I maj nästa år gäller EU:s dataskydd som lag i alla medlemsländer. Nu har konsultbranschen vaknat på allvar och det drar ihop sig till något som liknar hysterin inför millennieskiftet. Men en pragmatisk inställning räcker långt.
Det har gått fyra år sedan jag intervjuade advokat Caroline Olstedt Carlström för första gången. Då var hon oroad över den svenska tystnaden om EU:s dataskyddsförordning och efterlyste mer diskussion i frågan.
Nu när förordningen är antagen märker hon ett helt nytt läge och konsultbranschen har verkligen vaknat.
– Medvetenhet om frågan är mycket större nu, men det är fortfarande en stor utmaning för de flesta. Frågorna som ställs är både vad man ska göra och vem som ska göra det, säger Caroline Olstedt Carlström.
Hon är dataskyddschef på Klarna och ordförande i föreningen Forum för dataskydd. Hon är väl medveten om svårigheterna som finns att ta sig an det mycket komplexa regelverket och upplevelsen av svårigheterna varierar beroende på bransch.
– Finansbranschen är sedan länge van vid att hantera externa regelverk, medan det är något helt nytt för andra branscher. Men dataskyddet gäller för alla.
Går inte att blunda för utmaningarna
En av utmaningarna är bristen på utbildning. Ett exempel är att organisationer som hanterar persondata av viss omfattning måste ha ett dataskyddsombud, data protection officer, dpo, på engelska. Nyligen uppskattade organisationen IAPP att det behövs 75 000 dpo:er inom EU.
Många organisationer är rådvilla om vem och var frågan ska hanteras. Är det HR, finans, säkerhet, juridik eller det operativa som äger frågan? För henne är det enklast att juridik, eller legal, äger frågan, men det viktigaste nu är att organisationen utser någon som äger frågan. Och inte bara det:
– Det är viktigt att den nya rollen också får finansiering.
Hon understryker också vikten av att se möjligheterna som det nya dataskyddet ger.
– Rätt hanterad ger det nya dataskyddet en möjlighet för företag att profilera sig som att man slår vakt om den personliga integriteten. Då blir det också lättare att lyfta frågan till ledningsnivån.
För Arne Löfgren, som är expert på frågan och konsult på Accenture, är EU:s dataskydd i grunden en fråga om data management. Eftersom det också handlar om att ta hand om kundernas information på rätt sätt, blir det också en crm-fråga.
– Kunderna får nu större möjlighet att ställa krav på att den information som samlas in hanteras på ett korrekt sätt, säger Arne Löfgren.
Visst är frågan komplex, men det håller inte att blunda för frågan och göra den till något som bara it och säkerhet ska ta hand om.
– Affärsverksamheten måste ta ett större ansvar för frågan. Det är viktigt att se den ur ett verksamhetsperspektiv.
Ett första steg är att utse en dpo och därefter kartlägga i vilka datakällor som personliga data finns. Det kan ske manuellt eller genom att använda verktyg, som kan kompletteras med analysverktyg.
Att ge någon inom säkerhetsorganisationen rollen som dpo anser han är fel.
– En dpo bör sitta högt upp i organisationen och vara en integrerad del i affärskedjan.
För att sammanfatta hans råd, så gäller det att först utse någon som äger frågan och därefter göra en analys av hur många datakällor med personlig information som finns. Och det är bråttom.
– Om du ska bygga förtroende hos kunden, så måste du kunna garantera att du hanterar personlig information på ett korrekt sätt, säger Arne Löfgren.
...men det dröjer innan DI knackar på
Jon Karlung, som är vd på internetoperatören Bahnhof, noterar att utbudet av konsulttjänster som vill hjälpa till med tjänster för att införa EU:s dataskydd har exploderat. Nu efterlyser han en mindre alarmistisk inställning.
– För oss som internetoperatör är frågan om hantering av personuppgifter ganska okomplicerad. Värre är det för de företag vars affärsidé bygger på att hantera persondata, typ Google och Facebook.
Han anser att andan i de nya reglerna är bra och att de stärker konsumentskyddet och hoppas på en bredare diskussion om tjänsterna som bygger på hantering av personuppgifter.
– Många tycks ju leva i uppfattningen att tjänster av typen Google är gratis, när du som användare betalar med valutan som bygger på vad du gör på nätet.
Men visst finns det frågetecken.
– Till exempel hur möjligheten till dataportabilitet ska fungera i praktiken?
Från att frågan diskuterats ganska blygsamt, så har frågan om det nya dataskyddet, som blir svensk lag i maj nästa år, gått in i ett alarmistiskt tillstånd. Det haglar av erbjudanden från konsultbolag och juristbyråer.
Mycket påminner om läget inför millennieskiftet då konsultbolag tävlade i att måla upp katastrofscenarier om hur landet skulle stanna, men de som var med vet att inget speciellt hände.
Och samma sak är det väl med GDPR, general data protecion regulation. För en sak är säker. Här gäller det att ha is i magen och ta det steg för steg. Det lär dröja lång tid innan Datainspektionen, DI, knackar på någons dörr för att hota med sanktioner.
GDPR har udden riktad mot aktörer som Google och Facebook, som lever på att hantera data om vad konsumenter har för sig på nätet. När DI bildades fanns det inte några sådana företag.
Listan över hur svår, för att inte säga omöjlig, DI:s uppgift är, med ett traditionellt myndighetsperspektivet, kan göras hur lång som helst. Is i magen alltså.
Om skribenten
Håkan Ogelid är fil-kand i matematik och teoretisk filosofi vid Uppsala universitet med lång journalistisk erfarenhet. Han har bland annat varit chefredaktör för tidskrifterna Civilingenjören och Civilekonomen. I 20 år var han redaktionschef på Computer Sweden. Idag är han frilans. Du når Håkan här.
Vill du få tillgång till veckobrevet för DF Analys?