Nya datalagen kräver superkoll – så förbereder du dig

När EU-direktivet GDPR träder i kraft nästa år ökar kraven avsevärt på hur företag och organisationer hanterar personlig information. Här förklarar Advanias säkerhetschef hur det påverkar dig – och hur du förbereder dig.

Om du tycker att PUL (personuppgiftslagen) är krånglig är risken stor att du baxnar inför EU-direktivet GDPR (General Data Protection Regulation). Det börjar gälla i maj 2018 och ställer väsentligt högre krav på hur varje företag hanterar personlig information, jämfört med PUL. Fast egentligen är det ett misstag att jämföra de två regelverken eftersom GDPR ligger till grund för en lag som kommer att bli både bredare och strängare.

Utredning pågår

Exakt vad den kommer att innebära är förvisso inte klart eftersom utredningen kring hur den svenska lagen behöver anpassas för att möta EU-direktivet pågår. I synnerhet när det gäller den offentliga sektorn kommer anpassningar att behöva göras, eftersom det i vissa delar krockar med bland annat vår grundlagsskyddade informations- och yttrandefrihet. Det säger Henric Skalberg, säkerhetschef på Advania.

 

Henric Skalberg, säkerhetschef på Advania

 

– Utredningen ska vara klar i maj 2017. Först då kommer vi i detalj att veta hur GDPR påverkar svenska företag och myndigheter. Men vi kan vara säkra på att grundlagen inte kommer att ändras, säger han.

Syftet med direktivet är att skydda privatpersoners integritet. Därför kommer det inte längre att vara tillåtet att slentrianmässigt lagra individrelaterad information. Det måste alltid stå klart varför viss information sparas, vad den används till och på vilka sätt den används av företaget. Dessutom kommer individer att ha rätt att ”bli glömda”, genom att personlig information raderas när den inte längre behövs.

GDPR innebär förändring i grunden

Henric Skalberg säger att man inom branschen talar om direktivet som en ”game changer”, något som fundamentalt ändrar hur företag hanterar individrelaterad information.

– Du kommer att behöva ha koll på all personlig information oavsett om den finns i it-system, i vanliga dokument på medarbetares hårddiskar eller på sociala medier. En av utmaningarna är att många system är sammankopplade, så när information förs in i ett system sprids den till flera andra. Hur de flödena ser ut måste man ha koll på.

 

Du kommer att behöva ha koll på all personlig information oavsett om den finns i it-system, i vanliga dokument på medarbetares hårddiskar eller på sociala medier. En av utmaningarna är att många system är sammankopplade, så när information förs in i ett system sprids den till flera andra.



Även om utredningen ännu inte är klar vet vi i stora drag vad direktivet innebär, i synnerhet för den privata sektorn, där anpassningar inte kommer att behöva göras i samma utsträckning som för den offentliga sidan. GDPR handlar alltså inte om en lite strängare variant av PUL. Den lagen reglerar visserligen hur personlig information hanteras, men GDPR går mycket längre. Straffrättsligt ligger den också på en högre nivå, ungefär som penningtvätt och bedrägerier, säger Henric Skalberg.

– Ett bolag som inte följer lagen kommer att kunna straffas med böter på mellan två och fyra procent av årsomsättningen, är det sagt. I värsta fall kan ett bolag förlora rätten att alls hantera personlig information, och då är det ju bara att lägga ner eftersom de inte ens skulle kunna upprätta en lönelista.

Koll på PUL ger bättre förutsättningar

GDPR kommer att gälla alla bolag, oavsett bransch och oavsett storlek. Den innebär förvisso en rejäl förändring som kräver såväl nya processer som ny teknik. Men alla har inte ett lika stort jobb framför sig, påpekar Henric Skalberg. De som redan i dag jobbar aktivt med att följa PUL har goda förutsättningar att anpassa sig till den nya lagen. Övriga får räkna med en synnerligen tuff resa.

– Nu behöver företag ägna kraft åt att hitta all personlig information i sina system, förstå vilka flöden de följer och vad informationen används till. När det är klart kommer det att vara förhållandevis enkelt att lägga på rätt it-stöd för att kunna möta de legala kraven som börjar gälla från maj 2018, säger han.

Läs mer om vårt erbjudande kring it-säkerhet

Text: Henrik Rådmark