GDPR – fyra år senare.

Postad av den 25 maj, 2022 i Blogg

Nu är det fyra år sedan GDPR börja gälla i hela Europa. Ur ett medborgarperspektiv så kom lagen i grevens tid och innebar en möjlighet att äntligen ställa krav på framförallt hur de stora digitala jättarna som Meta och Google behandlar personuppgifter.
(Och lagom lagom till lagens fyraårsjubileum finns det en uppdatearad utbildning i ”GDPR i praktiken”på Diplomautbildningar.se)

De organisationer som redan före 2018 tog Personuppgiftslagen på allvar (som myndigheter, banker, försäkringsbolag mm) hade draghjälp i sin anpassning till GDPR. Men för de flesta andra var GDPR helt nytt. Föreningar och skolor som arbetar med barn ställdes inför nya utmaningar eftersom GDPR ger barn ett utökat skydd. Vi blev också varse att det också finns känsliga personuppgifter som kräver utökat skydd – som ett helt vanligt lönebesked t. ex. Vi fick veta att mail inte är säkert och att vi ska gallra och radera.

Om man tänker efter så är det ju sunt förnuft:

  • Det är väl klart att ett lönebesked inte ska susa omring i osäkra wifi-nätverk.
  • Det är väl uppenbart att man ska skydda barn mer än vuxna
  • Det är väl nästintill ett pinsamt konstaterande att man kanske inte ska låta en ansökningshandling med personliga uppgifter från någon man inte känner glömmas bort i inkorgen.

GDPR under utveckling

Många företag är frustrerade över att GDPR är en flummig lag och att det inte finns tydliga instruktioner och avgränsningar. T ex vad exakt gäller för behandling av känsliga personuppgifter? Hur gör vi med personuppgifter på backuper?

En lag behöver tillämpas genom domar och prejudikat innan den blir tydlig. Men ingen vill ha IMY knackandes på dörren och riskera viten på mångmiljonbelopp. Kanske är det därför som IMY varit extra ”snälla” mot privata företag hittills och mest riktat ögonen mot offentlig förvaltning?

De nästan 5000 personuppgiftsincidenter som anmälts till IMY kommer i stort från offentlig förvaltning och det handlar mest om felskickade mail. Det ska nog mycket till om ett privat företag skulle anmäla en sådan incident.

Många förtag behöver göra ett andra omtag kring GDPR ur ett ”sunt-förnuft-perespektiv”. Det räcker inte med att visa upp det utåt genom cookiesamtycken på hemsidan. Även om man bara har ett fåtal kunder inom business to business och inte behandlar kunders uppgifter i någon större omfattning så handlar det varje dag ändå om allmänt hyfs och att höja lägstanivån. Inte minst inom allmän IT-säkerhet som också är en viktig del av GDPR.

Mina bästa GDPR-tips till småföretag:

Mina bästa GDPR-tips handlar om sunt förnuft och kunde ha skrivits långt innan lagen trädde i kraft.

  • Sluta använda mailprogrammet som en ”sökmotor” med gamla dokument och annat som kan innehålla personuppgifter.
  • Radera föregående års mail i in- och utkorgen i januari varje år och känsliga mail direkt när du gjort vad du ska med dem.
  • Om du mailar lönebesked, sluta med det. Använd Kivra eller något annat smart sätt.
  • Lås in personalakter. Rensa personalakter från sjukintyg och annat när personen slutar.
  • Använd alltid tvåfaktorautentisering på mail och sociala medier.
  • Har du ett kundregister, se till att det är uppdaterat så det inte skvalpar runt personuppgifter från gamla kunder som du inte ens vet om de jobbar kvar i branchen. Kvalitetssäkrar du din data så blir du dessutom mer effektiv!
  • Öva på scenariot att din dator blivit stulen. Du ska hitta lösenorden och ta dig in i mail, molnlagring, sociala medier osv och byta lösenord och säkra din data.

Ett bra sätt att få en överblick och ett praktiskt förhållningssätt till GDPR är att gå min utbildning ”GDPR i praktiken”. Den finns  här på Diplomautbildning.se 

Men har du frågor eller vill veta vad just du som företag kan och bör göra för att höja din lägsta nivå – kontakta mig. Ett samtal och några frågor kostar inget.