Den överhängande risken för böter fick integritetspolicyer att hamna högt på agendan och mejlen vällde in från företag som informerade om hur just de behandlar personuppgifter. Sedan blev det den 25 maj och intensiteten i såväl information som arbete kring GDPR avtog. Men det innebär inte att vi kan sätta check på GDPR och lägga den till handlingarna. Datainspektionen, som ännu inte har bytt namn, har som första fokusområde att granska att företag och myndigheter som är skyldiga att utse ett så kallat dataskyddsombud, verkligen har gjort det. Privata vårdgivare, försäkringsbolag och banker granskas och i mitten av oktober kommer resultatet. Därefter kommer Datainspektionen med nya fokusområden. Dessutom har många företag rannsakat sig själva och anmält personuppgiftsincidenter.

Vad handlar anmälningarna om? Personuppgiftsincidenter kan delas in i tre kategorier. Den första handlar om otillåtet eller oavsiktligt avslöjande av eller tillgång till personuppgifter. Exempel på det är mejl som har skickats till fel mottagare, vilket är den vanligast av de personuppgiftsincidenter som har rapporterats till Datainspektionen. Att anställda fått fel behörigheter i system så de ser sådant som de inte borde är också något som har anmälts. Sedan finns integritetsbrott när det sker en obehörig eller oavsiktlig ändring av personuppgifter. En sista kategori som innefattar tillgänglighet handlar om obehörig eller oavsiktlig förlust av tillgång till, eller förstörelse av personuppgifter. Exempel på detta är dataintrång och phishingattacker likväl som stöld av it-utrustning där det finns personuppgifter. Den GDPR-incident som fått mest uppmärksamhet hittills handlar om British Airways som blev hackade och 380 000 kunduppgifter berördes. British Airways underlät att rapportera incidenten enligt GDPR och riskerar nu böter på upp emot 500 miljoner… pund.

Så hanteringen av personuppgifts-incidenter är viktig, inom 72 timmar ska händelsen ha rapporterats till Datainspektionen via en särskild blankett. En e-tjänst är under utveckling men det är oklart när den kan lanseras. Det är inte alla personuppgiftsincidenter som ska anmälas till Datainspektionen. Om det är osannolikt att incidenten medför en risk för fysiska personers fri- och rättigheter, ska den inte anmälas. Viktigt är ändå att dokumentera om beslutet och även anledningen till att inte anmäla incidenten. För verksamheter som innefattar behandling av personuppgifter som ”sannolikt leder till en hög risk” så kan det vara nödvändigt att göra en konsekvensbedömning avseende dataskydd om den inte redan är gjord. I GDPR benämns det som DPIA (Data Privacy Impact Assessment). DPIA är en omfattande konsekvensbedömning över säkerheten kring behandlingen av personuppgifter och handlar om att kartlägga integritetsrisker. I korthet går det ut på att samla ihop allt kring personuppgiftsbehandling – i form av kartläggningar, access genomgångar, genomläsning av avtal och kontrakt, tillsättning av roller med mera – och bedöma var de största riskerna finns. Dokumentation är viktig i DPIA, och det gäller att ha en grundläggande förståelse för synliga och osynliga personuppgifter som ska upprätthållas. Trots att GDPR nu varit gällande i flera månader så kvarstår mycket av osäkerheten. Riktlinjer och hänvisningar ligger i Datainspektionens uppdrag. En sak är dock tydlig, vi är inte klara med GDPR utan det är viktigt att fortsätta utveckla process och rutiner samt vara uppmärksam på vad som händer inom området.