Trinovo Insights

Effekten av GDPR – vad hände sedan?

2018-okt-17 05:05:58 / av Trinovo Insights

gdpr-insights


Uppståndelsen kring GDPR verkar ha lagt sig, men vad fick lagen egentligen för effekt? Företag erbjuder digitala tjänster i allt större utsträckning, samtidigt som nya regelverk om datahantering tillkommer. Hur kan organisationer bättre rustas för kommande regleringar och utmaningar?

 

Flest anmälningar mot digitala tjänsteföretag

Sedan GDPR trädde i kraft den 25 maj 2018 har ett antal företag blivit stämda av privatpersoner i Sverige. De flesta anmälningar som inkommit till Datainspektionen har inte riktats mot stora konsumentbolag som hanterar oerhörda mängder kundinformation. Istället har anmälningarna rört företag som erbjuder digitala tjänster.

Den djupare aspekten av GDPR handlar om samhället i stort och den pågående digitala revolutionen, samt om relationen mellan lagstiftare och teknikbranschen. Flera opinionsbildare har påpekat vikten av att våra lagar måste hänga med och anpassas till den nya verkligheten med allt fler digitala tjänster. 

Överföringen av information är snabb och åtkomsten av data närmast obegränsad. Vi lever i en värld där information om oss som konsumenter och medborgare värderas högt och betraktas som den viktigaste råvaran i den digitala ekonomin. Insamlat data nyttjas flitigt av leverantörer av digitala tjänster, vilket kan förklara varför flest anmälningar riktats mot just den typen av företag.   

3 effekter av GDPR

Trinovo har sedan införandet av GDPR hjälpt sina klienter att implementera lagen. Utifrån detta vill vi dela med oss av tre intressanta observationer:

1. Hantering av kundinformation utan att vara kund

Låt säga att du kommer till en hemsida och börjar fylla i ett registreringsformulär till ett seminarium. Det slutar med att du inte fullföljer registreringen. Några timmar senare blir du uppringd av en konferenssäljare som sett din ofullständiga anmälan. Säljaren undrar om det är något med registreringen du behöver hjälp med. Skulle du tycka att det var personligt och trevligt – eller skulle det upplevas som påträngande?

Du får senare reda på att det i finstilt text står att du behöver godkänna företagets personuppgiftspolicy för att kunna få tillgång till konferensprogrammet – något du upplevde som otydligt under besöket på hemsidan. Säljare väljer att kontakta dig (inleda en relation) trots att du inte är deras kund. Frågeställningen som uppstår är huruvida detta är acceptabelt eller om det är på gränsen till vad som tillåts enligt GDPR? 

2. GDPR leder till organisationsutveckling

GDPR och tanken om stora efterföljande böter satte skräck i många företag och organisationer. Arbetet med att bli ”GDPR-compliant” påbörjades med delmålet att åtminstone följa GDPR. Den omfattande lagstiftningen förutsatte ett samarbete mellan flera aktörer inom organisationen. Eftersom lagen behövde tolkas och anpassas till den egna verksamheten fördelades ansvaret mellan juridisk expertis, tekniskt kunniga personer och de som operativt hanterar användarnas personuppgifter.

I arbetet med en av våra klienter – ett större transportföretag, noterades att GDPR stärkte det interna samarbetet. Under etableringsarbetet kartlades relationerna till ett flertal externa leverantörer på ett djupare plan än tidigare. Dessutom uppmärksammades interna roller som inbegrep leverantörsansvar. Det var tydligt att ett nytt fokus på dialog och förhandling uppstod.

3. GDPR bara ett första steg – ladda för ePR

EU förbereder nu nästa steg för att skydda personuppgifter och elektronisk kommunikation i största allmänhet. ePR – ePrivacy Regulation – är nästa förordning som nyligen förhandlats fram mellan EU-kommissionen och Europaparlamentet. Europaparlamentet beräknas godkänna slutversionen under våren 2019 och från och med hösten 2019 införs lagen.

ePR är ett komplement till GDPR och handlar i korthet om att säkra integriteten i e-post, chattar och annan elektronisk kommunikation som inte nödvändigtvis handlar om personuppgiftsbehandling. Lagen specificerar delar som redan täcks av GDPR men utökas även till att gälla metadata. ePR kommer exempelvis reglera cookies, direktmarknadsföring via internet, retargeting och meddelandetjänster. Maskiner som utbyter information utan mänsklig inverkan (IoT) kommer också att omfattas.

Vad behöver en organisation tänka på framöver?

Organisationer behöver ha en handlingsberedskap inför kommande förändringar inom informationsområdet. Europaparlamentet har till exempel alldeles nyligen röstat igenom nya bestämmelser om länkavgifter och upphovsrättsfilter.

Det är viktigt att snabbt kunna identifiera vilka delar av organisationen som berörs av nya direktiv samt på vilket sätt. För att underlätta arbetet med ansvarsfördelningen kan följande frågor ställas inom organisationen:

  • Vad, och vilken typ av tjänst är det vi levererar?
  • Vem äger personuppgifterna, uppdragsgivaren eller leverantören?
  • Vilka leverantörer bygger upp hela leveranskedjan (ända) till slutkunden?
  • Var/vem använder personuppgifterna, och för vilket syfte?

När det finns leverantörer och tredjepartsleverantörer dyker två viktiga frågor upp; Var börjar och slutar uppdragsgivarens ansvar? Vem är det som äger data?

För att säkerställa att behandlingen av personuppgifter efterföljs av leverantörer kan ett biträdesavtal skrivas, som avhjälper en stor del av ansvarsfrågan gentemot dessa.

 

gdpr-img

Fig 1. Schematisk processbild över upprättande av biträdesavtal.

 

Digitala innovationer kontra det personliga integritetsskyddet

Verksamheter som vill ta fram nya tjänster och affärsmodeller ställs genast inför dilemmat; vad får vi göra med våra kunders personuppgifter?

De nya lagarna bör noga avväga balansgången mellan möjligheten för företag att bygga nya innovativa digitala tjänster och samtidigt värna om personuppgifter och integritet. Gränsen mellan maskin och människa behöver tydliggöras. Även om nya och komplexa regelverk innebär nya utmaningar menar vi på Trinovo att rätt hantering av användardata kan bana väg för oanade digitala affärsmöjligheter.

GDPR-fakta

Den 25 maj 2018 trädde GDPR i kraft. GDPR är en förkortning för General Data Protection Regulation (dataskyddsförordningen) och syftar till att stärka skyddet för hanteringen av fysiska personers personuppgifter inom EU.

Företag och organisationer behöver i och med GDPR ha koll på vilken typ av data (kategorier) som samlas in, vilket användningsområde (ändamål) dessa har, vilken typ av användning (behandling) som utförs och var data fysiskt lagras. Personuppgifter ska kunna rensas (gallras) på användarnas (kundernas) begäran.

 

Behöver ni inspiration och råd för en bättre hantering av personuppgifter och data?

Vi på Trinovo är alltid tillgängliga för att svara på era frågor och funderingar,
så tveka inte att kontakta oss.

Ladda ner artikeln

 

Författare

mattias-rund

mattias.gronberg@trinovo.se
0704-40 96 10

 
 
Trinovo Insights

Publicerat av Trinovo Insights

Trinovo Insights bedriver nyhetsbrev med insikter inom IT-management och Retail Finance som utkommer ca 3 gånger per år vardera. Lämna din mailadress så håller vi dig uppdaterad när vi publicerar något nytt. Vi spammar inte, vi lovar.

Håll dig uppdaterad med Trinovo Insights