Alla organisationer, företag och myndigheter som på ett eller annat sätt hanterar personuppgifter är skyldiga att följa reglerna kring hur dessa hanteras. Och från och med nästa år är det nya regler som gäller. Det oavsett om det är små mängder data eller mer omfattande register.

Med ett år kvar till införandet av den nya dataskyddsförordningen är det fortfarande företag som inte känner till den nya lagen. Eller vilka skyldigheter de har att se över och förändra i sina interna system. Håkan Lord är vd på it-leverantören Softone som jobbar med affärs- och hr-system. De har låtit genomföra en rundringning bland ett 30-tal företag med färre än 100 anställda. Och bilden de fick var att många inte förstod allvaret i den kommande lagen.

Läs också: Kommuner i knipa när dataskyddsregler skärps – kan krävas på miljoner

– Vi såg faktiskt redan innan undersökningen att medvetenheten om dataskyddslagen bland företagen är låg. Det finns en del som känner till att den är på väg, men de säger också att det ligger långt bort i tid.
Och man är inte van vid att den är kopplad till ett vite. Undersökningen visar också det, hälften visste knappt var det var, andra hälften skjuter det på framtiden, säger Håkan Lord.

Ur hans perspektiv blir det allvarligt för att företagen redan borde vara igång med att se om sina hus, gå igenom sina processer och it-system.

– Så som det ofta ser ut i dag är att man har en lokalt installerad miljö med olika typer av mjukvara som ska samspela på ett säkert sätt. Och till det har man olika leveranssystem som ska synkronisera i någon form. Då känns det tokigt att de inte tar tag i frågan, säger han.

Och bilden känns delvis igen hos den ansvariga tillsynsmyndigheten Datainspektionen.

– Vi har inte gjort någon egen enkät, så det är svårt att bedöma. Det har varit mycket uppmärksamhet. Men det är inte alla som är medvetna om att man jobbar med personuppgifter, däremot får man hoppas att de som jobbar med känsliga information och data i stora mängder borde veta, säger Martin Brinnen, jurist på Datainspektionen.

En uppfattning bland de tillfrågade företagen är att dataskyddslagen bara är en uppdatering av den ännu gällande personuppgiftslagen, PUL, och inte är något som de behöver lägga tid på. Vilket delvis är sant, åtminstone delen om uppdaterad lagstiftning.

– Ja, dataskyddsförordningen ska ersätta PUL, men det som är den stora nyheten är att det kan komma att kosta mycket pengar om man inte följer den. Och det finns nya regler. Det kan bli en stor omställning för såväl små, medelstora som stora företag om de inte jobbat med integritetsfrågor tidigare, säger Marielle Eide, jurist på Advokatfirman Delphi.

Advokatbyrån där hon jobbar har inte själva genomfört några marknadsundersökningar om kunskapen kring dataskyddslagen. Men hon är inte förvånad över det resultat som kom fram vid rundringningen. Framöver kommer det vila ett stort ansvar på företagen att veta bl.a. hur de hanterar personuppgifter, i vilket syfte och vad den lagliga grunden är för hanteringen. De nya reglerna innebär att företag har både större ansvar och fler skyldigheter än tidigare. Man måste också kunna visa att informationen hanteras säkert. Dessutom försvinner lokala tillämpningar av EU-regler, som den så kallade missbruksregeln. Och ansvaret att följa reglerna vilar inte på någon annan än företaget.

– Man måste känna till lagstiftningen, är man ett mindre företag är arbetet för att följa reglerna typiskt sett mindre omfattande och åtgärderna färre. Det viktigaste är att skaffa sig grundläggande kunskap, det går inte att förlita sig sin leverantör för att det ska bli rätt. Man måste se över vilka behov och skyldigheter man har, för att veta vilket system man eventuellt ska köpa in och vilka krav man behöver ställa. Om man ens ska köpa in något. Alla it-leverantörer har inte koll, säger Marielle Eide.

En annan sak som är bra att känna till är att dataskyddsförordningen innehåller krav på att skriftligen ingå ett så kallat personuppgiftsbiträdesavtal med leverantörer som behandlar personuppgifter för deras räkning, däribland it-leverantörer. Kraven har utökats jämfört med vad som gäller enligt PUL vilket medför att eventuella personuppgiftsbiträdesavtal som redan är på plats idag behöver uppdateras.

De tillfrågade företagen i undersökningen säger att de litar på att deras branschorganisation går ut med den information som de behöver veta. Vilket ett flertal även har gjort, däribland branschorganisationen inom redovisning och lön Srf konsulterna samt Svensk Handel. Men även här säger Marielle Eide att företagen kan behöva ligga på.

– Men behöver ta hjälp, utbilda sig eller anlita informationsäkerhetsexpert, jurister. Be sin branschorganisation ta fram mallar och förslag. Det finns ingen lösning som passar alla, men ett slag code of conduct är bra att ha, säger hon.25 maj 2018 börjar GDPR att gälla. Det är förkortningen på lagstiftningens internationella benämning: general data protection regulation. Men än kvarstår en del frågetecken som kan vara svåra för småföretag att förhålla sig till. Hur ska man veta att man gör rätt? Ett exempel är missbruksregeln som funnits i Sverige.

– Det är en förenkling av PUL som vi har haft här, som gjort att det varit tillåtet att behandla personuppgifter så länge det inte varit kränkande. Men det var ett svenskt påfund och det kommer inte finnas längre. Och just nu är det lite oklar hur man ska få stöd för behandling av ostrukturerade personuppgifter, alltså inte egentliga register, säger Martin Brinnen.

Läs också: Nu letas nya sätt att tjäna pengar på dina persondata – är du redo för internet of me?

Andra områden där det komma dröja tills myndigheten vet vad som gäller är incidentrapportering. Alltså det krav som nu införs på att rapportera dataintrång till Datainspektionen inom 72 timmar. Men även hur sanktionsavgifterna ska utdömas, där maxbeloppet kan nå upp till fyra procent av företagets totala omsättning.

– Det kommer att ta tid, hur lång tid beror på vilken nivå det ligger på. Den centrala dataskyddsstyrelsen i EU kommer hyfsat fort få fram en slags vägledning för vad som gäller. Men när det handlar om rättspraxis i EU-domstolen kan det tar tre, fyra år, säger han.

Till dess gäller det för företag att hålla sig uppdaterade och göra vad de kan här och nu. Kontakta företag som förmedlar utbildningar, kontakta Datainspektionen eller jurister. Viktigt att ha i minnet är att inget ansvar kan läggas på en leverantör, därför är det viktigt att du som företag känner företagets behov. Hur ser era processer ut och hur ska ni säkerställa att tjänsterna ni tar in uppfyller kraven. Här kan till exempel olika certifieringar vara till hjälp, som ISO 27001, en standard inom just informationssäkerhet.

Det finns en sak som såväl leverantörer, jurister som myndigheten är överens om: börjar inte försent.