De sista två månaderna innan den nya dataskyddsförordningen kom på plats i våras var stämningen rejält uppskruvad, konstaterar Agnes Hammarstrand, it-advokat på advokatfirman Delphi.
När det peakade gick hon från att några år tidigare ha arbetat 30 procent i snitt med dataskydd och resten av tiden med annan it-juridik. Över 10 personer arbetade mer eller mindre dygnet runt med GDPR-frågor i teamet bara i Göteborg.
– Den hysteri som rådde då tror jag aldrig mer kommer att uppleva en motsvarighet till. Det var panik – jag hann knappt svara på mejl eller telefon, säger hon.
– Nu börjar det landa och de flesta börjar inse att det här är en lag man ska leva med – inte bara ett projekt som tagit slut. Man blir aldrig klar med dataskydd det börjar företagen inse nu.
David Frydlinger, advokat på advokatfirman Lindahl, konstaterar att många fortfarande arbetar med GDPR men att arbetet gått in i en ny fas där det mer börjar handla om hur lagen faktiska ska tillämpas.
Det handlar exempelvis om incidenter som enligt de nya reglerna måste anmälas inom 72 timmar till Datainspektionen.
– Men vad är egentligen en incident? Om jag skickar en faktura fel – är det en incident?
Läs också: GDPR-incidenterna ökar – anmälningarna rasar in
Ett annat område är hur mycket man faktiskt är skyldig att lämna ut när någon begär ut sin information.
– Exempelvis ingår ju även personuppgifter som finns i mejl. Men frågan är om man verkligen är skyldig att lämna ut mejl i sin helhet om någons personuppgifter förekommer där? Det förekommer situationer där man försöker använda det för få ut information som ska användas mot företaget exempelvis. Det där är inte självklart, säger David Frydlinger.
– De svenska undantagen på det här området är rätt vaga till skillnad från de brittiska, till exempel.
Mycket av sådana här tillämpningar kommer inte att vara helt klara förrän vi sett tvistemål eller om Datainspektionen kommit med utslag.
– Men till sist är det ju EU-domstolen som avgör så det kan ta lång tid, säger David Frydlinger.
Han konstaterar också att arbetet med GDPR är långtifrån klart i de flesta organisationer. Fortfarande pågår exempelvis många förhandlingar kring sådant som personuppgiftsbiträdesavtal som man är skyldig att ha enligt lagen.
– Och när det gäller sådant som privacy by design, att systemen ska byggas och anpassas så att de stöder en korrekt personuppgiftsbehandling – ja, då finns det mycket jobb kvar, säger han.
Trots att knappt någon klarar lagen fullt ut ännu så tror David Frydlinger att Datainspektionen inte i första hand är ute efter dem som ändå arbetar flitigt med frågan utan dem som struntat i att anpassa sig.
– Då skulle jag vara orolig.
Men om man kan peka på att man har en plan?
– Jag skulle inte sova alltför gott om jag bara hade en plan. Däremot skulle jag sova mycket bättre om jag visste att vi håller på för fullt.
Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler
Samtidigt lever också en del missförstånd kvar, inte minst är det många som tror att en del regler är nya fast de sett exakt likadana ut i flera decennier, konstaterar Agnes Hammarstrand.
– Jag har aldrig varit med om att det spritts så många felaktiga ”sanningar” inför en ny lag. Och en del blir handlingsförlamade för att de inte förstår vad de får göra.
Med det sagt har dataskydd samtidigt fått en helt ny plats på företagen – det är en fråga för högsta ledningen i dag.
– Det är också många som blivit väldigt duktiga på de här frågorna – projektledare, internrevisorer, informationssäkerhetsfolk. Det är roligt att se.
I dag får Agnes Hammarstrand arbeta mer brett med it-juridik igen och inte bara dataskydd som i våras.
– Men samtidigt är ju dataskydd alltid en integrerad del i vartenda avtal. Det går in i all digitalisering och all it-juridik. Förut fanns det de som jobbade med de här frågorna sin inte kunde något om personuppgiftslagen – men nu måste man kunna dataskyddsreglerna, säger hon.
