Del 3: Kommuner i knipa när dataskyddsregler skärps

Nyligen lämnades utredningen om hur en ny svensk dataskyddslag ska se ut över till regeringen. Grunden är EU:s dataförordning GDPR som klubbades förra året, men där vissa områden har lämnats till de nationella lagstiftarna att besluta närmare om. När det gäller företag hotar böter på fyra procent av omsättningen för den som i inte sköter sitt dataskydd, men hur sanktionerna för offentlig sektor ska se ut avgörs nationellt.

Och i utredningens förslag föreslås också sanktioner även för offentlig sektor men inte i samma skala som för företagen utan snarare i paritet med vad det kan ligga på när ett upphandlingsfel eller miljöskyddsbrott begåtts. Mellan 10 och 20 miljoner kronor föreslås av utredningen.

– Visst var vi lite oroliga för hur sanktionerna skulle se ut men ärligt talat så är ju förslaget rätt snällt mot kommuner, säger Christian Bonfré, it-chef i Svenljunga kommun.

Läs också: Svenska företag dåligt förberedda på EU:s nya dataskyddslag

Även skrivningar om att kommuner slipper lämna ut registerutdrag när personuppgifter nämns i löpande text och att känsliga personuppgifter kan användas när ett ärende hanteras är sådant som han nämner som en lättnad för kommunerna.

– Jag ser rätt pragmatiskt på detta – resten av arbetet gäller egentligen ordning och reda, och det borde vi ju ha i vilket fall som helst, säger han.

I Svenljunga har inventeringen börjat, och Christian Bonfré känner sig trygg med att det finns rutiner på plats och att organisationen har läget under kontroll.

– Visst finns det kolleger i andra kommuner som är oroliga, men jag tror att det mycket handlar om en generell oro för förändringar, säger han.

Fia Ewald har tidigare arbetat med informationssäkerhetsfrågor på Myndigheten för samhällskydd och beredskap men är i dag fristående konsult. Hon är övertygad om att det finns kommuner och landsting som är i knipa och inte kommer att hinna med att följa lagen fullt ut när den träder i kraft i maj nästa år.

– När det gäller behörigheten att få tillgång till personuppgifter så klarar inte alla landsting ens att leva upp till patientdatalagen ännu – och den fyller tio år 2018, säger hon.

Hon pekar på att kommuner hanterar väldigt många personuppgifter i olika verksamheter, och trycker på att det är viktigt att hantera det hela som en informationssäkerhetsfråga.

Och där är kommunerna generellt rätt dåliga. Det visade en undersökning tidigare i år.

– Jag tycker kommunerna ska se det som en spark i baken att ta itu med sitt säkerhetsarbete och se till att dataskyddet är en integrerad del, säger Fia Ewald.

Läs också: Nu ska it-jättarna ner i guldgruvan som EU:s nya dataskydd öppnar

Hennes bild är att offentlig sektor generellt ligger något efter privat sektor när det gäller arbetet med att anpassa sig till den nya dataskyddslagen.

– Speciellt svårt är det för mindre kommuner. De hamnar i en olycklig kombination av brist på resurser, kompetensbrist och känsliga personuppgifter, säger hon.

Mikael Brandfors, it-chef i Rättvik, tycker sig se att skiljelinjen mellan de kommuner som klarar förberedelserna bra respektive mindre bra går mellan dem som ser it som en ledningsfråga och dem som sitter kvar med en traditionell it-avdelning som inte är involverad direkt i verksamheten.

– Det finns absolut en ojämn inställning till hur oroliga kommunerna är inför den här lagändringen. I de kommuner där it inte ligger på ledningens bord blir inte heller systemägarskapet så tydligt, säger han.

Själv tror han att it-avdelningen är på utdöende och att det blir en naturlig del av verksamhetsutvecklingen inom en inte allt för avlägsen framtid. Och där kan GDPR rentav vara en draghjälp tycker han.

– Jag såg ganska tidigt att en del av GDPR är att it-avdelningarna får ett utökat ansvar för att se till att data lagras på ett skyddat sätt. Det passar väldigt bra om man som jag vill driva säkerhetsarbetet Och därför är jag en av få som tycker GDPR är bra för att det äntligen blir tydligt för kommunledning och politiken att det här är arbete som man måste satsa på, det är en lag. Det gör att det inte blir godtyckligt.

Både Mikael Brandfors och Christian Bonfré är mitt inne i ett inventeringsarbete och vet inte ännu om det kommer att kräva systembyten. Samtidigt är de också relativt trygga med att deras leverantörer kommer att se till att ha uppgraderingar där systemen anpassas för GDPR.

Hur kommer det då att gå för kommunerna att hinna med arbetet? Advokat Agnes Hammarstrand på advokatbyrån Delphi tror inte att alla kommuner hinner klart tills lagen träder i kraft.

– Men det gör inte alla företag heller. Har de inte sett till att allt är på plats och att it-systemen stöder det som krävs när lagen träder i kraft så kommer de att bryta mot lagen. Punkt slut.