Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

Nominerad till
Publishingpriset 2017

En smartare it-nyhetssajt

Nominerad till
Publishingpriset 2017

Så lyfter GDPR affären

Caroline Olstedt Carlström är en av Sveriges främsta dataskyddsexperter som under sin tid på Klarna snabbt insåg möjligheterna med en god datahantering. För Caroline är GDPR ytterligare en möjlighet att skapa ordning på allt.

Text Tim Leffler Foto Adobestock, Lindahl 6 februari 2018 säkerhet

två män i blåa kläder studerar ett stort kugghjul.jpg

– Vi är lite godtrogna när det kommer till personuppgifter i Sverige. Vi använder ju dem till ganska mycket utan att tänka så mycket över vem som får tillgång till dem och hur de kan utnyttjas. Det i samspel med vår generösa offentlighetsprincip har antagligen gjort att man historiskt inte har haft tillräckliga skäl att lägga resurser på dataskydd. Det blir det ändring på nu, säger Caroline Olstedt Carlström, dataskyddsexpert på advokatfirman Lindahl och ordförande i Forum för dataskydd.

Först i Sverige

I början av 2000-talet arbetade Caroline Olstedt Carlström framförallt med skatterätt, men av en ren slump fick hon ett uppdrag som involverade dataskydd – och blev en av de första i Sverige att på allvar titta närmare på hur den nya EU-direktivbaserade personuppgiftslagen från 1998 skulle efterlevas i praktiken.

Sedan dess har hon varit fast och det nya arbetet resulterade i många resor till och från Bryssel. I Sverige på den tiden var det många som talade om immaterialrätt och databasrättigheter, men det var knappt någon som intresserade sig särskilt för skydd för personuppgifterna.

caroline oldstedt carlström.jpg

Caroline Olstedt Carlström

Och dataskydd är fortfarande något som ofta sätts på undantag.  

Läs mer: En av tio GDPR-förberedd

– Otroligt många bryter faktiskt fortfarande mot lagen. Vi ligger även lite efter och följer exempelvis upp våra samarbeten mindre än vad vi borde i Sverige när det kommer till dessa frågor. Men sedan man fattade beslut om en ny europeisk dataskyddsförordning och i april 2016 fastställde dess innehåll har de flesta blivit tvungna att börja hantera dessa frågor. Redan innan jag gick över till Klarna 2012 skrev jag en debattartikel och argumenterade för att det snart skulle saknas dataskyddsexperter. Det tog kanske lite längre tid än jag trodde där och då men nu ser vi att det råder en extrem brist på den här typen av kompetens.

Klarna i framkant

2012 blev Klarna intresserade av Caroline Olstedt Carlströms expertis och hon fick möjlighet att starta ett team som helt fokuserade på Klarnas personuppgiftshantering och olika dataskyddsfrågor. Klarna står med ena foten i e-handelssektorn och den andra i bankvärlden, och det är därför av stor vikt att man håller ordning på de uppgifter man hanterar.

Läs mer: Voister förklarar GDPR

– Det har varit helt fantastiskt att få göra den här resan med Klarna. Vi arbetade stenhårt med att se till så att det blev rätt och ett tydligt fokus på dataskyddsfrågor och vi fick bra backning från hela företaget; alla såg ur sina respektive perspektiv olika värden i en tydlig hantering och i att ibland göra det där lilla extra. Det handlar om integritetsskyddet och hur kunderna uppfattar det, men det är i slutänden förstås också en varumärkesfråga, en tillitsfråga och viktigt i relationen med partners.

Carolines tre GDPR-tips

  • ANSVAR Det är lätt att GDPR-bollen kastas runt som en het potatis eftersom man inte är van att hantera sådana frågor. På större organisationer är det kanske lämpligt att exempelvis företagets jurist tar tag i det, men på mindre bolag kan det vara svårare att veta vem som bör ha ansvaret. Det är därför viktigt att man utser någon så tidigt som möjligt som kan samordna och driva resten av företaget i rätt riktning.
  • RESURSER Se till att den som äger frågan får tillräckligt med resurser för att analysera företagets behov och samordna arbetet internt, och framförallt ska man inte tänka att det bara är något som behöver göras fram till den 25 maj och sedan kommer allt vara frid och fröjd. Man ska snarare se det som en möjlighet att införa nya rutiner och börja hålla ordning och reda på de uppgifter man hanterar. Det är dessutom så att vissa organisationer kommer vara tvungna att ha ett dataskyddsombud. Här bör man kanske inte lägga ner för mycket tid på att bestämma sig för om man verkligen måste ha det eller inte, utan återigen se det som något som skapar ett värde i organisationen.
  • STARTEN Det vanligaste bekymret är att företag inte vet var de ska börja. Det är förstås viktigt att hantera de delar där man känner att risken är störst, men dessa kräver också oftast mest tid. Därför kan man göra sig själv en tjänst genom att starta med områden som känns enklare. Om inte annat så för att få en skjuts in i arbetet och känna att man får lite medvind. Det skapar en positiv energi i verksamheten.

Fokus på HR

Sedan maj 2017 arbetar Caroline Olstedt Carlström på advokatfirman Lindahl, men har fortfarande ett nära samarbete med Klarna.

I sin nuvarande roll hjälper hon företag att bland annat få ordning på sina databehandlingar och göra dem GDPR-compliant.

