriskt.
Förutom verksamhetsförståelse ställs det krav på förståelse för lagstiftningen, säkerheten och systemen, därför måste både representanter från juridik, IT och säkerhet involveras i dataskyddsarbetet och de projekt som drivs på företagen, enligt Jesper Thornberg.
Varierande mognad
Det finns, av förklarliga skäl och med storleken på eventuella sanktioner, en stor diskrepans mellan mindre bolag och jättekoncerner i GDPR-mognad.
Några lever kanske i villfarelsen att nu när de har en integritetspolicy på plats så är de klara. Men det är nu arbetet börjar!
– Vi får successivt en del praxis från DI om hur man får hantera uppgifterna. Får man exempelvis mejla lönespecifikationer? Det kan man per definition tycka är ok men en del anger sjukdagar på lönespecen och då är det en känslig uppgift som inte får mejlas, utan att först vidta vissa säkerhetsåtgärder, poängterar Jesper Thornberg.
Utbildning viktigare än någonsin
Som GDPR-konsult och GDPR-kursledare ser han framtiden an med stor tillförsikt och spänning.
– På kort sikt nu under hösten, tror jag att vi fortfarande kommer att få jobba med utbildning, konsekvensbedömningar, interna processer samt ordning och reda.
– På längre sikt kommer det finnas ett stort intresse för DSO-rollen. Många har ju valt att lägga DSO-ansvaret på konsulter i stället för att utse någon internt, när man vill kunna ägna sig åt kärnverksamheten.
– Och utbildning inom dataskyddsarbete är viktigare än någonsin. Det finns ju ett löpande behov av dataskyddsombud men man måste också ha kunskaper i hur man hanterar sina personuppgifter med hög säkerhet utan att sätta krokben för verksamheten.
– Dessutom kommer det allt fler best practise, man lär sig av att veta hur andra har gjort. Det finns ett stort behov av att höja kompetensen i hur man får, bör och måste agera, avslutar Jesper Thornberg.
Läs mer om Företagsuniversitetets satsning på informationssäkerhetskurser här!
Uppgradera din kompetens inom GDPR! Läs mer om några av våra kurser!