Anders Frimodig

För en kort tid sedan försökte jag mig på konststycket att sammanfatta dataskyddsförordningen GDPR och förmedla huvuddragen på ett någorlunda lättillgängligt sätt. Själva förordningen ser skräckinjagande ut för den oinvigde. Mer lättsmält information finns det förstås gott om, men jag siktade på något mittemellan. Jag tror att just här finns kunskapsluckor att fylla.Jag är inte jurist, och för att vara säker på att min sammanfattning varken förvanskar förordningen eller vilseleder läsaren skickade jag den till en jurist för granskning. När texten kom åter var den full av kommentarer och ändringar i röd text, som en slarvigt skriven uppsats i skolan efter lärarens rättningar.Återkopplingen var både relevant och bra men texten var inte lika lättillgänglig längre. Den var mer exakt men samtidigt mindre tydlig för den målgrupp jag såg framför mig. Kan man skriva om GDPR, läsa och förstå utan att vara jurist? Och i förlängningen, måste man vara jurist för att kunna ta ansvar för att följa GDPR? Hur gör man GDPR enkelt? Visst kan de flesta ta till sig huvuddragen i dataskyddsförordningen. Och det är viktigt, för vi är många som genom vårt dagliga arbete bidrar till att följa den. Men några måste också ta ett större ansvar och förstå kraven tillräckligt väl för att omsätta dem i rutiner och processer. Här spretar det väldigt inom olika verksamheter. Stora företag gör klokt i att konsultera expertis, liksom mindre bolag med omfattande personuppgiftsbehandling. Hur är det med övriga företag då, de små och mellanstora med lite enklare personuppgiftsbehandlingar? Ja, hur definierar man överhuvudtaget "enklare behandling" frågar min jurist? En bra sammanfattning och guide måste ge verktygen för att avgöra just detta, och för att förstå när speciell hänsyn måste tas.I ärlighetens namn finns det ingen idag som vet precis vad som är gott nog för att uppfylla kraven i GDPR. Förordningen ger gott om tolkningsutrymme och det saknas fortfarande prejudikat. Dessutom skiljer det sig mycket mellan olika verksamheter.Mitt mål med att sammanfatta GDPR var att uppmuntra till faktiska åtgärder som leder till förändring. Därför skulle den i första hand vara tillgänglig, men samtidigt korrekt. En läsare som tappar budskapet på vägen kan heller inte agera. Det är svårt att få en god överblick genom att läsa förordningen i sin helhet.Som personuppgiftsansvarig, i slutändan de flesta företagsledare, måste man ge sig in på en mognadsresa som börjar med förståelse för GDPR i stora drag. Tillräcklig förståelse för att formulera rätt frågor och söka svar. I slutet av resan måste det vara tydligt om och vilka specialregler och undantag som gäller för den egna verksamheten. Då har man också tolkat kraven och omsatt dem i rutiner och processer. Man kan inte leva upp till GDPR genom en punktinsats, det är en förmåga man tränar upp i sin organisation. Var ska man börja? En bra start är Datainspektionens material om enkla grunder i dataskydd. Man kan också läsa hela förordningen på deras webbsida. Om man skulle försöka sig på en prioritering skulle jag tipsa om att börja med delar av artikel 4 för viktiga definitioner, artikel 5 och 6 om principer och laglig behandling, artikel 9 om särskilda typer av personuppgifter, artikel 13 och 14 om information till registrerade, avsnitt 3 om rättelse och radering och artikel 28 om personuppgiftsbiträden. Med en grundläggande förståelse går det bra att ögna hela förordningstexten och hitta vilka områden som kan vara relevanta för den egna verksamheten. Idag kan man svårligen vara säker på att man följer GDPR till punkt och pricka. Men man kan vara lika säker på att man inte lever upp till kraven i GDPR utan en grundläggande förståelse för innehållet. Och det är en milsvid skillnad mellan att ha läst, tolkat och vidtagit åtgärder och att ha gjort ingenting alls.”

