DF ANALYS

Dataföringens omvärldsanalys

  • Fördjupar analysen av digitaliseringen
  • Hem
  • Analyser
  • Om DF Analys
    • Om DF Analys
  • Kontakt
Hem · Aktuellt · EU:s dataskydd – risk för ny millenniebugg

EU:s dataskydd – risk för ny millenniebugg

Publicerad den 13 januari 2017

EU flag in front of Berlaymont building facadeI maj nästa år gäller EU:s dataskydd som lag i alla medlemsländer. Nu har konsultbranschen vaknat på allvar och det drar ihop sig till något som liknar hysterin inför millennieskiftet. Men en pragmatisk inställning räcker långt.

Det har gått fyra år sedan jag intervjuade advokat Caroline Olstedt Carlström för första gången. Då var hon oroad över den svenska tystnaden om EU:s dataskyddsförordning och efterlyste mer diskussion i frågan.

Nu när förordningen är antagen märker hon ett helt nytt läge och konsultbranschen har verkligen vaknat.

– Medvetenhet om frågan är mycket större nu, men det är fortfarande en stor utmaning för de flesta. Frågorna som ställs är både vad man ska göra och vem som ska göra det, säger Caroline Olstedt Carlström.

Hon är dataskyddschef på Klarna och ordförande i föreningen Forum för dataskydd. Hon är väl medveten om svårigheterna som finns att ta sig an det mycket komplexa regelverket och upplevelsen av svårigheterna varierar beroende på bransch.

– Finansbranschen är sedan länge van vid att hantera externa regelverk, medan det är något helt nytt för andra branscher. Men dataskyddet gäller för alla.

Går inte att blunda för utmaningarna

En av utmaningarna är bristen på utbildning. Ett exempel är att organisationer som hanterar persondata av viss omfattning måste ha ett dataskyddsombud, data protection officer, dpo, på engelska. Nyligen uppskattade organisationen IAPP att det behövs 75 000 dpo:er inom EU.

Många organisationer är rådvilla om vem och var frågan ska hanteras. Är det HR, finans, säkerhet, juridik eller det operativa som äger frågan? För henne är det enklast att juridik, eller legal, äger frågan, men det viktigaste nu är att organisationen utser någon som äger frågan. Och inte bara det:

– Det är viktigt att den nya rollen också får finansiering.

Hon understryker också vikten av att se möjligheterna som det nya dataskyddet ger.

– Rätt hanterad ger det nya dataskyddet en möjlighet för företag att profilera sig som att man slår vakt om den personliga integriteten. Då blir det också lättare att lyfta frågan till ledningsnivån.

För Arne Löfgren, som är expert på frågan och konsult på Accenture, är EU:s dataskydd i grunden en fråga om data management. Eftersom det också handlar om att ta hand om kundernas information på rätt sätt, blir det också en crm-fråga.

– Kunderna får nu större möjlighet att ställa krav på att den information som samlas in hanteras på ett korrekt sätt, säger Arne Löfgren.

Visst är frågan komplex, men det håller inte att blunda för frågan och göra den till något som bara it och säkerhet ska ta hand om.

– Affärsverksamheten måste ta ett större ansvar för frågan. Det är viktigt att se den ur ett verksamhetsperspektiv.

Ett första steg är att utse en dpo och därefter kartlägga i vilka datakällor som personliga data finns. Det kan ske manuellt eller genom att använda verktyg, som kan kompletteras med analysverktyg.

Att ge någon inom säkerhetsorganisationen rollen som dpo anser han är fel.

– En dpo bör sitta högt upp i organisationen och vara en integrerad del i affärskedjan.

För att sammanfatta hans råd, så gäller det att först utse någon som äger frågan och därefter göra en analys av hur många datakällor med personlig information som finns. Och det är bråttom.

– Om du ska bygga förtroende hos kunden, så måste du kunna garantera att du hanterar personlig information på ett korrekt sätt, säger Arne Löfgren.

...men det dröjer innan DI knackar på

Jon Karlung, som är vd på internetoperatören Bahnhof, noterar att utbudet av konsulttjänster som vill hjälpa till med tjänster för att införa EU:s dataskydd har exploderat. Nu efterlyser han en mindre alarmistisk inställning.

– För oss som internetoperatör är frågan om hantering av personuppgifter ganska okomplicerad. Värre är det för de företag vars affärsidé bygger på att hantera persondata, typ Google och Facebook.

Han anser att andan i de nya reglerna är bra och att de stärker konsumentskyddet och hoppas på en bredare diskussion om tjänsterna som bygger på hantering av personuppgifter.

