Franska motsvarigheten till Datainspektionen, CNIL, dömde nyligen Google att böta 50 miljoner euro för att man har brutit mot GDPR genom att sakna transparens och tydlighet i sättet som man informerar sina användare om hur deras personliga data hanteras.

Google-affären är ett tydligt exempel på att även stora teknikbolag kämpar med de skärpta reglerings- och överensstämmelsessystemen som EU har infört för att skydda EU-medborgarnas data. Kort sagt är till och med giganterna överraskade att GDPR verkligen gäller. Frågan är dock hur det är möjligt.

GDPR kommer nämligen inte från tomma intet. Och då syftar jag inte enbart till det faktum att lagen har diskuterats flitigt under de senaste tio åren. Faktum är att rötterna till regleringen är betydligt äldre.

Principerna för GDPR kan spåras tillbaka till 1890, när en artikel på tema integritet publicerades i Harvard Law Review. Artikeln anses vara den första som diskuterar rätten till ett privatliv och ledde indirekt till att integritet blev en grundläggande rättighet i FN:s konventioner – och således blev en av de centrala principerna i vårt moderna rättssamhälle.

I takt med teknikutvecklingen flyttades integritetsfokus med tiden till hantering och överföring av personuppgifter. I OECD:s riktlinjer för hantering av personuppgifter begränsade man under 1980-talet hur data fick samlas in, vad data fick användas till, vilken säkerhet som var tvungen att finnas och individens rätt till att få veta vilken data som lagrades om denne.

Det här är en artikel från IDG Opinion Vill du också tycka till om något? Så här gör du. »

Efter internets genombrott följde decennier av ihärdiga debatter – inte minst inom it-världen – om var integritetsgränserna borde sättas i vår digitaliserade värld. När GDPR så, för ett år sedan, började gälla, och fastslog att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet, så skedde detta som ett steg i en utveckling som få it-insatta har kunnat missa. Och ändå är vissa företag tagna på sängen!

Givet att cyberattackerna blir alltmer sofistikerade står företag nu inför utmaningen att både skydda sig mot attacker och mot GDPR-böter på upptill 4 procent av den globala omsättningen. Det kommer dessutom att bli vanligare att cyberkriminella försöker utnyttja GDPR-reglerna för riktade utpressningsattacker genom att först ta reda på hur höga böter ett företag kan bli skyldigt om personuppgifter läcker vid en cyberattack, och sedan kräva en lösensumma strax under straffavgiften, så att företaget hellre väljer att betala denna än den högre straffavgiften.

Låt oss hoppas att Google-affären blir en väckarklocka för branschens jättar och alla andra företag som samlar och hämtar stora mängder persondata utan att ansöka om skydd, lagring och hantering av data när det inte längre är nödvändigt.

För att stoppa cyberbrottslingarna och samtidigt möta dagens GDPR-lagar är det nödvändigt att alla företag göra en säkerhetsanalys av sin it-miljö – och ingen bör skylla på tidspress.

För GDPR är inget nytt.

Ola Wittenby, Sverige-vd på Trend Micro

Läs också:
GDPR: Här är allt du behöver veta om EU:s dataskyddsregler