Att det händer mycket inom dataskyddsområdet är ingen hemlighet, men många skulle behöva hålla sig bättre uppdaterade. Någon som har full koll på utvecklingen är IT-advokaten Agnes Hammarstrand. Här ger hon en inblick i dataskyddets status idag och vad du som arbetar inom området kan förvänta dig om framtiden. Kort sammanfattat har vikten av ett gott arbete inom informationssäkerhet och dataskydd aldrig varit tydligare.
Ökat intresse kring dataskyddsfrågor
Företag och organisationer prioriterar dataskyddsfrågor i högre grad idag. De som inte jobbar med dessa frågor kan möta verkliga hinder. Exempelvis har vi sett hur leverantörer som inte har koll på frågorna tappat kunder. Hur de som inte har kontroll över incidenthantering och arbetar förebyggande med informationssäkerhet är mycket mer sårbara för IT-incidenter, vilket skapar enorma förluster och problem för företagen.
Men även om arbetet med dataskyddsfrågor blir bättre finns utmaningar och en generell frustration över byråkratiska regler och lagar. Agnes Hammarstrand är partner och advokat på Advokatfirman Delphi och specialist inom IT-relaterad juridik. Hon är en av Sveriges främsta experter och utbildare inom IT/tech och GDPR. Tillsammans med ett team advokater och jurister ger Agnes råd till företag, myndigheter och kommuner i dataskyddsfrågor etc. Vi lät henne beskriva utvecklingen och de utmaningar hon ser framöver.
Dataskyddet 2023: GDPR och 50 år av dataskydd
2023 beskriver Agnes som ett verkligt jubileumsår då vi firade fem år med GDPR, 50 år med dataskydd i Sverige och 50 år sedan Sveriges första dataskyddsmyndighet föddes – vilket faktiskt också är världens äldsta dataskyddsmyndighet (det som nu är IMY).
När GDPR introducerades blev Agnes (som hade arbetat många år med gamla personuppgiftslagen) kontaktad av många oroliga företag som ville veta mer om de kommande böterna och sanktionsavgifterna. Hon lugnade företagen genom att förklara att det antagligen inte skulle utfärdas böter i någon större utsträckning strax efter att lagen börjat gälla, vilket också visade sig stämma.
– Den senaste tiden har vi däremot sett att det blivit allt mer tillsyn, sanktionsavgifter och dessutom större belopp. Men jag tycker inte att man ska jobba med GDPR enligt rädslan av risken att få böter. Det finns så många andra viktiga skäl, säger Agnes.
Vad lärde vi oss av fem år med GDPR?
– Det finns ingen quick fix som gör att du kan lösa allt några veckor innan en lag börjar gälla. GDPR tvingar dig att jobba kontinuerligt i verksamheten. Rutiner och processer måste finnas på plats, och du måste göra det både från ett juridiskt håll och ett informationssäkerhetshåll och gällande teknisk säkerhet, säger Agnes.
"Det finns ingen quick fix som gör att du kan lösa allt några veckor innan en lag börjar gälla. GDPR tvingar dig att jobba kontinuerligt i verksamheten."
GDPR introducerade även flera intressanta frågor som underlättar ett systematiskt arbete med informationssäkerhet, juridik och teknik. Och även om det tog tid kom också mer och mer tillsyn och nya vägledningar från den europeiska dataskyddsstyrelsen.
– En annan spännande sak som har hänt är att organisationen NOYB (European Center for Digital Rights), som driver privacy-ärenden, har anmält många företag utifrån ett rättighetsperspektiv, och på så sätt fått igång tillsyn i ärenden, berättar Agnes.
Något annat som fått stort fokus är överföringar utanför EU. Du som jobbar med molntjänster känner säkert till Schrems II som innefattar tredjelandsöverföringar och amerikanska molntjänster. Låt oss gå in djupare på det.
Dataöverföring till tredjeland – Schrems II
Kortfattat kan man säga att Schrems II är ett beslut från EU-domstolen som ogiltigförklarade Privacy Shield-avtalet mellan EU och USA för personuppgiftsöverföring. Det kräver ökad försiktighet vid överföring av personuppgifter utanför EU, och påverkar företag som måste vidta extra åtgärder för att säkerställa dataskyddet. Det har varit en följetong de senaste åren som inneburit att det flera gånger varit olagligt att överföra personuppgifter till USA – då det inte ansetts vara ett godkänt land.
