450 dagar till nya Dataskyddsförordningen (GDPR) – räcker det?

Det har nog knappast undgått någon att den nya Dataskyddsförordningen (GDPR) träder i kraft nästa år. Men trots att det idag bara är 450 dagar kvar är kunskapen om GDPR bland bolagen fortfarande anmärkningsvärt låg.

GDPR börjar gälla den 25 maj 2018 och omfattar alla bolag som verkar inom EU eller behandlar personuppgifter om medborgare i EU. Ändå visar flera undersökningar på en mycket begränsad kunskap om GDPR bland bolagen. I en undersökning av Dimension Research saknade i stort sett samtliga tillfrågade bolag (97 procent) en färdig plan för att efterleva GDPR. Detta trots att 90 procent av de tillfrågade svarade att deras existerande rutiner och kontroller inte var tillräckliga.

GDPR innebär en mängd nya krav att ta hänsyn till. Samtidigt gör introduktionen av sanktionsavgifter, som kommer att vara synnerligen kännbara för de bolag som bryter mot lagen, att arbetet med att implementera GDPR borde stå högt upp på dagordningen för alla bolag. Där är vi inte idag.

Flera experter anser att det kommer att krävas mer arbete att implementera GDPR än vad som krävdes att hantera millenniebuggen. Då ska man betänka att man hade flera år på sig att planera och genomföra arbetet med millenniebuggen. Betydligt mer tid än 450 dagar…

Vägen till “compliance”

Vad behöver man då göra för att säkerställa att man efterlever lagen när den väl träder i kraft? Här följer några råd som är kritiska för att uppnå compliance:

  • Kunskap och utbildning är en nyckelfaktor för att nå i mål med sitt GDPR-projekt. Ledning och övriga ”stakeholders” måste förstå innebörden av GDPR och vad som måste genomföras och varför.
  • Gör en genomgång för att preliminärt fastställa scopet såväl territoriellt som dataflödesmässigt. Detta för att säkerställa att all personinformation hanteras och för att se över möjligheterna till att eventuellt minska omfattningen på GDPR-projektet.
  • Genomför en kartläggning för att svara på följande frågor:
    - Vilka personuppgifter samlas in och hanteras?
    - Hur samlas informationen in? Hur används den? Hur skickas och lagras den?
    - Hur, och på vilket sätt, kan informationen delas?
    - Hur lever ni upp till den registrerades rättigheter?
    - Med vilket rättsligt stöd behandlar ni personuppgifter i er organisation?
    - Vilka säkerhetsåtgärder och skyddsmekanismer finns för att hantera de identifierade riskerna?
  • Mappa kritiska dataflöden så att ni identifierar var personinformation lagras. En dataflödeskarta underlättar att identifiera var säkerhetsåtgärder bör implementeras för att minska risken för en personuppgiftsincident.
  • Baserat på kartläggningen – genomför en rättsanalys av vilka krav som måste uppfyllas beroende på vilka personuppgifter som identifierats. Transformera därefter de legala kraven till säkerhetskrav.
  • Utifrån identifierade krav, gör en gapanalys för att se vilka krav som redan hanteras och vilka som kräver en realisering. Realisera därefter relevanta krav som när de är implementerade innebär att ni efterlever kraven definierade i GDPR.
  • Alla som hanterar personinformation måste vara insatta i vad GDPR innebär. Se till att alla erhåller nödvändig utbildning för att utföra sina arbetsuppgifter effektivt och korrekt.


Hur långt har ditt företag kommit i implementeringen av GDPR? Vilka ser du som de främsta utmaningarna?