Att anpassa verksamheterna till en skakigare regulatorisk miljö har högsta prioritet hos de som ansvarar för integritetsfrågor eller personuppgifter på organisationer runt om i värden – men bara fyra av tio känner sig bekväma med att de ligger i fas med alla nya regler som kommer. Detta enligt en undersökning från analysföretaget Gartner.

– Organisationer som lagt all kraft på att kunna följa EU:s GDPR-regler behöver nu också svara upp mot ytterligare krav, som kan inverka både på kortsiktig och långsiktig strategi. Det här är särskilt viktigt då både lagstiftare och kunder har gjort det klart att det inte längre finns någon ”smekmånad” för organisationer att få ordning på sina integritetsfrågor, säger Brian Lee, analytiker på Gartner.

Det här är en internationell undersökning, men inget talar för att läget skulle vara annorlunda i Sverige.

David Frydlinger, advokat och partner på advokatfirman Cirio, säger att många organisationer knappt hade hunnit börja med anpassningarna till GDPR innan det började pratas om annan lagstiftning som också påverkar verksamheterna.

– Att bara fyra av tio känner att de ligger i fas med de nya reglerna låter rimligt också vad gäller svenska organisationer. Organisationer är ofta trögrörliga på gott och ont.

David Frydlinger
David Frydlinger.

– Det här är ju inte något som juridikavdelningen bara kan fixa, utan det handlar om stora förändringar som går genom hela organisationen. Det kräver att man synkar olika enheter inom organisationen, och ibland att man omorganiserar sig.

Vad är det få nya regler som är mest på tapeten i Sverige just nu?

– Nu handlar det mycket om vilken sektor man arbetar inom. Men vi har ju implementeringen av NIS-direktivet eller lagen om samhällsviktiga och digitala tjänster, som till exempel omfattar molntjänsteleverantörer och leverantörer av samhällsviktiga tjänster.

David Frydlinger nämner också säkerhetsskyddslagen som ställer mer omfattande krav på organisationer som bedriver säkerhetskänslig verksamhet om hur it-system och information ska hanteras.

Den stora kommande förändringen är E-privacy regulation som egentligen skulle införas samtidigt som GDPR, men som blivit försenad och ännu inte är klar. Den här handlar om att reglera data i kommunikationstjänster som Skype, Whatsapp och Messenger. Inte heller denna går lika brett som GDPR, men för de som väl påverkas är frågan desto större.

– Men det finns flera sådana här nya lagar som rör vissa branscher. De nya betaltjänstreglerna har till exempel en väldigt stor påverkan på finansbranschen.

Om sex av tio ansvariga inte känner sig trygga med att de går i takt med förändringarna på det juridiska området – vad har du för generellt råd till de här organisationerna?

– Att man tar det här på stort allvar. Ansvariga myndigheter som Datainspektionen för GDPR eller MSB för NIS-direktivet har fått helt andra muskler än de hade tidigare och de kommer inte tveka att agera. Dessutom ökar de PR-relaterade riskerna kopplat till de här incidenterna. Frågorna måste också vara uppe på ledningsnivå.

Ännu en siffra som visar på osäkerheten som många personuppgiftsansvariga känner i dagens läge är att sju av tio vill ha en strategi för att stödja deras organisationers digitala transformation – men att de flesta saknar förtroende för sin nuvarande plan.

Gartner rekommenderar att man designar ramverk som fokuserar mindre på formella strukturer och mer på affärssyften.

Här är personuppgiftsansvarigas fem viktigaste prioriteringar under 2019:

1. Att anpassa sig efter en instabil regulatorisk miljö
2. Att etablera en integritetsstrategi som kan stödja organisationen i den digitala transformationen.
3. Att implementera ett riskhanteringsprogram för hur man arbetar med tredjepartsaktörer.
4. Att stärka kundernas förtroende och varumärkeslojalitet.
5. Att hitta sätt att mäta effektiviteten i integritetsprogram.

Läs mer:
Nya lagar och regler ger en boost åt svensk teknik
GDPR-incidenterna ökar – anmälningarna rasar in