Många företag riskerar att tas på sängen när det är dags för ny dataskyddslag om de inte förbereder sina it-system i tid. EU-förordningen har inte spikats ännu, men att it-systemen måste klara av att hantera integritetsreglerna är en av de delar som med största säkerhet kommer att ingå. Kombinerat med att bötesbeloppen för de företag som inte följer reglerna blir skyhöga gäller det att ha allt i ordning när lagen väl införs.

– Det gäller att ha koll på vad som är defaultsättningen i exempelvis ett crm-system – om det finns en regel att en kunduppgift bara får sparas i ett år så måste företaget se till att konfigurera det kravet på just den verksamheten, säger Agnes Andersson Hammarstrand, advokat på Setterwalls.

Det innebär i praktiken att en del kommer att tvingas bygga om sina it-system, konstaterar hon.

Agnes Andersson, Setterwalls
Agnes Andersson, Setterwalls
– Vissa har insett det här men de flesta har inte gjort det.

Förordningen har ännu inte klubbats av EU och när det är gjort har företagen två år på sig innan lagen börjar gälla. Det kan tyckas som lång tid, men när internetleverantörerna skulle anpassa sina system till datalagringsdirektivet hade de svårt att hinna med trots att det fördröjts i fem år i Sverige. Men de fick ändå inte respit eftersom regeringen ansåg att allt varit känt sedan direktivet antagits av EU.

– Två år kan plötsligt kännas väldigt bråttom om man inte förberett sig, säger Peter Nordbeck, partner på advokatfirman Delphi.

– Därför är det lämpligt att ha med sig det redan nu om man ska köpa in it-system och att man tittar över de system som berörs av integritetsaspekten, säger han.

Det räcker inte att enbart ha koll på sina egna system. Företagen är också ansvariga för det som levereras från outsourcingpartner.

– Det är ett helt nytt tänk att man hela tiden måste ha koll på integritetsskyddet, säger Agnes Andersson Hammarstrand.

Samtidigt är det svårt, särskilt för mindre företag, att ha koll på diskussionerna kring en ny dataskyddslag, konstaterar Magnus Axelsson, ansvarig för analys och integration mot personuppgifter på Ellos.

Det är alldeles uppenbart att många får magont av det här.

– Det är lite knepigt hela området och alla mindre aktörer har inte möjlighet att ta in kompetens som kan hjälpa dem. Det kan bli lite skrämselpropaganda där det är lätt att ta överilade beslut, säger han.

Kombinerat med att bötesbeloppen troligen blir väldigt höga så skapar det oro ute i företagen.

– Det är alldeles uppenbart att många får magont av det här. Därför är det oerhört viktigt att lagen verkligen blir väldigt tydlig, säger Magnus Axelsson.

Läs mer: Datainspektionen bromskloss för effektiv vård

Även om Ellos löpande bevakar utvecklingen av dataskyddsdiskussionen och har hjälp av branschorganisationer och experter utanför företaget är det svårt att hänga med även för dem.

– Vi känner oss i nuläget inte tillräckligt rustade kunskapsmässigt.

När det gäller just de egna it-systemen är han inte orolig att de inte ska klara att hantera integritetsaspekten.

– Vi sitter i en stor förändring av alla it-system så det blir en del av kravspecifikationen, säger han.

Fakta

Att bygga in integritetsskyddet i it-systemet, så kallad privacy by design, rekommenderas redan i dag av Datainspektionen. Men om förslaget till ny dataskyddslag går igenom blir det obligatoriskt.

För företag, myndigheter och organisationer gäller då att:

  • Ta hänsyn till integritets- och säkerhetsaspekter redan vid planering av it-system.
  • System ska ha vissa grundinställningar, så kallad privacy by default, som är anpassade till lagkraven.
  • Kravet omfattar också leverantörerna av it-system.
  • Inbyggd integritet blir också en förutsättning vid offentlig upphandling.

Viktigt att göra i it-systemen: 

  • Enbart behandla de personuppgifter som är nödvändiga för varje specifikt ändamål.
  • Uppgifter ska inte lagras längre än den minimiperiod som är tillåten för just det ändamålet.
  • Se till att en användare kan se hur uppgifterna används och få dem utlämnade.
  • Se till att infrastrukturen möjliggör tillgång till, korrigering och radering av personuppgifter.