Det vore intressant att veta hur många ”GDPR-projekt” som är i gång just nu på företag, myndigheter och andra ställen i Sverige. En gissning som känns rätt säker är i alla fall tusentals.

En arbetsuppgift som borde gälla för samtliga dessa projekt är att inventera vilka data som hanteras. Helt enkelt ta reda på vad som finns i olika databaser och i andra typer av förvaringsplatser för data.

Men vänta nu, är inte det ett utmärkt, till och med lysande, tillfälle att se över informations- och datahantering i största allmänhet? Om man ändå verkligen måste ta itu med att inventera vilka data som hanteras på grund av de krav som GDPR ställer, så är ju en stor del av jobbet med allmän datahantering redan gjort.

Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler

Jo, det är ett mycket bra tillfälle för en allmän översyn av datahantering. Men görs sådana?

– Jag kan inte svara för hela marknaden, men vi har gjort det i projekt. Man har insett att det är ett bra tillfälle för städning som ändå behöver göras, säger Daniel Björkman, vice vd på konsultföretaget Sigma Technology Solutions.

– Vi passar på att rensa bland data när vi ändå inventerar. Om inte annat dokumenterar vi sådant som behöver kollas upp. Det är viktigt att även sådan dokumentation uppfyller GDPR-kraven, säger Johan Normén, teknikchef på Windows System som bygger affärs- och kassasystem.

Johan Normén
Johan Normén.

Men även om det finns goda intentioner på många håll så är det inte självklart att ta ett bredare grepp på datahantering. En person som jobbar inom ett GDPR-projekt, som vill vara anonym, uttrycker det så här: ”Det är omöjligt att inte tänka på mer allmänna saker när man gör en GDPR-inventering, men det finns inte så mycket tid för att åtgärda dem eftersom GDPR-arbetet i sig tar så mycket tid”.

Man kan lätt tycka att det handlar om ett gammalt, till synes olösligt problem: Det finns inte tid. Men balansen mellan GDPR-hantering och allmän datahantering kanske ändå är lite annorlunda:

– Jag tror att man måste ta ett brett grepp på informationshantering för att kunna uppfylla GDPR, säger Jimmy Nilsson, vd på konsultföretaget Factor10.

För att utrycka det annorlunda: Man sparar tid för GDPR-arbetet, genom att göra en grundlig och bred översyn av datahantering. Steget från den insikten till att inleda GDPR-arbetet med en mer allmän översyn av datahantering kan förstås vara långt och det kan upplevas att det inte hinns med för att klara av den deadline som införandet av GDPR medför 25 maj nästa år.

Läs också: GDPR ställer nya krav på e-posthantering – här är åtta tips

Det här handlar som så mycket annat vad gäller GDPR om attityder. Den allra största påverkan som GDPR får blir kanske en attitydförändring vad gäller datahantering, både i stort och smått.

På ett generellt plan handlar det om att attityden ”vi sparar data eftersom de kan visa sig bli bra att ha” ändras till ”vi sparar verkligen bara de data som vi behöver”.

På en mer detaljerad nivå finns det hur många exempel som helst på nödvändiga attitydförändringar som blir följder av GDPR. Ett exempel gäller radering av information. För många utvecklare har det varit självklart att data aldrig tas bort, utan bara ”avaktiveras” på något sätt. Med GDPR duger inte det. Data måste åtminstone avidentifieras, vilket kan visa sig bli väldigt krångligt att genomföras.

Attitydförändringar måste alltså få genomslag överallt, inte minst hos utvecklare som bygger nya applikationer. Om de inte skapar lösningar som underlättar att följa GDPR så kommer GDPR-arbete att fortsätta att vara en stor uppgift, även långt efter att lagen har införts.