Så här var det visserligen redan enligt PUL, men nu skärps kraven på regelefterlevnad.

– Det som händer nu är att fler uppgifter omfattas och att ansvaret inte kan läggas över till tredje part. Vi måste kunna verifiera att vår information sparas, bearbetas, kopieras och gallras, vilket kräver ett nytt sätt att tänka.

Fokus i det förberedande GDPR-projektet har legat på inventering, informationsklassning och riskanalys. Det gäller att bena ut vilka personuppgifter som är känsliga och vilka som inte är det, och med vilket stöd de lagras och bearbetas, presenteras, gallras och förs vidare, berättar Gunilla Etsare.

En fråga är att reda ut vilken lag eller vilket regelverk hanteringen ytterst styrs av.

– Är det en lönefråga? Då styrs det av kollektivavtal, check. Handlar det om vem som har vilka barn? Informationen behövs vid vab för Försäkringskassan, check. Så får man mappa!

Enligt GDPR ska individer kunna begära att få sin information raderad – men det gäller alltså inte om en annan lag är starkare.

Parallellt med systeminventeringen gäller det att reda ut vilka data verksamheten behöver ha tillgång till för att utföra sitt jobb, eller enligt lag, i vilken omfattning och hur länge. För ändamålet görs en gap-analys.

– Vi intervjuar alla systemförvaltningar och processägare för att få fram en prioritering. Åtgärder har vi sedan ett år på oss att hantera.

Det är mycket ”sales by fear” nu, men det ska inte behöva bli någon y2k-hysteri om du bara börjar i tid och är metodisk.

Gunilla Etsare tror inte det blir några större problem att bli klar i tid till maj 2018.

– Vi har bra koll på läget! Vår organisation är drillad i de här frågorna, vi är vana vid att jobba med känsliga uppgifter och det sitter i ryggmärgen att förhålla sig till integritet. Vi är inga säljare som spar onödiga uppgifter för sakens skull. Tvärtom!

Gunilla Etsares tips är att hålla huvudet kallt och beta av listan med system och integ­rationer. Klassificera data, verifiera verksamhetsbehov och legala stöd och se över samtyckes- och gallringsrutiner.

– Och låt dig inte skrämmas upp av ivriga leverantörer som vill sälja tjänster. Det är mycket ”sales by fear” nu, men det ska inte behöva bli någon y2k-hysteri om du bara börjar i tid och är metodisk. Just do it!