GDPR - vad har hänt och vart är på väg?
Många svenska företag upplever att de känner sig sårbara inför den digitala utvecklingen och kommer att ta betydande steg i form av digital kapacitet de kommande två åren. När det gäller GDPR, EU:s nya dataskyddsförordning, så påverkar den alla branscher, företag och organisationer som hanterar personuppgifter.
Det har gått åtta månader sedan GDPR trädde i kraft, och fastän företag, myndigheter och offentliga aktörer har haft fullt upp med att anpassa sina verksamheter till lagstiftningen är det fortfarande mycket arbete som kvarstår. Inte minst för Datainspektionen och de andra europeiska tillsynsmyndigheterna som sakta men säkert får fullt upp med sitt granskningsarbete.
GDPR-anpassning en pågående process
I oktober kom rapporten från datainspektionens första granskning. Granskningen undersökte om 400 myndigheter och offentliga och privata företag hade tillsatt ett dataskyddsombud och hur deras allmänna regelverksefterlevnad såg ut. Även om det inte resulterade i att repressalier eller böter delades ut visar rapporten att GDPR-anpassningen fortfarande är en pågående process - varningarna som datainspektionen utfärdade som följd av deras första granskning är ett tydligt bevis på detta. Bland annat visade rapporten att ungefär en fjärdedel av alla fackförbund som granskats inte hade tillsatt ett dataskyddsombud.
Läs också: GDPR – en snabbguide för företagare
Med andra ord kan det krävas ytterligare arbete för många organisationer, särskilt när det kommer till att fastställa rutiner för granskning av GDPR-efterlevnad. Att säkerställa efterlevnad är en kontinuerlig process och en regelbunden granskning av efterlevnaden bör inkluderas i det övergripande informationssäkerhetsarbetet. Vikten av detta blir ännu mer uppenbar med tanke på hur utvecklingen har sett ut i resten av Europa.
Utvecklingen i Europa
På europeisk nivå är det nämligen mycket som har hänt, och redan under sommaren hade de första bötesstraffen delats ut. Efter att Österrikes datainspektion var först ut med att utfärda en bot för ett brott mot GDPR för en otillåten kameraövervakning, har den franska tillsynsmyndigheten hunnit straffa flera överträdelser av GDPR-säkerhetskrav med böter på mellan 30,000 och 75,000 euro. Den senaste och största GDPR-boten på 50 miljoner euro utfärdades av Frankrike till Google bara häromveckan. I Tyskland blev ett sociala medier-företag straffat med 20,000 euro efter att användarnamn, lösenord och e-postadresser på 330,000 användare avslöjades och lades ut i klartext på nätet. Även i Storbritannien pågår det just nu flera omfattande utredningar kring GDPR- regelbrott som kan resultera i betydelsefulla straffsummor - upp till 4% av företagens globala omsättning.
Läs också: GDPR - 5 vanliga missförstånd
Många utmaningar kvar
Utmaningarna som kvarstår för både den offentliga och privata sektorn är många, särskilt med tanke på att tillsynsmyndigheter ännu inte har etablerat en gemensam praxis för granskningsrutiner eller utdelning av repressalier. I väntan på klartecken kring vad denna utveckling kommer att landa i, är det därmed viktigt att organisationer säkerställer att de efterlever kraven som lagstiftningen ställer och utför oberoende granskningar i ett förebyggande syfte.
Säkerställande av GDPR-efterlevnad lär även bli ett första steg av många med tanke på kommande Europeisk lagstiftning inom cyberområdet. NIS-direktivet är nu fastställd som lag i majoriteten av EU:s medlemsländer och snart kommer även en gemensam cybersäkerhetsförordning. När dessa vinner laga kraft kan många organisationer stå inför ytterligare krav, och då kommer det vara viktigt att ha GDPR-anpassningen avklarad.
PwC
PwC Sverige är marknadsledande inom revision och rådgivning med 2 700 medarbetare runt om i landet – vi finns där du finns! Vårt syfte är att skapa förtroende i samhället och lösa viktiga problem och våra värderingar genomsyrar allt vi gör.
Lämna en kommentar