Här delar Anna Brantberger, Head of Legal på Stratsys och före detta dataskyddsombud, med sig av sina erfarenheter av att arbeta med GDPR. Hon går närmare in på hur GDPR har utvecklats under de senaste fem åren och kommer med framtidsspaningar kring vad vi kan förvänta oss av lagstiftningen framöver.
Så har fem år med GDPR påverkat Sverige och omvärlden
De senaste fem åren med GDPR har påverkat dataskyddsarbetet på flera sätt. Tillsynsmyndigheter har utfärdat riktlinjer och vägledningar för att förtydliga tolkningen av förordningen. Organisationer har arbetat aktivt med att anpassa sina interna processer och rutiner samt prioritera dataskydd och integritet i sina IT-system för att uppfylla kraven i GDPR. Även rättspraxis har börjat växa fram genom rättsfall och domstolsbeslut som har gett ytterligare vägledning för att säkerställa efterlevnad och skydda enskilda personers personuppgifter.
Den allmänna medvetenheten om dataskydd och individens rättigheter har också ökat, vilket har lett till en ökad efterfrågan på transparens och kontroll över personuppgifter. Sammanfattningsvis har GDPR bidragit till att etablera en starkare och mer konsekvent dataskyddskultur i EU och haft en global påverkan på dataskyddsregler och bestämmelser världen över.
Ökad efterfrågan på systemstöd som uppfyller kraven på “privacy by design”
GDPR har haft en betydande påverkan på systemstöd inom IT. En av de viktigare förändringarna är kravet på att IT-system och programvara anpassas för att möta dataskyddsbestämmelserna och säkerställa en korrekt hantering av personuppgifter. IT-system måste till exempel ha inbyggda mekanismer för att skydda personuppgifter från obehörig åtkomst, otillåten ändring eller förlust.
Anna Brantberger, Head of Legal på Stratsys
Vikten av systemstöd för compliancearbetet
Som systemleverantör har Stratsys under de senaste fem åren utvecklat nya verktyg och funktioner för att stödja organisationer i arbetet med att uppfylla kraven i GDPR. Efter att GDPR trädde i kraft har också efterfrågan på systemstöd för att underlätta efterlevnaden av lagstiftningen ökat markant, menar Anna.
– För oss är det såklart fortsatt viktigt att kontinuerligt utveckla och anpassa våra tjänster för att möta de krav våra kunder och potentiella kunder ställer på oss som leverantör av till exempel ett complianceverktyg, menar Anna. Som systemleverantör är vi måna om att följa med i utvecklingen och leverera funktionalitet för att underlätta organisationers arbete med compliancefrågor som exempelvis GDPR.
Anna berättar vidare att hon sett stora fördelar med att automatisera, förenkla och samla arbetet i ett verktyg. Ett systemstöd underlättar dokumentationen och redovisningen av verksamhetens efterlevnad av GDPR för både ledningen och Integritetsskyddsmyndigheten (IMY), Sveriges nationella tillsynsmyndighet för behandling av personuppgifter.
– Vi på Stratsys använder också själva våra produkter i arbetet med att efterleva lagstiftningen, fortsätter Anna. Det är viktigt för oss att utveckla produkter som underlättar våra kunders compliancearbete.
3 framtidsspaningar: hur kommer GDPR utvecklas framöver?
1. AI behöver regleras i enlighet med GDPR
Genom att följa GDPR:s principer och regler kan man säkerställa att användningen av AI är transparent, rättvis och respekterar de grundläggande principerna för dataskydd. Det är särskilt viktigt med tanke på de potentiella riskerna för diskriminering, missbruk och förlust av kontroll över personuppgifter som kan uppstå vid implementering av AI. Genom att reglera AI enligt GDPR skapas en balans mellan innovativ användning av tekniken och skyddet av individens integritet och rättigheter.
AI-utveckling kräver ofta stora datamängder för att kunna tränas och leverera korrekta resultat, vilket utmanar principen om uppgiftsminimering som syftar till att minimera insamlingen och användningen av personuppgifter till det absolut nödvändiga. För att hantera dilemmat måste organisationer noggrant överväga vilka personuppgifter som verkligen behövs för att träna AI-modeller och vidta åtgärder för att minimera insamlingen av onödiga eller känsliga uppgifter, förklarar Anna.
2. Sanktioner kan drabba fler
I framtiden kan fler företag och organisationer bli föremål för sanktioner för att ha brutit mot GDPR, menar Anna. Tidigare har tillsyn i huvudsak riktats mot företag och offentliga verksamheter där IMY bedömt att det får störst effekt i form av regelefterlevnad och lärande för den granskade verksamheten och övriga företag och organisationer, men i takt med att IMY fått ökade resurser för att genomföra tillsyn och då arbetet med tillsyn är en av deras mest prioriterade frågor att förbättra kan det komma att förändras. Det innebär att alla organisationer, oavsett storlek, behöver vidta nödvändiga åtgärder för att säkerställa efterlevnad av GDPR för att undvika eventuella påföljder.
3. GDPR fortsätter påverka överföring mellan USA och EU
Efter ogiltigförklaringen av Privacy Shield-regelverket i Schrems II-domen 2020 har EU och USA aktivt sökt efter alternativa lösningar för att möjliggöra fri överföring av personuppgifter, berättar Anna. EU-kommissionen strävar nu efter att etablera ett nytt ramverk, känt som EU US Data Privacy Framework, i syfte att lösa dataskyddsfrågor mellan EU och USA.
– Det återstår att se om det nya ramverket kommer att vara tillräckligt för att undvika framtida rättsliga utmaningar, till exempel en eventuell Schrems III-dom. Framtiden kommer att avslöja om det nya ramverket kan erbjuda en stabil och långsiktig lösning för att upprätthålla skyddet av personuppgifter vid överföringar mellan EU och USA.
Stratsys ger dig förutsättningar för att driva ett systematiskt och proaktivt informationssäkerhetsarbete och ta kontroll över din organisations efterlevnad av dataskyddsregler. Här kan du läsa mer om hur Stratsys verktyg kan hjälpa dig med dataskydds- och informationssäkerhetsarbetet.