Därför pratar alla om GDPR

GDPR .jpg

GDPR har med all rätta blivit en snackis på gatan, men Marcus Hallberg från IBM menar att det i ännu högre utsträckning borde vara det eftersom förordningen berör alla.

Den 25 maj i år klubbades den nya dataskyddsförordningen igenom och nu väntar två års förberedelser innan den börjar gälla som ny lag i Sverige. Vad betyder förordningen och vad behöver företag göra? 

 Alla borde börja sitt arbete nu, det kan låta som en lång tid till 2018 men det är otroligt mycket som måste göras fram till dess, säger Marcus Hallberg, Solution Specialist på IBM Security.  

Även om den nya dataskyddsförordningen är något nytt i sig så går arbetet med datasäkerhet tillbaka till 1973, då den första datalagen i Sverige kom. Detta följdes av det europeiska dataskyddsdirektivet 1995 som tre år senare implementerades och blev den svenska personuppgiftslagen (PUL) 1998.

2012 kom så det första förslaget till ny dataskyddsförordning, på engelska kallat GDPR: General Data Protection Regulation, och den 25 maj 2018 kommer den att börja gälla som ny lag.

Vilka som påverkas av förordningen är reglerat baserat på organisationsstorlek och på vilket sätt man behandlar persondata men i huvudsak utgår man ifrån två principer: Den gäller alla länder och deras organisationer inom själva unionen, i alla 28 medlemsstater. Samt alla organisationer utanför unionen som har data på EU-medborgare, oavsett var organisationen har sitt säte. 

Marcus Hallberg.jpg

Marcus Hallberg, Solution specialist på IBM Security.

Syftet med förordningen ligger på att skydda persondata för oss EU-medborgare. Att ha kontroll på sin data är särskilt viktigt för berörda organisationer då förordningen definierar persondata som all data som sammanlagt kan identifiera en fysisk person. Persondata är därför inte bara personnummer utan kan även vara bilder, adress eller tekniska identifierare som IP-adress som totalt kan identifiera personen.

GDPR innebär även utökade rättigheter för alla EU-medborgare. Såsom rätten till tydlig information, att ändra felaktiga uppgifter, att få sin data flyttad eller rätten att bli ”glömd”, få sin data borttagen och rätten att avsluta sitt avtal med en organisation. Vilket också ställer krav på nya rutiner inom organisationen.

Påföljderna om man bryter mot förordningen kan bli stora. Maxböterna ligger på fyra procent av företagets årsomsättning eller 20 miljoner euro, där det belopp av de två som är högst gäller.

 Fyra procent kanske inte låter så mycket men för exempelvis Volvo Cars skulle en sådan summa bli cirka tre miljarder kronor, Göteborgs stad 1,3 miljarder och så vidare, säger Marcus Hallberg. 

Förordningen kommer att innebära ett förstärkt arbete över hela organisationen när det gäller säkerhet och att uppfylla skyldigheterna när det gäller data och rättigheter. Blir man som företag eller organisation utsatt för ett intrång så måste man dessutom underrätta medborgarna inom 72 timmar, såvida informationen inte var krypterad. Om dessutom känsliga uppgifter, som religiös åskådning, har läckts eller dataläckan riskerar att användas i brottsligt syfte så måste man också anmäla detta till datainspektionen.

Företag ska dock absolut inte bara vara rädda för GDPR, menar Marcus Hallberg.  

 Tanken är ju att det ska bli ett förenklat juridiskt ramverk för hela unionen som gör att det på sikt ska bli lättare att verka som företag här, men bland dem ser vi en otrolig skillnad i mognad kring detta. 

 Det är också därför det är så viktigt att påbörja arbetet redan nu, 25 maj 2018 så ska ju allt vara på plats.

29 augusti 2016Uppdaterad 2 oktober 2023Reporter Fredrik Adolfsson Säkerhet

Voisters nyhetsbrev

Rekommenderad läsning