Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Så lyfter GDPR affären

Caroline Olstedt Carlström är en av Sveriges främsta dataskyddsexperter som under sin tid på Klarna snabbt insåg möjligheterna med en god datahantering. För Caroline är GDPR ytterligare en möjlighet att skapa ordning på allt.

Text Tim Leffler Foto Adobestock, Lindahl 6 februari 2018 säkerhet

två män i blåa kläder studerar ett stort kugghjul.jpg

– Vi är lite godtrogna när det kommer till personuppgifter i Sverige. Vi använder ju dem till ganska mycket utan att tänka så mycket över vem som får tillgång till dem och hur de kan utnyttjas. Det i samspel med vår generösa offentlighetsprincip har antagligen gjort att man historiskt inte har haft tillräckliga skäl att lägga resurser på dataskydd. Det blir det ändring på nu, säger Caroline Olstedt Carlström, dataskyddsexpert på advokatfirman Lindahl och ordförande i Forum för dataskydd.

Först i Sverige

I början av 2000-talet arbetade Caroline Olstedt Carlström framförallt med skatterätt, men av en ren slump fick hon ett uppdrag som involverade dataskydd – och blev en av de första i Sverige att på allvar titta närmare på hur den nya EU-direktivbaserade personuppgiftslagen från 1998 skulle efterlevas i praktiken.

Sedan dess har hon varit fast och det nya arbetet resulterade i många resor till och från Bryssel. I Sverige på den tiden var det många som talade om immaterialrätt och databasrättigheter, men det var knappt någon som intresserade sig särskilt för skydd för personuppgifterna.

caroline oldstedt carlström.jpg

Caroline Olstedt Carlström

Och dataskydd är fortfarande något som ofta sätts på undantag.  

Läs mer: En av tio GDPR-förberedd

– Otroligt många bryter faktiskt fortfarande mot lagen. Vi ligger även lite efter och följer exempelvis upp våra samarbeten mindre än vad vi borde i Sverige när det kommer till dessa frågor. Men sedan man fattade beslut om en ny europeisk dataskyddsförordning och i april 2016 fastställde dess innehåll har de flesta blivit tvungna att börja hantera dessa frågor. Redan innan jag gick över till Klarna 2012 skrev jag en debattartikel och argumenterade för att det snart skulle saknas dataskyddsexperter. Det tog kanske lite längre tid än jag trodde där och då men nu ser vi att det råder en extrem brist på den här typen av kompetens.

Klarna i framkant

2012 blev Klarna intresserade av Caroline Olstedt Carlströms expertis och hon fick möjlighet att starta ett team som helt fokuserade på Klarnas personuppgiftshantering och olika dataskyddsfrågor. Klarna står med ena foten i e-handelssektorn och den andra i bankvärlden, och det är därför av stor vikt att man håller ordning på de uppgifter man hanterar.

Läs mer: Voister förklarar GDPR

– Det har varit helt fantastiskt att få göra den här resan med Klarna. Vi arbetade stenhårt med att se till så att det blev rätt och ett tydligt fokus på dataskyddsfrågor och vi fick bra backning från hela företaget; alla såg ur sina respektive perspektiv olika värden i en tydlig hantering och i att ibland göra det där lilla extra. Det handlar om integritetsskyddet och hur kunderna uppfattar det, men det är i slutänden förstås också en varumärkesfråga, en tillitsfråga och viktigt i relationen med partners.

Carolines tre GDPR-tips

  • ANSVAR Det är lätt att GDPR-bollen kastas runt som en het potatis eftersom man inte är van att hantera sådana frågor. På större organisationer är det kanske lämpligt att exempelvis företagets jurist tar tag i det, men på mindre bolag kan det vara svårare att veta vem som bör ha ansvaret. Det är därför viktigt att man utser någon så tidigt som möjligt som kan samordna och driva resten av företaget i rätt riktning.
  • RESURSER Se till att den som äger frågan får tillräckligt med resurser för att analysera företagets behov och samordna arbetet internt, och framförallt ska man inte tänka att det bara är något som behöver göras fram till den 25 maj och sedan kommer allt vara frid och fröjd. Man ska snarare se det som en möjlighet att införa nya rutiner och börja hålla ordning och reda på de uppgifter man hanterar. Det är dessutom så att vissa organisationer kommer vara tvungna att ha ett dataskyddsombud. Här bör man kanske inte lägga ner för mycket tid på att bestämma sig för om man verkligen måste ha det eller inte, utan återigen se det som något som skapar ett värde i organisationen.
  • STARTEN Det vanligaste bekymret är att företag inte vet var de ska börja. Det är förstås viktigt att hantera de delar där man känner att risken är störst, men dessa kräver också oftast mest tid. Därför kan man göra sig själv en tjänst genom att starta med områden som känns enklare. Om inte annat så för att få en skjuts in i arbetet och känna att man får lite medvind. Det skapar en positiv energi i verksamheten.

Fokus på HR

Sedan maj 2017 arbetar Caroline Olstedt Carlström på advokatfirman Lindahl, men har fortfarande ett nära samarbete med Klarna.

I sin nuvarande roll hjälper hon företag att bland annat få ordning på sina databehandlingar och göra dem GDPR-compliant.

Läs mer: Tre skoltips inför GDPR

Läs mer: Branscher i samarbete inför GDPR

Oavsett vad för typ av företag eller organisation man driver så kommer GDPR-kompabilitet vara ett måste – personalens uppgifter är också nödvändiga att ta ordentligt ansvar för, och därför kommer HR-avdelningar vara tvungna att förbereda sig. Något de inte är helt ovana vid.

