Vid det här laget bör du ha koll på att GDPR, den nya EU-lagen för dataskydd, aktiveras fullt ut 25 maj nästa år. I bästa fall är företaget du jobbar på i full färd med att genomföra förändringar som tvingas fram av den nya lagen.
När en sådan omvälvande förändring som GDPR är på gång så är det naturligt att det börjar spridas rykten, myter och direkta felaktigheter. IDG News passar på att sticka hål på 9 sådana.
Myt 1. GDPR är som år 2000
På vissa företag hanterar man GDPR på samma hysteriska sätt som man modifierade it-lösningar inför millennieskiftet, alltså som ett enda projekt med ett fast slutdatum. Men förändringarna av GDPR är inte av den arten att de kan genomföras en gång för alla, för att allt sedan ska vara klart. Konsekvenserna av GDPR kommer att leva vidare.
Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler
Dessutom finns risken att man genom att likställa GDPR med ”millenniebuggen” drar slutsatsen att allt prat om krav på förändringar på grund av GDPR är överdrivet, eftersom det har blivit eftermälet till millenniebuggen.
Myt 2. Ingen kommer att bli bötfälld
En del tror att risken att råka ut för stora böter på grund av GDPR är överdriven. Men det är troligt att efterlevnad av GDPR kommer att kontrolleras noggrant, inte minst vad gäller välkända företag. Det är våghalsigt att chansa på att inga böter kommer att delas ut.
Myt 3. Alla kommer att få böta fyra procent
Flera faktorer, till exempel vilka typer av data det handlar om och om ett företag har slarvat tidigare, kommer att påverkar bötesbeloppens storlekar. Det finns två nivåer, två och fyra procent av föregående års omsättning.
Men vad gäller fyraprocentsnivån kan företag med upp till 500 miljoner euro få upp till 20 miljoner euro i "böter", alltså mer än fyra procent av omsättningen. Formuleringen i lagen anger fyra procent eller 20 miljoner euro, det som är högst. För tvåprocentsnivån gäller samma sak för gränsen tio miljoner euro.
Men i skrivande stund är det oklart hur de här formuleringarna kommer att tillämpas. Det blir ju till exempel konstigt om ett företag med en omsättning på fem miljoner euro ska böta 20 miljoner euro, även om det skulle gå enligt lagen.
Myt 4. Det är lugnt så länge inget intrång skett
Räkna inte med att slippa bötar bara för att inget intrång skett eller inga data kommit på vift när man har slarvat med att uppfylla GDPR. Böter kan, och kommer troligtvis, att delas ut ändå.
Myt 5. Det blir bara böter på två procent om intrång skett
Företag som har olika roller i hantering av data kan råka ut för olika bötesstorlekar om det skett intrång eller data läckt. Men även om ett företag som ”bara” hanterat data, alltså inte bestämt syftet med hanteringen, får ett lägre bötesbelopp så kan det fortfarande råka ut för stämningar.
Myt 6. Alla intrång måste rapporteras inom 72 timmar
Faktum är att bara intrång eller dataläckage (breaches) som gäller persondata behöver rapporteras. Och kraven på rapporteringen varierar beroende på vilken roll ett drabbat företag har haft i hanteringen av data.
Läs också: 30 miljarder skäl för it-branschen att älska EU:s nya dataskyddslag
Myt 7. Det är bäst att inte rapportera intrång
På vissa håll resonerar man att det är bäst att dölja intrång och dataläckage och därigenom komma undan böter. Men det är en riskabel strategi och dessutom kan man bli bötfälld för att inte ha rapporterat.
Myt 8. Man måste kryptera allt
GDPR kräver att man upprätthåller en viss nivå av säkerhet som är avhängig sannolikheten för problem och hur allvarliga följderna av dem kan bli. Det inbegriper alla aspekter av hanteringen av data, till exempel lagring och dataöverföring. Vilka insatser som krävs beror alltså på vilka risker som finns, samt på vilka tekniska lösningar som finns och vad de kostar.
På ren svenska: Det beror på.
Myt 9. Man kan outsourca GDPR-ansvaret
Visst kan man lägga ut hantering som faller under GDPR, men det gäller att skriva avtal som täcker in risker. Det gäller även utförare som i sin tur lägger ut jobb på egna underleverantörer. Det gäller även ansvar, även om det kanske inte går att försäkra sig eller friskriva sig mot böter för vissa förseelser.
