Är vi alla äntligen färdiga med GDPR nu?
31
maj 2018Christer OlssonChief Happiness Officer
Sorry. Men 25 maj 2018 var inte sista dagen. Det var första dagen. Kanske var det sista-minuten-stressen, upphaussad av media och konsulter och förvärrad av otydliga myndighetsdirektiv, som fick många att helt missa syftet med GDPR och i stället bara spackla på en ny och mångordig integritetspolicy utanpå ett i övrigt oförändrat arbetssätt.

Vad skulle vi gjort i stället?

Om man betänker att beslutet om GDPR faktiskt fattades av EU:s ministerråd och EU-parlamentet i april 2016 och att GDPR faktiskt bygger på det 23 år gamla Dataskyddsdirektivet från 1995 är de senaste veckornas stress och flod av uppdaterade integritetspolicyer och mail om att ge/bekräfta sitt medgivande (mer om det nedan!) ganska obegriplig och meningslös.

Du som känner dig osäker på om du och ditt företag lyckas leva upp till kraven i GDPR kan ”trösta” dig med att om ni inte klarar kraven idag har ni med stor sannolikhet inte klarat kraven de senaste tjugo åren heller. För de flesta företag är 80–90% av de regler som berör dem i GDPR mer eller mindre identiska med de regler som fanns i personuppgiftslagen, PUL.

Min personliga uppfattning (som jag i och för sig delar med många andra) är att det vi skulle gjort, och det vi har möjligheten att gör nu, är att sluta prata om GDPR och i stället prata om det som direktivet gäller; integritet, säkerhet och rätten till sin egen data. Och inte bara prata om det utan också ta dessa frågor på allvar och betrakta 25 maj 2018 som första dagen i en ny tid där vi alla värderar integriteten så högt som vi redan borde värdera den.

25 maj 2018 var första dagen.
Inte den sista.

Var allt vårt hårda slit med GDPR helt i onödan?

Nej, det var det så klart inte. Långt därifrån. Att så många företag sett över sin hantering av personuppgifter, hur man lagrar dem och inte minst hur man gallrar personuppgifter för att säkerställa att man inte lagrar uppgifter längre än nödvändigt och att de man lagrar är uppdaterade och aktuella är ett arbete som nästan inte går att värdera i pengar.

Många företag och organisationer har också tagit tillfället i akt och verkligen gått igenom den data de hade lagrad och tänkt igenom sina rutiner. Raderat onödig och/eller inaktuell data. Infört rutiner för hur länge och på vilket sätt man sparar data. Dokumenterat rutiner och policyer för att skapa bättre transparens och tydlighet för kunder, användare och anställda.

Men. Det allra viktigaste så här långt är att GDPR verkligen har blivit ett samtalsämne som triggat både långa och djupa diskussioner både på företag och bland privatpersoner. Att datalagring och integritet äntligen synliggjorts och blivit en del av vår vardag och inte ett ämne som bara de närmast sörjande nördarna bryr sig om. 

”Be good at data protection because it’s the right, ethical, sensible thing to do. Don’t panic – DO BETTER” | Rowenna Fielding

Hur går vi vidare?

GDPR är för de flesta företag löjligt omfångsrikt och omöjligt att överblicka i detalj, men det viktigaste att komma ihåg är att all hantering av personlig data måste ske enligt det strikta regelverket och att gamla undantag inte längre gäller. Den som samlar data måste ha laglig grund för att göra det och måste också tydligt visa för personen det berör vilka data som samlas in, hur den hanteras och hur den sparas. Allra viktigast, och kanske det minst diskuterade under de senaste veckorna, är kravet på att system och rutiner ska utformas så att personlig data inte sparas om den berörda personen inte samtycker.

Det låter kanske inte som om det skulle vara så revolutionerande, men det är det. Hittills har det normala snarare varit att samla in så mycket data som möjligt under så kort tid som möjligt men hädanefter måste alltså grundinställningen vara att inte samla in personlig data alls.

Smaka på den en gång till: Grundinställningen måste alltså vara att inte samla in någon personlig data alls. 

GDPR är samtidigt väldigt tydligt med att rätten till din personliga data inte är viktigare än allt annat. Det finns gott om undantag som ger individer, företag och organisationer rätt att samla in personliga data helt legitimt. Men – och det är ett väldigt viktigt men – det betyder ändå att grundinställningen ska vara att ingen personlig data ska samlas in. All lagring av personlig data måste motiveras och utgå från individens rätt till sin personliga integritet. Inte dränkas i en aldrig så välskriven och uppdaterad integritetspolicy.

Skicka kommentar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Cookie-inställningar
Vi använder cookies för att ge dig den bästa upplevelsen på vår webbplats. Några cookies är nödvändiga för att webbplatsen ska kunna fungera. Andra bidrar till att du ska få en skräddarsydd upplevelse. Om du trycker på ”Acceptera alla” samtycker du till vår integritetspolicy och användandet av cookies. Läs vår integritetspolicy
Inställningar Acceptera alla
Cookie-inställningar
Ändra dina cookie-inställningar här. Ditt val kommer att sparas i ett år. Läs vår integritetspolicy
Spara Acceptera alla