Men en ny principiell överenskommelse finns nu mellan EU och USA om dataöverföring. EU-US Data Privacy Framework gör att det nu är lagligt att överföra personuppgifter till företag som är certifierade enligt Data Privacy Framework.
– Men det är många som är kritiska. Schrems III är på gång och preppas från NOYB, men många tror inte att det kommer att hålla. Vad händer till exempel om USA får en ny president? Om vi fortsätter att se ytterligare terrorism och osäkerhet i omvärlden? Vissa anser att det redan idag är problematiskt enligt GDPR, menar Agnes.
Agnes Hammarstrand, Advokat och Partner på Delphi
5 viktiga dataskyddstips från Agnes inför framtiden
1. Överföring handlar inte bara om var servern står
– Det är en av de vanligaste missuppfattningarna jag hör. De flesta har koll på ägandet och var servern står. Men det viktigaste är om det sker någon överföring av personuppgifter överhuvudtaget. Tittar någon på persondatan? Finns helpdesk eller support i ett annat land? Det är också överföring. Du måste läsa avtalen och se till helheten. För att se om en tjänst är laglig handlar det sällan om utländskt ägande eller var servern står, utan vilken informationssäkerhet som finns, hur avtalet ser ut, och om europeisk och svensk lag åtföljs.
2. Ta ett steg tillbaka och analysera
– Se över vad som är viktigast för ditt företag och vad ni ska prioritera. Bolla med en expert. Ni kommer inte nödvändigtvis att stå inför samma risker som ett annat bolag, kommun eller region. Se över bl.a. följande frågor:
- Jobbar vi systematiskt och kontinuerligt med GDPR och andra frågor?
- Har vi ett organiserat sätt att jobba med de här frågorna?
- Har vi ett systemstöd?
- Har vi prioriterat de viktigaste legala dokumenten och rutinerna?
3. Se över hela avtalet vid ett IT-köp
– Det handlar inte bara om att titta på frågan kring tredjelandsöverföring. Se också till vad leverantören lovar i sin helhet, som vad som händer vid ett avbrott. Vad ställer ni själva för krav kring tillgänglighet? Det är viktiga frågor som får betydelse även för dataskyddsarbetet. Det finns ofta GDPR-problem vid upphandling av IT-tjänster, så låt en jurist läsa hela avtalet, inte bara personuppgiftsbiträdesavtalet.
4. Ännu viktigare med en helhetssyn och ett systemstöd
– Vi möter en mer komplex verklighet idag med fler lagar som samspelar. Exempelvis har AI-förordningen nu blivit klar och kommer gälla inom hela EU. Vi har Data Act som nyligen blev antagen från EU:s sida. Då dataskydd är en integrerad del i det systematiska compliance-arbetet blir det allt viktigare med rätt verktyg som ett systemstöd.
5. Personuppgiftsincidenter har blivit allvarligare
– Från juridiskt håll ser vi en generell ökning av personuppgiftsincidenter. Tidigare var incidenterna inte lika allvarliga – nu orsakar de verkligen skada. Vi har sett företag som nästan gått i konkurs och där medborgare drabbats allvarligt. Det här måste vi ta på allvar genom förebyggande, kontinuerligt arbete som fokuserar på hur företag jobbar med incidenter. Det är inte bara en IT-fråga som ska delegeras vidare till någon på IT, utan frågor som påverkar hela bolaget, kommunen eller regionen.
Sammanfattning: Så bör du arbeta med dataskydd framöver
– Det blir ännu viktigare att jobba tillsammans framöver, mellan juridik, teknik, informationssäkerhet och verksamheten i stort. Inom juridik blir det viktigare att titta på avtal och andra juridiska dokument. Ur en teknisk aspekt behöver du se över hur ni skyddar företagets information, vad ni har för behörighetsstyrning och hur ni jobbar med informationssäkerhet.
Den här texten baseras på det föredrag Agnes Hammarstrand höll i vårt webinar om cybersäkerhet, den 16 november 2023. Webinaret innehåller även spännande samtal om bland annat Dora och NIS2.