Med en månad kvar tills den nya europeiska dataskyddsförordningen GDPR börjar gälla är det av allt att döma många som fortfarande inte kommit ur startblocken.

Redan i januari skrev vi om hur EU-kommissionen gick ut med en bred uppmaning till sina medlemsländer och deras lagstiftare och verksamheter att skynda på med anpassningen till den nya dataskyddsförordningen.

Och strax därpå kom ett par undersökningar som bekräftar den bilden. Nästan 75 procent av småföretagen och över 90 procent av de medelstora i Europa är medvetna om GDPR – men inte ens hälften har börjat förbereda sig, enligt analysföretaget IDC.

Läs mer: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler

En som däremot har mångårig erfarenhet av GDPR-relaterade frågor är Thomas Nilsson, som är delägare i it-säkerhetsföretaget Certezza:

– Det är nog ganska få som kommer att vara i mål till den 25 maj, säger han. Dock är det fler som har börjat arbeta med de här frågorna. Om man vaknar till liv nu tror jag inte det beror på att man inte känt till det här, utan att man prioriterat annat.

Thomas Nilsson
Thomas Nilsson.

Vilka tips har då Thomas Nilsson till de organisationer som känner nervositeten stiga inför den nya lagen och som kanske inte påbörjat ett arbete? Här är de tre viktigaste sakerna att tänka på.

1. Det är aldrig försent att börja arbeta.
Det är bättre att påbörja ett arbeta än att inte arbeta alls. Om du börjar med jobbet nu, så fokusera på högriskbehandlingar. Ta reda på vilka uppgifter i organisationen som är av hög risk.

– Om man behandlar uppgifter som är mer skyddsvärda så måste de prioriteras. Det kan gälla facktillhörighet, sexuell läggning, hälsa, politiska åsikter eller dna, även om just det sistnämnda kanske inte berör så många, säger Thomas Nilsson.

2. Engagera ledningen.
Har man inte ledningens intresse för de här frågorna, då är det svårt. Därför kanske man måste börja i den änden.

– Man ska inte skrämmas, utan informera om de skyldigheter man har. Det finns en skyldighet att kunna visa att vår organisation skyddar personuppgifter på ett adekvat sätt. Sedan gäller det att inte bara göra rätt utan att göra rätt över tid och att man har ett rutinmässigt arbete, att man utvärderar både sin information och sitt skydd återkommande.

3. Gör inga panikåtgärder.
Lägg hellre en plan för sommaren och hösten så blir resultatet bättre i slutänden.

– Om man handlar i panik gör man fel saker. Vi har ju märkt att det från början är många som letar efter den snabba vägen, men det finns ingen quick fix. Organisationen måste till en början veta vilka tillgångar den har och vad man behandlar. Det gäller också att skapa en medvetenhet i organisationen.

Läs mer: Inför 25 maj: här är de vanligaste missförstånden om GDPR

En plan i det här skedet kan se ut på följande sätt, enligt Thomas Nilsson:

  1. Ta reda på vad personuppgifter är.
  2. Skapa medvetenhet i organisationen genom att utbilda personal för effektivare införande.
  3. Skapa och upprätthåll ansvar för er personuppgiftsbehandling.
  4. Se till att kunna tillgodose de registrerades rättigheter.
  5. Slarva inte med att klassificera personuppgifterna och forma säkerheten kring det
  6. Var noggrann med personuppgiftsbiträdesavtalen och skriv inte på vad som helst. Personuppgiftsbiträdesavtalen är inte standardavtal – lämpligheten avgörs från fall till fall.