Hem GDPR 120 dagar med GDPR – så är läget nu

120 dagar med GDPR – så är läget nu

Publicerat av: Redaktionen

Tiden går fort när man har har roligt, höll vi på att skriva.

120 dagar med GDPR – så är läget nu 325 maj känns som igår, men det har redan hunnit gå 120 dagar sedan GDPR infördes. Införandet av den nya dataskyddslagen orsakade som bekant en hel del bekymmer och stress för företag och organisationer runtom i Europa. Många visste inte riktigt hur det skulle gå tillväga för att leva upp till de nya och hårdare kraven. Andra hade inte ens full koll på var, hur eller ens varför de hanterade personuppgifter. Det som också kan slås fast är att många dessvärre inte hann ”bli färdiga” i tid.

En annan trend som observerades ganska snabbt var att en del aktörer valde att flytta sin verksamhet utanför EU, för att de inte klarade att (eller inte ville) leva upp till GDPR. En del sajter blockerade till och med besökare från Europa. Men hur ser läget ut idag, knappt fyra månader senare?

Vi kan börja med att konstatera att anmälningarna till EU-ländernas respektive dataskyddsmyndighet, från både privatpersoner och företag som anmält GDPR-relaterade incidenter, har ökat kraftigt sedan GDPR infördes. I Sverige har till exempel över 800 anmälningar om GDPR-incidenter lämnats in till Datainspektionen – något som får medlemsorganisationen Företagarna att misstänka att svenska företag är lite väl oroade och inte riktigt har koll på hur och när de omfattas av GDPR.

”Man kan misstänka att många rapporterar en gång gång för mycket, hellre än en gång för lite, för att inte riskera att få betala ett vite”, sa Karin Berggren, chefsjurist på Företagarna, till TV4:s ekonominyheter i förra veckan.

Hon pekade också på att det finns en utbredd rädsla bland företagen att göra fel och en frustration över att den nya lagen är så pass krånglig och omfattande. De inlämnade incidentrapporterna innehåller enligt Datainspektionen allt från rena dataintrång till felaktiga e-postutskick. Tillsynsmyndigheten tycker dock att det är bra att så pass många incidenter rapporterats in, då det tyder på att allt flera svenska företag nu är väldigt mycket mer noggranna med hur de behandlar personuppgifter.

Även i Norge, som trots att de inte är med i EU, infört GDPR (men först från den 20 juli) ser man samma utveckling med en fördubbling av antalet incidenter som rapporterats in till Datatilsynet. Totalt har drygt 700 anmälningar gjorts. Den allvarligaste var när en elev i Bergen upptäckte ett allvarligt fel i personuppgiftshanteringen i eFeide, ett system som används av skolelever i kommunen. När han inte fick gehör för felet loggade han in med rektorns uppgifter (hur han kom över dessa är något höljt i dunkel) och dokumenterade hur han i adminrollen enkelt kunde komma åtöver 35 000 personuppgifter, varav de flesta var minderåriga elever i kommunen.

Samma trend i resten av EU

Samma trend ses över hela Europa, i Österrike lämnade medborgare in över hundra anmälningar, och företag rapporterade in 59 incidentrapporter under den första månaden. I Storbritannien ökade antalet anmälningar till tillsynsmyndigheten ICO med 160 procent bara under de första 40 dagarna efter att GDPR trädde i kraft. Totalt tog ICO emot 6281 anmälningar mellan 25 maj och 3 juli, och därefter har det fortsatt ramla in ungefär 500 anmälningar i veckan. Även där menar myndigheten att man ser en kraftig överrapportering.

När ICO: s vicekommissionär James Dipple-Johnstone talade inför hundratals ledande företagsledare vid Confederation of British Industrys (CBI) årliga Cyber Security Conference den 12 september, berättade han nämligen att så mycket som en tredjedel av anmälningarna som gjordes till ICO varje vecka inte kunde bedömas som vare sig GDPR-relaterade eller överhuvudtaget kvalificera sig som säkerhetsincidenter. Även Dipple-Johnstone ser alla dessa ”onödiga” rapporter som en indikation på att organisationer är väldigt angelägna om att följa GDPR.

Dipple-Johnstone pekade också på att även många av de mer regelrätta rapporterna ändå tenderade att ”överrapportera” detaljerna i den uppfattade säkerhetsincidenten – något som tyder på att organisationer uppfattar att de måste ”rapportera exakt allt” för att inte riskera stora viten. Dipple-Johnstone påpekade dock att tillsynsmyndigheten också hade fått in många anmälningar som var ofullständiga och som därför potentiellt skulle kunna leda till böter. En hel del företag hade också missuppfattat kravet på att rapportera inom 72 timmar, eller tre dygn, som att det handlade om tre affärsdagar och inte just 72 timmar och inte en minut mer – vilket ju är fallet med rapportkravet i GDPR.

