Tänk vad tiden går fort, ett helt år har gått sedan Dataskyddsförordningen, också kallat GDPR, infördes. Det som omnämndes mest innan införandet var böter, implementationskostnader för företag och myndigheter samt rädslan över att inget skulle gå att spara längre. Men, hur har det egentligen blivit?

Till att börja med kan vi konstatera att stora böter har dömts ut till Google för deras bristande information till användarna. I januari 2019 levererade Franska motsvarigheten till Datainspektionen, CNIL, sin dom på 50 miljoner euro, i vite. Utifrån detta kan vi konstatera att GDPR är här för att stanna och framförallt vi som individer återfått makten över våra personuppgifter.

I Sverige har Datainspektionen sammanställt en rapport med statistik från 25:e maj t.o.m. 31 dec 2018. I den kan vi utläsa att det skett 2300 anmälda incidenter varav 61% beror på den mänskliga faktorn. 42% av dessa 2300 fall har obehörigt röjande i brevutskick anmälts som orsak.

Såhär, vill jag personligen, summera första året med dataskyddsförordningen. Mina tankar som Dataskyddsombud är att GDPR är så mycket större än bara en lagstiftning och att anmäla incidenter till en myndighet. Lärdomen är att företag, kommuner, föreningar m.fl. behöver tänka på både arbetsmiljö och fysisk säkerhet samt att ta höjd för oförutsedda händelser.

Med facit i hand, hur många har egentligen tänkt på hur personen mår efter att ha råkat skicka ut information till fel mottagare? Har man tagit höjd i budget för utgifter i form av brevutskick och annonsplats för att meddela att en incident skett? Hur kompenserar man en DSO som förväntas svara dygnet runt? Det där supersäkra brandskåpet allergilistan på förskolan är inlåst i, vad händer om personen med skåpkoden blir sjuk eller glömmer bort koden? Ligger besökslistor framme i receptionen? Hur gallras egentligen gamla konton och vad har ert företag för policy gällande material på skrivbordet? Och den där fina listan med alla behandlingar av personuppgifter inom organisationen som var klar i maj 2018, handen på hjärtat, är den uppdaterad?

Nu, ett år senare, när paniken har lagt sig – är det inte dags att någon granskar verksamheten utifrån nya synvinklar och erfarenheter?

För egentligen är det inte böterna vi ska vara rädda för. Det är det skadade varumärket, det tappade förtroendet, de kostsamma tekniska åtgärderna, övertiden och sjukskrivningarna som kommer med en dåligt hanterad incident vi ska känna oro för.

Jessica Hillergård, Certifierad Dataskyddsombud (CDSO)