Läs mer: Tre skoltips inför GDPR

Läs mer: Branscher i samarbete inför GDPR

Oavsett vad för typ av företag eller organisation man driver så kommer GDPR-kompabilitet vara ett måste – personalens uppgifter är också nödvändiga att ta ordentligt ansvar för, och därför kommer HR-avdelningar vara tvungna att förbereda sig. Något de inte är helt ovana vid.

– Det är givetvis så att HR-avdelningar kommer få mycket att göra, men de har faktiskt fördelen att vara vana att arbeta med sådana här frågor och GDPR kommer inte lika mycket som en överraskning för dem. Man är ofta van att arbeta utifrån kraven i PUL och GDPR kan sägas vara som ett mer specificerat PUL med tydligare och uppdaterade krav, fler rättigheter osv. Man kan säga att den största skillnaden är att PUL kräver att verksamheten ska vara compliant, medan GDPR begär att du även ska visa hur du följer reglerna, det vill säga även ha tydligt dokumenterade processer med mera på plats, säger Caroline Olstedt Carlström.

Behov av transparens

Caroline Olstedt Carlströms analys av situationen är ganska enkel och klar, egentligen: kunder efterfrågar transparens, öppenhet, och en försäkran om att ens personuppgifter hanteras med värdighet. GDPR kan på så sätt bli en tillgång snarare än ett hinder; ett ypperligt tillfälle att skaffa ordning i något som man tidigare har förbisett.

Otroligt många bryter faktiskt mot lagen.

Caroline Olstedt Carlström , Dataskyddsexpert

Läs mer: Så klarar du GDPR-krav i flera länder

– Man behöver inte stirra sig blind på lagen, tycker jag, utan också tänka med sunt förnuft. Det handlar ju även om företagsetik och hur man uppfattas av andra. På så sätt bör informationskällorna börja behandlas precis som annat man har på balansräkningen; att man ser om sitt hus, skyddar värdena och skapar rutiner för sin datahantering. Sett ur det perspektivet kan man vända på steken och förvandla ett kanske förväntat aber till något som istället kan komma företaget till gagn, säger Caroline Olstedt Carlström

Rekommenderad läsning

Tuffa dataskyddslagar trots Brexit

28 jun 2016 säkerhet

AdobeStock_112657547_Brexit_960x640.jpg AdobeStock_112657547_Brexit_960x640.jpg AdobeStock_112657547_Brexit_960x640.jpg

Trots det eventuella brittiska uttåget ur EU kommer man inte undan den nya dataskyddslagen som ska införas senast 25 maj 2018. Anledningen är handeln över gränserna.

Därför pratar alla om GDPR

29 aug 2016 Säkerhet

GDPR .jpg GDPR .jpg GDPR .jpg

Den 25 maj i år klubbades den nya dataskyddsförordningen igenom och nu väntar två års förberedelser innan den börjar gälla som ny lag i Sverige. Vad betyder förordningen och vad behöver företag göra? 

HPE:s David Kemp tipsar om GDPR

6 dec 2016 säkerhet

KempMikkoLisa_960x640.jpg KempMikkoLisa_960x640.jpg KempMikkoLisa_960x640.jpg podcast

Många ser problem och utmaningar när de tänker på GDPR, men David Kemp på HPE vill lyfta fram de affärsmässiga fördelarna som också kommer med införandet. 

Efter GDPR - nu kommer NIS-direktivet

1 mar 2017 säkerhet

tåg 960640.jpg tåg 960640.jpg tåg 960640.jpg

EU:s nya NIS-direktiv innebär att alla viktiga samhällsaktörer nu måste visa upp att de kontinuerligt arbetar med säkerheten i sina it-system - allt på grund av den ökade hotbilden utifrån. 

5 tips hur du snabbt får koll på GDPR

6 apr 2017 säkerhet

gdpr foto .jpg gdpr foto .jpg gdpr foto .jpg

Många är stressade inför starten av GDPR men det finns smarta metoder att ta efter. Region Västmanland är nästan klara med sitt arbete och här finns deras rekommendationer.

Voister förklarar

GDPR

19 apr 2017 Voister förklarar

folk .jpg folk .jpg folk .jpg

GDPR berör oss alla. Bakom akronymen står nämligen en av de viktigaste förordningarna i Europa, inte bara för it-företag utan för alla företag som på något sätt hanterar personuppgifter.

Tre skoltips inför GDPR

22 aug 2017 it i skolan

skola gdpr.jpg skola gdpr.jpg skola gdpr.jpg

Hittills har det mest pratats om vad företag behöver göra för att anpassa sig till den nya dataförordningen GDPR, men det kommer även att innebära betydande uppoffringar för skolorna runt om i Sverige. Det anser i alla fall Pernilla Rönn, affärsområdeschef för informationssäkerhet på Combitech.

JP Morgan säkert med Nexus

6 okt 2017 säkerhet

1024px-A1_Houston_Office_Oil_Traders_on_Monday_2.jpg 1024px-A1_Houston_Office_Oil_Traders_on_Monday_2.jpg 1024px-A1_Houston_Office_Oil_Traders_on_Monday_2.jpg video

Nexus har varit med och utvecklat BankID som i dag används av miljoner svenskar. Idag jobbar företaget med avancerade säkerhetslösningar som möter kraven för bland annat GDPR.