Simovits

GDPR – 2000 miljarder kronor i sjön?

Tidigare i veckan publicerades en artikel i Dagens Industri att införandet av GDPR kostat företag och organisationer i EU motsvarande 2000 miljarder kronor. GDPR behövs, det är många eniga om, och har krävt stora investeringar av företag och myndigheter. Vissa har jobbat med GDPR-införandet i över ett år. Den stora utmaningen för lagstiftaren är dock att lagen ska få trovärdighet i sin tillämpning efter den 25 maj. Rapportering av personuppgiftsincidenter och viten är några av pelarna i GDPR för att lagen ska få en trovärdighet i sin tillämpning.

Det enklaste sättet för Datainspektionen, för att skapa trovärdighet, skulle ha varit en etablering av ett system innan den 25 maj, som automatiskt bedömer ärenden, prioriterar, återkopplar till anmälaren och skickar vidare de viktiga ärendena, för manuell bedömning, till handläggare.

Personuppgiftsincidenter ska enligt GDPR rapporteras till tillsynsmyndighet (Datainspektionen) inom 72 timmar. En dag innan GDPR träder i kraft möts man av följande text, efter att datainspektionen uppdaterat sin websida, på sidan  ”e-tjänst för att rapportera personuppgiftsincidenter” :

”Senare under året kommer det att finnas en e-tjänst för att anmäla personuppgiftsincidenter här på vår webbplats. Fram till dess görs anmälningar genom att fylla i vår pdf-blankett och skicka till oss via brev. Blanketten kommer att vara färdig den 25 maj. Om ni anser att det behövs, kan ni skicka anmälan som rekommenderat brev.

Adressera kuvertet:
Datainspektionen
Box 8114
104 20 Stockholm

Blankett för att anmäla personuppgiftsincidenter (färdig den 25 maj 2018)

Enligt dataskyddsförordningen ska personuppgiftsincidenter normalt anmälas inom 72 timmar från upptäckt. Då ni skickar in en incidentanmälan via fysiskt brev till Datainspektionen, kommer vi att ta hänsyn till tiden det tar för brevet att nå oss.”

Den som läser detta och jobbat med införandet av GDPR, ställer sig säkert frågor om man inte gjort för mycket:

  1. Har Datainspektionen lagt lika stor vikt vid GDPR som de som investerat stora belopp på att följa lagstiftningen?
  2. Kommer Datainspektionen ha praktisk möjlighet att utöva den tillsyn som GDPR utlovar/bestämt?
  3. Spelar de 72 timmarna egentligen någon roll?

Att ärenden kommer att skickas in via post/rekommenderat brev innebär att datainspektionens kännedom om ärendet fördröjs ytterligare 24 timmar. (Att under pågående incident se en Data Protection Officer springa runt efter ett ombud till postnord för att kunna skicka ett rekommenderat brev känns som ett underutnyttjande av resurser.)

Handläggningstiden av ett ärende kommer under nuvarande situation troligen ta lång rid. Att sätta upp en enklare rapporteringstjänst inför GDPR som beskrivs ovan, med tanke på antalet bolag och myndigheter som finns, är inte en orimlig tanke. I Sverige finns idag ca 1 000 000 registrerade företag. Om vi antar att 200 000 av dessa har behövt införa processer relaterat till GDPR, och att hälften av dessa råkar ut för en GDPR-relaterad incident under loppet av ett år, så bör Datainspektionen få in ca 100 000 anmälningar på årsbasis.

Det innebär ca 277 anmälningar per dag. Även om Datainspektionen har bra processer för att göra bedömningar på ärendena så bör ändå återkoppling ske till den som lämnat in anmälan. Medeltiden för ett ärende i ett normalfall, där ärendet inte resulterar i ett vite eller annan utökad tillsyn, skulle kunna bedömas till ca två timmar. För att kunna bedöma alla ärenden och svara på dessa skulle det då krävas ca. 70 handläggare.  Vid ett större utbrott med ransomware, skulle mängden ärenden troligtvis mångdubblas, vilket i sin tur resultera i en eftersläpning, dvs en ökning av ärenden skulle resultera i att ärenden hamnar i kö och högen med obehandlade ärenden växer snabbare än de hinner hantera dessa.

GDPR har varit känt länge och att inte ha system på plats för incidentrapportering ger en felaktig signal till de bolag som jobbat med GDPR.

Vid avsaknad av en effektiv hantering av rapporterade ärenden, så är risken stor att kostnaderna för GDPR-införandet hos bolag och myndigheter kommer ifrågasättas samt att lagens efterlevnad urholkas.