Nedräkningen har börjat. Om mindre än 500 dagar, den 25 maj 2018, träder EU:s nya dataskyddförordning, GDPR i kraft. För den som inte följer reglerna väntar riktigt dryga böter. Varje företag kommer att behöva gå igenom sina system och processer. De flesta har börjat; har du inte gjort det är det hög tid. Och märk väl – arbetet gäller hela verksamheten, den som reducerar det till en it-fråga kan få problem.

– Det är absolut viktigt att kartlägga it-systemen men bara som del i något större, säger David Frydlinger som är jurist på advokatfirman Lindahl och expert på bland annat GDPR-lagstiftningen.

Utgångspunkten måste vara att ta reda på vilka personuppgifter som behandlas om olika individer och varför. Vilket i sin tur blir basen för en it-systemkartläggning.

Data måste bli mer portabla

I Sverige ersätter GDPR den nuvarande persondatalagstiftningen, PUL. På EU-nivå ersätts det dataskyddsdirektiv som gällt sedan 1995. Det innebär att EU nu får ett gemensamt regelverk som gäller för alla medlemsländer. Samtidigt tillkommer regler som kompletterar annan svensk lagstiftning.

I praktiken kommer många av reglerna inom PUL att fortsätta gälla. Men det tvingande draget accentueras, exempelvis när det gäller kravet på att individer ska ge sitt samtycke till att förekomma i ett register.

Det finns också skillnader. En är individens rätt att få registerutdrag eller radera sina data. En annan är rätten till det som kallas data­portabilitet.

– Så att användare på till exempel Facebook kan få ut alla sina data för att migrera dem till Google Plus, förklarar David Frydlinger.

– Det kommissionen vill är att man som individ ska få ökad kontroll över sina uppgifter, men man vill också öka konkurrensen. När det är svårt att få ut data skapas det inlåsningseffekter, dem vill man stävja. 

Mer ansvar läggs på leverantörer

En annan viktig skillnad är att GDPR lägger ett större ansvar på it-leverantörerna. Enligt PUL är det företaget som köper en it-tjänst som är personuppgiftsansvarigt. Leverantören har inga skyldigheter alls, inte ens de stora bolagen som Microsoft, Google eller Amazon. I och med GDPR ändras det.

– Både it-leverantörer och deras kunder måste skydda individers personuppgifter framöver, säger David Frydlinger.

Det är lite drygt ett år kvar, och även bland dem som satt igång arbetet är det få som kommer att hinna klart.

Stort fokus kommer att ligga på det som kallas ”privacy by design”. Det innebär att it-systemen måste byggas på ett sätt som stödjer korrekt personuppgiftsbehandling. Exempelvis måste det vara möjligt att gallra och rensa ut data efter en viss tid.

Läs också: David Frydlingers checklista: Det här krävs för att leva upp till GDPR

– Idag har vi klienter vars system riskerar att krascha om de raderar stora mängder data. Sådana system kommer att behöva bytas ut eller byggas om, säger David Frydlinger.

En nyhet som är relevant för it-avdelningen är skyldigheten att rapportera in­formations-säkerhetsincidenter till Data­inspektionen inom 72 timmar. Även här berörs leverantörerna, som nu har skyldighet att utreda och rapportera in sin eventuella del.

Alla behöver involveras

CIO:n har ett stort ansvar för att företaget ska kunna möta de nya lagkraven. Det är CIO:n som ansvarar för alla de program, databaser och system där personuppgifter sparas och som har koll på åtkomsträttigheter och incidenthantering. Det är också CIO:n som förstår hur framtidens system kan designas för att möta informationssäkerhetskraven, och som agerar kravställare mot leverantörerna.

Fast CIO:n är inte ensam. Personal- och marknadsavdelningen kan ha bättre kunskap om vad informationen innehåller och används till. Därför är det nödvändigt att involvera alla delar av verksamheten i GDPR-arbetet, säger David Frydlinger.

På sikt kommer det att behövas ännu tydligare ansvar och mandat, menar han.

– Personuppgifter finns ju överallt. Man måste ha med marknad och HR, jurist­avdelningen, inköp, sälj och och it-avdelningen, säger David Frydlinger, som menar att det ytterst sett är en ledningsfråga.

En orsak till att ledningen faktiskt har börjat intressera sig för frågan är de kraftigt höjda sanktionsavgifterna. Maximalt ligger vitena på 4 procent av omsättningen.

– Risknivån blir därmed så hög att alla bolag med någon form av omsättning måste hantera frågan på styrelsenivå, säger David Frydlinger.

Läs också: Så förbereder hon Attendo för GDPR – "just do it!"

De höjda straffavgifterna tror han på sätt och vis kan ha en positiv inverkan, eftersom hela verksamheten nu måste ta it- och informationssäkerhetsfrågor på allvar.

– Jag har pratat med it-avdelningar som jublar eftersom de tänker att verksamheten äntligen kommer att lyssna på dem, säger han.

Inte en sekund för tidigt att börja

En närmast akut fråga är hur man ska organisera sig för att ta itu med förberedelserna – om man inte har kommit till skott än.

Viktigast enligt David Frydlinger är att snabbt få igång ett projekt som involverar flera delar av organisationen, där man kartlägger dagens behandling av personuppgifter ur både verksamhets- och systemperspektiv, och sedan analyserar vilka förändringar i organisation, processer och system som krävs för att klara de nya lagkraven.

Allt för många it-avdelningar har inte hunnit planera för alla de systemförändringar som behöver göras, men nu är det dags.

– Det är lite drygt ett år kvar, och även bland dem som satt igång arbetet är det få som kommer att hinna klart. Det är bråttom!