Det kan tyckas att detta är en väldigt enkel fråga som kokar ner till:

  • Känner vi till vilka krav GDPR ställer på vår organisation?
  • Uppfyller vi dessa krav alt. har vi en tidsplan på när vi kommer uppfylla dem?

Har vi koll på detta så borde svaret vara: Vår organisation är ”GDPR-compliant” eller Vi arbetar på det och beräknas vara redo följande datum: 201x-xx-xx.

Verkligheten är inte så enkel…

För att kunna svara på huruvida ni följer GDPR bör ni kunna svara på nedanstående fem punkter. Ni bör ha svaren dokumenterade med förklaring till de ställningstaganden ni tagit.

  1. Vad är GDPR? Vad är lagens intentioner och vad är vår tolkning av vilka konsekvenser det får för våra registrerade individer, vår verksamhet och vår bransch?
  2. Vilka personuppgifter hanteras idag? Varför?
    1. Hur ser informationsflödena ut? Hur används/behandlas personuppgifter (PU)? Kan vi minimera användande av PU?
    2. Rutiner för behörighetshantering, spårning, intrångsskydd och rapportering?
    3. Delas PU med någon annan?
    4. Ansvariga?
  3. Vilka andra lagar eller förordningar påverkar hanteringen av personuppgifter?
    1. Konflikter?
  4. Vilka risker finns idag?
    1. Förändras dessa?
  5. Hur kan vi öka kundvärde, effektivitet, säkerhet eller skapa andra positiva effekter under och efter förändringsresan?

GDPR är skriven på sådant sätt att den tar höjd för samhälleliga och tekniska förändringar. Vad menar jag med det då? Jo, den använder sig av termer såsom ”tillräckligt hög” för att beskriva krav på säkerhet. Personuppgifter kan även de förändras över tid, med avseende på känslighet eller att nya typer av uppgifter klassas som personuppgifter. Med andra ord kommer med att kraven för GDPR och vad som faller inom ramen för lagstiftningen kommer förändras med tiden. Detta har redan skett. En anpassning som skett pga. GDPR är att flera siter har förändrat sin cookiehantering. Om du inte accepterar cookies så får du inte tillgång till siten. Den nederländska motsvarigheten till Datainspektionen (DPA) har dömt ut detta. S.k. cookie-väggar är enligt deras beslut inte förenliga med GDPR. Ytterligare förändringar och förtydliganden kommer ske via officiella utfästelser samt kommande domar i Sverige och resten av EU.

Detta innebär i praktiken att GDPR-efterlevnad inte är en s.k. ”One shot”. Utan mer likt en process som måste underhållas. Detta medför att vi löpande bör utföra sanity checks på våra rutiner och arbete för att identifiera problem tidigt. Vi bör även inkorporera någon form av revision för att inte bara säkra GDPR-efterlevnad med också för att fångat upp hur eventuella förändringar eller förtydliganden av lagstiftningen påverkar organisationen.