Trots att det snart bara är två månader kvar tills GDPR, de nya dataskyddsreglerna i EU, träder i kraft så är förfrågningarna till konsultbolagen om att sätta igång med nya projekt fortfarande många. Men att få tag på duktiga konsulter är svårt i det här läget.

Det säger de konsultbolag Computer Sweden talat med inför spurten i GDPR-anpassningen.

– Ja, det bara fortsätter komma in frågor om att både stora och små företag vill sätta igång med projekt, säger Thomas Nilsson, delägare i informationssäkerhetsföretaget Certezza. För mig är det faktiskt obegripligt hur ett stort företag tror att de ska kunna börja nu och hinna färdigt i tid. Då är man otroligt sent ute.

– Dessutom finns det i princip inga lediga konsulter. Inte hos oss i alla fall, och jag tror att det överhuvudtaget är svårt att hitta bra konsulter, som verkligen kan det här området nu.

Läs mer: Alla ligger efter med GDPR-jobbet – nu skärper EU tonen

Thomas Nilsson berättar att Certezza påbörjade sina första GDPR-projekt redan för två och ett halvt år sedan.

Hur lång tid tar det att genomföra en GDPR-anpassning på ett företag?

– Det är väldigt svårt att svara på, eftersom det beror helt på hur mycket data företaget hanterar. Men det handlar ju om allt ifrån att få koll på att skapa medvetenhet och få koll på den data man har till hur den behandlas.

– Och att klara det på två månader går inte, såvida organisationen inte arbetat väldigt hårt med att efterleva den tidigare personuppgiftslagen, men det har jag å andra sidan inte mött så många företag som gjort.

För att företag ska undvika att hamna i situationer där de måste hitta konsulter på väldigt kort tid anser Thomas Nilsson att de måste arbeta mer strukturerat med hela sin informationssäkerhetsstrategi.

– Det är ju faktiskt så att dataskyddsförordningen bara är ett krav bland många som kommer nu. Därutöver kommer ju NIS-direktivet som behandlar samhällsviktig verksamhet och sedan uppdateras säkerhetsskyddslagstiftningen.

Även Einar Lindquist, som är vd hos informationssäkerhetsföretaget Advenica, säger att de fortfarande får förfrågningar om att påbörja GDPR-projekt:

– Absolut, det här är långtifrån klart. Det kommer från alla håll, det är ett tvärsnitt av näringslivet, så det går inte att säga att det är stora eller små bolag eller i någon särskild bransch.

Finns det någon möjlighet att hinna klart om de kommer med en förfrågan nu?
– Det är väldigt svårt, det kräver väldigt mycket av organisationen.

Har ni några konsulter lediga?
– Nej, vi måste prioritera våra befintliga kunder nu, vi är fullbelagda. Och den här bilden tror jag gäller marknaden i stort, det är tufft att försöka få tag på konsulter nu.

Läs mer: Nya lagar sätter press på företagen – svettigt 2018 för it-juridiken

Mats Mårtensson, som är grundare av konsultmäklaren Keyman, bekräftar att efterfrågan på GDPR-konsulter håller sig på en hög nivå.

– Efterfrågan är fortsatt hög, men hos oss har antalet nya förfrågningar minskat. Först var det mest projektledare som efterfrågades, nu är det fler roller som verksamhetsarkitekter och kravledare. Många kunder har kommit långt med GDPR-arbetet men det är fortfarande många frågor som är under utredning.

Vad ska då en organisation som inser att de inte hinner i tid med GDPR-anpassningen göra? Så här svarar GDPR-experten David Frydlinger som är advokat och ansvarig för information and communication technology på advokatfirman Lindahl:

– Jag får ofta den frågan. ”Om vi inte hinner klart i tid, kan vi hävda att vi har en plan för hur vi ska gå till väga och på så sätt undvika böter?”. Nja, reglerna säger att det är den 25 maj som gäller och är man inte klar då så bryter man mot det.

– Vad man kan göra är att identifiera större risker, till exempel kopplat till känsliga personuppgifter, och snabbt prioritera arbetet med dessa. Det tror jag kommer att beaktas.