Dataskyddsförordningen GDPR trädde i kraft den 25:e maj i år. Inför detta datum jobbade många företag hårt för att förstå de nya kraven och tolka vilka åtgärder som var nödvändiga att vidta. Andra företag avgjorde att GDPR i grunden inte skiljer sig så mycket från Personuppgiftslagen och valde i stort att avvakta. När det gäller privatpersoner, vars personuppgifter lagen tillkom för att skydda, var kännedomen om den nya lagen låg. Vad är det då som har förändrats efter att förordningen trädde i kraft? I företagsvärlden är GDPR fortfarande en het potatis, speciellt bland juristerna. De stora informationsgallringarna är klara sedan en tid, men det formligen flyger personuppgiftsbiträdesavtal fram och tillbaka mellan olika organisationer. Många gånger för säkerhets skull. Privatpersoner märker av GDPR genom att cookieinformationen på var och varannan webbsida har blivit mer omfångsrik, och försedd med ytterligare en knapp om man vill krångla med integritetsinställningar. Vissa utländska webbplatser har blivit otillgängliga från Europa. För säkerhets skull. Och så är det alla samtyckeslappar från skolor som måste fyllas i för att barnen ska få vara med på foto. Man kan kallt konstatera att det finns en enorm spännvidd i intresset för och tolkningarna av GDPR. Men varför hör vi inte så mycket mer om detta just nu? Det kan kännas lite som millenniebuggen då företagen jobbade febrilt med sina system för att undvika katastrofen som då stod för dörren. Men millennieskiftet kom och gick utan katastrofer och allt fortsatte som vanligt. Att det inte hänt någonting drastiskt efter den 25:e maj 2018 är varken ett kvitto på att företagen var väl förberedda för GDPR, eller att den nya förordningen är tandlös. Det är snarare en konsekvens av en långsam process där den nya förordningen tolkas och prövas allt eftersom anmälningar kommer in till Datainspektionen som är tillsynsmyndigheten i sammanhanget. Och det finns redan en bra bit över tusen fall som kommer att hanteras allt eftersom. Det är också en process där de Europeiska länderna sneglar på varandra för att på sikt kunna mötas i gemensamma synsätt. Intresset för GDPR må ha svalnat i media, och det kan invagga oss i en falsk känsla av trygghet. Risken är att även företagen förlorar intresset. Men det är mer angeläget nu än någonsin att vidta åtgärder om man ännu inte gjort det. Vi vet vad förordningen kräver - att hantera personuppgifter på ett bra och transparent sätt, se till att de är uppdaterade, informera de registrerade, inte spara någonting i onödan och se att till att uppgifterna kan redovisas eller tas bort på begäran. Vi vet bara inte riktigt hur mycket som krävs. Räcker det till exempel med att hänvisa till sin integritetspolicy på webben för att klara informationskravet? Klart är i alla fall att GDPR rör de allra flesta, om inte alla företagare. Och att ett första steg är att kunna visa för kunder, partners och Datainspektionen att man tar integritet och dataskyddsförordningen på allvar. Blir det inte rätt från början så finns tid att rätta sig i ledet allt eftersom kraven blir tydligare. Men det finns ingen ursäkt för att inte försöka rätta sig efter GDPR.

Det snabbt ändrade fokuset från bankerna där man snabbt ställt om från att skydda ”allt som är sitt”, till att dra nytta av fintechbranschen och utvecklare för att öka hastigheten i sin transformation är superspännande. Och vad bankerna förstått är att om man delar med sig i av ekosystem man äger så har man mycket att vinna. Att Nordea tidigt tog en ledande roll i positioneringen kring Open Banking var tydligt och man har fortsatt att pumpa ut spännande nyheter kring satsningen som handlar om att öppna upp för mindre aktörer, fintechbolag, att interagera med. De i sin tur kan utveckla tjänster på Nordeas plattform, det vill säga att bli en del i Nordeas ekosystem. Bankerna, Tink och Klarna Nu senast så konstaterar jag att SEB verkligen har fått upp farten avseende open banking och deras senaste Hack Week som jag noterade i slutet på förra veckan lovar gott. Den stora succén inom Fintech och Open Banking (PSD2) måste vara Tink, som de senaste åren inte bara har landat investeringar från banker som Nordea, SEB, Nordnet och nederländska storbanken ABN Amro. Man har även knutit stora samarbeten på banksidan, där SEB, Nordea, Nordnet är spännande partners. Men jag skulle vilja lyfta samarbetet med Klarna som lite extra spännande. När Breakit i oktober förra året intervjuade Tinks grundare och vd Daniel Kjellén sa han "Det är fantastiskt kul att Tinks teknologi verkligen etablerar sig med en sådan spännvidd av kunder. Vi har Nordea, en megabank, i ena änden och Klarna, ett extremt snabbrörligt och teknikkräset bolag i andra änden". Skapa ekosystem och bli en vinnare Vad många företag nu på allvar ha börjat förstå är dels att ensam inte alltid är stark i en tid av exponentiell teknikutveckling, vilket i sig skapar stora möjligheter men också stora utmaningar. Den som sitter på de stora kundstockarna kan istället för att låsa in sina kunder, skapa hela ekosystem runt sig och sin kundstock. För så länge man har kontroll på sitt ekosystem och kan tillgodose kundernas behov av innovation och utveckling, kommer kunderna att stanna kvar i just deras ekosystem. Genom att bredda tjänsteutbudet och ha en liten del av varje transaktion säkerställer man långsiktig framgång. Bästa exemplet är Apples App Store och konkurrenten Google Play med 2 respektive 3,7 miljoner appar i sina respektive lösningar. Nu snackar vi ekosystem. Tittar vi speciellt på Apples App Store så omsatte den under 2017 nästan otänkbara 38,5 miljarder dollar. De som äger ekosystemen vinner! Rickard

Att koppla av och framförallt koppla ner är viktigt för att kunna ladda batterierna inför hösten. Men ibland är det lättare sagt än gjort! Veckans affärer bjuder på några roliga exempel på hur fem amerikanska tech-chefer använt lite udda metoder för att koppla ner – så kallad digital detox. Mitt personliga favorittips är att låsa in telefonen i ett kassaskåp, något att testa i sommar kanske? Här hittar du artikeln!