– Många tycks ju leva i uppfattningen att tjänster av typen Google är gratis, när du som användare betalar med valutan som bygger på vad du gör på nätet.

Men visst finns det frågetecken.

– Till exempel hur möjligheten till dataportabilitet ska fungera i praktiken?

Från att frågan diskuterats ganska blygsamt, så har frågan om det nya dataskyddet, som blir svensk lag i maj nästa år, gått in i ett alarmistiskt tillstånd. Det haglar av erbjudanden från konsultbolag och juristbyråer.

Mycket påminner om läget inför millennieskiftet då konsultbolag tävlade i att måla upp katastrofscenarier om hur landet skulle stanna, men de som var med vet att inget speciellt hände.

Och samma sak är det väl med GDPR, general data protecion regulation. För en sak är säker. Här gäller det att ha is i magen och ta det steg för steg. Det lär dröja lång tid innan Datainspektionen, DI, knackar på någons dörr för att hota med sanktioner.

GDPR har udden riktad mot aktörer som Google och Facebook, som lever på att hantera data om vad konsumenter har för sig på nätet. När DI bildades fanns det inte några sådana företag.

Listan över hur svår, för att inte säga omöjlig, DI:s uppgift är, med ett traditionellt myndighetsperspektivet, kan göras hur lång som helst. Is i magen alltså.

 

Om skribenten

Håkan OgelidHåkan Ogelid är fil-kand i matematik och teoretisk filosofi vid Uppsala universitet med lång journalistisk erfarenhet. Han har bland annat varit chefredaktör för tidskrifterna Civilingenjören och Civilekonomen. I 20 år var han redaktionschef på Computer Sweden. Idag är han frilans. Du når Håkan här.

EU:s dataskydd i korthet

Företag och organisationer som hanterar personuppgifter kan behöva tillsätta ett oberoende dataskyddsombud.

Tydligare krav på samtycke till att individers uppgifter lagras och hanteras.

Individer ska lättare få tillgång till sina egna uppgifter.

Individer ska lättare kunna överföra sina personuppgifter från en tjänsteleverantör till en annan – rätt till dataportabilitet.

De oberoende nationella dataskyddsmyndigheterna, som Datainspektionen i Sverige, ska stärkas.

Individen ska ha "rätt att bli bortglömd", få sina data raderade.

Företag och organisationer som drabbas av allvarliga dataintrång ska anmäla detta till tillsynsmyndigheten inom 72 timmar.

Arkiverad under: Aktuellt, Analyser Märkt med: Arne Löfgren, Caroline Olstedt Carlström, Datainspektionen, EU:s Dataskyddsförordning, GDPR, Jon Karlung

Om du väljer att kommentera våra artiklar är du själv är ansvarig för innehållet. Kommentarerna omfattas inte av yttrandefrihetsgrundlagen inom utgivningsbeviset för dfanalys.se. Redaktionen förbehåller sig rätten att ta bort kommentarer som är olämpliga i enlighet med lagen om ansvar för elektroniska anslagstavlor.

Aktuella analyser

EU:s tilltro till filter är naiv

EU:s tilltro till filter är naiv

Att säga att ”inget upphovsrättsskyddat material ska få laddas upp” är en sak. Att automatisera den typen av beslut är något helt annat.

Teleoperatörerna kliver på 5g-utmanarens tåg

Det nya sättet att köpa IT

Logistik är brinnande hett just nu

Hur höjer vi den digitala kompetensen i Sverige?

 

Aktuellt

EU:s tilltro till filter är naiv

Teleoperatörerna kliver på 5g-utmanarens tåg

Det nya sättet att köpa IT

Logistik är brinnande hett just nu

Hur höjer vi den digitala kompetensen i Sverige?

När (inte om) kommer den riktigt stora säkerhetskrisen?

Fler nyheter »

Om DF Analys

DF Analys är Dataföreningens redaktionella plattform för omvärldsbevakning. Här samlar vi fördjupande veckovisa analyser, rapporter, arbetsgrupper och events till en heltäckande tjänst.
När föreningen bildades för över 65 år sedan var syftena bland annat att hålla medlemmarna uppdaterade om utvecklingen och se till att relevanta vidareutbildningar fanns tillgängliga.
Läs mer »

DF Analys Veckobrev

nyhetsbrev Vill du få tillgång till veckobrevet för DF Analys?
Bli medlem i Dataföreningen »

DF Analys

Fleminggatan 7
112 26 Stockholm
Tel 08-587 434 00
Mer kontaktinfo »

dfanalys-logotyp-footer-800
 

© DF Analys · Använder WordPress & Genesis Framework · Om cookies · Allmänna villkor · Sitemap · Logga in

DF Analys använder cookies: Läs mer