Klarar inte att lämna ut uppgifter i tid

En annan allvarlig aspekt av GDPR är att det dessvärre tycks vara många företag som ännu inte har rätt rutiner på plats för att kunna leva upp till kraven i den nya dataskyddslagen. Talend, ett företag specialiserat på molnintegration, har tillsammans med analysföretaget 451 Research undersökt hur väl företag i Europa följer kravet i GDPR på att de måste lämna ut vilka persondata de sparat om en EU-medborgare inom en månad efter att förfrågan kommit in. Enligt undersökningen missade hela 70 procent av företagen deadline. Den genomsnittliga tiden för att lämna ut de efterfrågade uppgifterna var tre veckor, men tiden svarstiden varierade kraftigt mellan olika branscher. Bland företag som hanterar finansiella tjänster lyckades hälften av företagen lämna ut uppgifterna i tid, medan 76 procent av detaljhandelsföretagen inte lyckades göra det.

”Trots att många organisationer inser vikten av GDPR finns det fortfarande många som inte tar sin data på allvar, när det gäller vilken teknologi och vilka processer de har. Resultatet är att många verksamheter inte kan leva upp till sina GDPR-åtaganden. De saknar rätt metoder för hur de sparar, organiserar eller spårar data, i enlighet med reglerna”, sa Penny Jones, forskningschef på 451 Research, i samband med att rapporten publicerades.

I sitt ovan nämnda tal framhöll James Dipple-Johnstone att GDPR också gjort det enklare för medborgare att få tillgång till de persondata som företag sparat, vilket med all säkerhet kommer att leda till en ökad mängd förfrågningar i framtiden, och att vissa företag också kan tvingas förbereda sig för att hantera ”jobbiga” medborgare som på alla sätt vill testa gränserna för GDPR.

Många förstår inte GDPR

Om vi återgår till Talend och 451 Researchs undersökning så blir det ännu tydligare att många företag antingen inte förstår GDPR eller helt enkelt inte vet hur de ska agera. I sammanställningen av rapporten hittar vi en hel del skrämmande, men också rätt komiska, fakta om hur illa det kan vara ställt med GDPR-insikten:

 

  • Sju procent av företagen antog felaktigt att det konto som Talend använde begärde att ”bli helt glömt”.
    • Fyra företag raderade Talends konto och data utan någons som helst föregående meddelande.
    • Ett flertal företag bad om en rad personuppgifter, som ID, lojalitetsnummer, födelsedag, datum för senaste transaktioner och liknande innan de ens ville ta emot förfrågningen (merparten av dem misslyckades ändå att lämna ut uppgifterna i tid)
    • Nästan alla tillfrågade företag misslyckades med att uppfylla Talends begäran om portabilitet, det vill säga möjlighet att flytta sparade persondata till annan aktör.
    • Fyra företag frågade ”Vad menar du med personuppgifter?”
    • Endast ett fåtal företag upprätthöll kraven på både snabbhet och transparens. Till exempel uppfyllde ett ledande globalt företag inom finanssektorn uppfyllde Talends begäran genom att dela de uppgifter som de sparat på utskrivna sidor som de levererade via en säker fysisk brevlåda.

 

Guldstjärna får även Spotify (Sverige), N26 (Tyskland), Garmin (USA) och Next (Tyskland, som alla erbjöd en tydlig förklaring av användningen av de personuppgifter som Talend begärde, och som också gav direkt tillgång till dessa data via en portal men möjlighet till nedladdning.

”Företagen misslyckas eftersom majoriteten inte spårar personuppgifter på ett adekvat sätt”, förklarar Jean-Michel Franco, chef för Data Governance på Talend, och fortsätter:

”Det saknas ansvariga för datasäkerhet och ingen avdelning utses tydligt för att svara på de förfrågningar som kommer in. Det saknas också datakontroll och transparens. Även om böter ännu inte har tvingat företagen att följa GDPR ännu hårdare, har antalet klagomål från konsumenter ökat dramatiskt i Europa. Medborgarna förstår att detta är viktigt, vår undersökning visar att de är villiga att begära ut de uppgifter de har rätt till, så jag tror att trycket kommer också från kunden, inte bara från tillsynsmyndigheterna.”

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>