Blev det något av GDPR?

Dataskyddsförordningen GDPR trädde i kraft den 25:e maj i år. Inför detta datum jobbade många företag hårt för att förstå de nya kraven och tolka vilka åtgärder som var nödvändiga att vidta. Andra företag avgjorde att GDPR i grunden inte skiljer sig så mycket från Personuppgiftslagen och valde i stort att avvakta. När det gäller privatpersoner, vars personuppgifter lagen tillkom för att skydda, var kännedomen om den nya lagen låg.

Vad är det då som har förändrats efter att förordningen trädde i kraft? I företagsvärlden är GDPR fortfarande en het potatis, speciellt bland juristerna. De stora informationsgallringarna är klara sedan en tid, men det formligen flyger personuppgiftsbiträdesavtal fram och tillbaka mellan olika organisationer. Många gånger för säkerhets skull.

Privatpersoner märker av GDPR genom att cookieinformationen på var och varannan webbsida har blivit mer omfångsrik, och försedd med ytterligare en knapp om man vill krångla med integritetsinställningar. Vissa utländska webbplatser har blivit otillgängliga från Europa. För säkerhets skull. Och så är det alla samtyckeslappar från skolor som måste fyllas i för att barnen ska få vara med på foto.

Man kan kallt konstatera att det finns en enorm spännvidd i intresset för och tolkningarna av GDPR. Men varför hör vi inte så mycket mer om detta just nu? Det kan kännas lite som millenniebuggen då företagen jobbade febrilt med sina system för att undvika katastrofen som då stod för dörren. Men millennieskiftet kom och gick utan katastrofer och allt fortsatte som vanligt. 

Att det inte hänt någonting drastiskt efter den 25:e maj 2018 är varken ett kvitto på att företagen var väl förberedda för GDPR, eller att den nya förordningen är tandlös. Det är snarare en konsekvens av en långsam process där den nya förordningen tolkas och prövas allt eftersom anmälningar kommer in till Datainspektionen som är tillsynsmyndigheten i sammanhanget. Och det finns redan en bra bit över tusen fall som kommer att hanteras allt eftersom. Det är också en process där de Europeiska länderna sneglar på varandra för att på sikt kunna mötas i gemensamma synsätt.

Intresset för GDPR må ha svalnat i media, och det kan invagga oss i en falsk känsla av trygghet. Risken är att även företagen förlorar intresset. Men det är mer angeläget nu än någonsin att vidta åtgärder om man ännu inte gjort det.

Vi vet vad förordningen kräver - att hantera personuppgifter på ett bra och transparent sätt, se till att de är uppdaterade, informera de registrerade, inte spara någonting i onödan och se att till att uppgifterna kan redovisas eller tas bort på begäran. Vi vet bara inte riktigt hur mycket som krävs. Räcker det till exempel med att hänvisa till sin integritetspolicy på webben för att klara informationskravet?

Klart är i alla fall att GDPR rör de allra flesta, om inte alla företagare. Och att ett första steg är att kunna visa för kunder, partners och Datainspektionen att man tar integritet och dataskyddsförordningen på allvar. Blir det inte rätt från början så finns tid att rätta sig i ledet allt eftersom kraven blir tydligare. Men det finns ingen ursäkt för att inte försöka rätta sig efter GDPR.