– Det är givetvis så att HR-avdelningar kommer få mycket att göra, men de har faktiskt fördelen att vara vana att arbeta med sådana här frågor och GDPR kommer inte lika mycket som en överraskning för dem. Man är ofta van att arbeta utifrån kraven i PUL och GDPR kan sägas vara som ett mer specificerat PUL med tydligare och uppdaterade krav, fler rättigheter osv. Man kan säga att den största skillnaden är att PUL kräver att verksamheten ska vara compliant, medan GDPR begär att du även ska visa hur du följer reglerna, det vill säga även ha tydligt dokumenterade processer med mera på plats, säger Caroline Olstedt Carlström.

Behov av transparens

Caroline Olstedt Carlströms analys av situationen är ganska enkel och klar, egentligen: kunder efterfrågar transparens, öppenhet, och en försäkran om att ens personuppgifter hanteras med värdighet. GDPR kan på så sätt bli en tillgång snarare än ett hinder; ett ypperligt tillfälle att skaffa ordning i något som man tidigare har förbisett.

Otroligt många bryter faktiskt mot lagen.

Caroline Olstedt Carlström , Dataskyddsexpert

Läs mer: Så klarar du GDPR-krav i flera länder

– Man behöver inte stirra sig blind på lagen, tycker jag, utan också tänka med sunt förnuft. Det handlar ju även om företagsetik och hur man uppfattas av andra. På så sätt bör informationskällorna börja behandlas precis som annat man har på balansräkningen; att man ser om sitt hus, skyddar värdena och skapar rutiner för sin datahantering. Sett ur det perspektivet kan man vända på steken och förvandla ett kanske förväntat aber till något som istället kan komma företaget till gagn, säger Caroline Olstedt Carlström

Rekommenderad läsning

GDPR och vad händer nu?

25 maj 2018 säkerhet

collagegdprNY.jpg collagegdprNY.jpg collagegdprNY.jpg

Nu träder den nya dataskyddsförordningen i kraft och det innebär fortsatt hårt arbete. Det menar de tre experterna Daniel Akenine, Caroline Olstedt Carlström och Johan Wahlström som också tipsar hur arbetet kan fortsätta. 

GDPR stor konkurrensfördel

11 maj 2018 säkerhet

bilverkstad-med-mycket-att-gora.jpg bilverkstad-med-mycket-att-gora.jpg bilverkstad-med-mycket-att-gora.jpg

Med bara ett fåtal veckor kvar till 25 maj när GDPR, EU:s nya dataskyddsförordning, träder i kraft finns det gott om tips för hur småföretagare ska förbereda sig. Nu lyfter branschorganisationen Företagarna affärsnyttan i ett gott GDPR-arbete.

Nu granskas Google

11 jun 2018 Säkerhet

google-people-gdpr-960640.jpg google-people-gdpr-960640.jpg google-people-gdpr-960640.jpg

Datainspektionens första granskningar efter GDPR:s införande har inletts. Det som ska undersökas är hur Google hanterar rätten att bli glömd samt om myndigheter och vissa berörda företag tillsatt dataskyddsombud.

Nollkoll på NIS

25 jun 2018 säkerhet

lastbil-pa-vag-fran-hamnen.jpg lastbil-pa-vag-fran-hamnen.jpg lastbil-pa-vag-fran-hamnen.jpg

De nya GDPR-reglerna har fått stor uppmärksamhet. Men många företag behöver hantera ytterligare ett regelverk; NIS, Network and Information Security, där en ny lag förväntas börja gälla redan den 1 augusti i år. Om en majoritet av bolagen var väl förberedda för GDPR ser läget för NIS väldigt annorlunda ut, visar en ny undersökning.

Ett samarbete mellan Kingston och Voister

Bli GDPR-klar med Kingston

15 jun 2018 säkerhet

lejonhane står upp och blickar ut över savannen.jpg lejonhane står upp och blickar ut över savannen.jpg lejonhane står upp och blickar ut över savannen.jpg

Efter införandet av GDPR måste alla vara säkra på att persondata inte sprids. Med Kingstons produkter, som både har lösenord och kryptering, kan du känna dig trygg att personuppgifter är skyddade.

Branscher i samarbete inför GDPR

19 dec 2017 säkerhet

branscher-samarbete-gdpr.jpg branscher-samarbete-gdpr.jpg branscher-samarbete-gdpr.jpg

Sveriges bemanningsföretag har gått samman för att reda ut frågetecknen inför GDPR. Ett av de deltagande företagen är Alpha CE, som rekommenderar fler branscher att göra på liknande sätt.

 

Säkerhetsåret 2017

27 dec 2017 säkerhet

folk.jpg folk.jpg folk.jpg

Skandalen på Transportstyrelsen, allt mer GDPR-oro och ett exploderande antal ransomware-attacker - säkerhetsåret 2017 har varit intensivt. Och inget tyder på en avtrappning nästa år. Voister summerar 2017 och blickar framåt.

Utpressning ökar med GDPR

22 feb 2018 säkerhet

stort-antal-personer-passerar-torg-som-liknar-schackspel.jpg stort-antal-personer-passerar-torg-som-liknar-schackspel.jpg stort-antal-personer-passerar-torg-som-liknar-schackspel.jpg

Lösensumma för att inte sprida stulna personuppgifter kan bli cyberkriminellas nya utpressningshot. Nu blir företag som följer GDPR brottslingarnas nya offer. Det visar en ny rapport om it-säkerhet under 2017 och 2018.

Framgång för e-förvaltning

19 apr 2018 säkerhet

kvinna-vid-dator-i-vackert-ljus.jpg kvinna-vid-dator-i-vackert-ljus.jpg kvinna-vid-dator-i-vackert-ljus.jpg

Snart kan myndigheter fatta beslut om till exempel en biståndsansökan enbart baserat på inhämtade personuppgifter. Beslutet är viktigt för den offentliga sektorns fortsatta digitalisering.