Linda Tengemark – med dataskydd i fokus

Vi har anlitat Linda Tengemark, jurist och dataskyddsspecialist på Hillertz juridik & dataskydd. Linda ska fungera som rådgivare och stöd i dataskyddsfrågor. Hon kommer även att ta pulsen på vårt dataskyddsarbete genom att utföra granskningar av verksamheten för att bedöma hur väl vi uppfyller de olika kraven i dataskyddsförordningen.

I en intervju med Linda delar hon med sig av sina insikter kring dataskydd och hur företag kan arbeta effektivt med det. Hon betonar också vikten av att företagsledningen tar en aktiv roll i att skapa en stark dataskyddskultur, särskilt med tanke på hur kommande regeländringar ställer nya krav på både dataskydd och cybersäkerhet.

Varför är dataskydd viktigt?

Dataskydd handlar om att skydda allas vår grundläggande rättighet till privatliv. I dagens digitaliserade samhälle brukar det sägas att personuppgifter är det nya guldet. Det finns alltså ett stort ekonomiskt värde i våra uppgifter. Uppgifterna kan användas på ett sätt som inte ligger i enskilda individers intresse, då detta genererar ekonomiskt värde för andra. Till exempel kan uppgifter användas för att kartlägga oss som personer och informationen kan sedan användas för att få oss att agera på ett sätt som gynnar andra intressen än våra egna.

Utan dataskyddet skulle marknaden för personuppgifter vara helt oreglerad. Som lite dramatiska exempel kan vi fundera över vad som skulle hända om ett försäkringsbolag kan hämta in uppgifter från matbutiker (äter vi hälsosam mat), från Systembolaget (hur mycket alkohol dricker vi) o.s.v. innan de gör ställningstaganden kring ifall vi ska få köpa en försäkring. (Nej tyvärr, du äter för mycket chips och dricker för mycket vin, du kvalificerar inte dig för en sjukförsäkring. Alternativt: Javisst, kan du få en försäkring, men din premie tredubblas).

Dataskyddsförordningen har nu funnits i några år. Upplever du att företag gör vad som krävs för att arbeta enligt förordningen?

Jag upplever att många fortfarande tycker att det är svårt att arbeta med dataskydd och att det framförallt saknas ett systematiskt arbetssätt. I dagsläget ser vi fortfarande utmaningar i att många behandlar frågan i stuprör, eller till och med sugrör, snarar än som en bärande övergripande fråga tillsammans med informationssäkerhet.

Dataskydd är en ledningsfråga och måste integreras i verksamheten på samma sätt som annat kvalitetsarbete, ekonomi, informationssäkerhet etc. Dataskyddet måste vara en del i alla centrala processer och projekt, till exempel redan i behovsanalys inför en upphandling och som viktiga delar i tidiga beslutspunkter i projekt- förändrings- och utvecklingsmodeller. Det är alltså perspektiv som måste följa med på ett systematiskt sätt i hela verksamheten.

Vilka vanliga misstag gör företag oftast när det gäller dataskydd och integritet?

Många företag missar just att få det systematiska arbetet på plats genom sina verksamhetsprocesser. Många gånger görs det därför punktinsatser där verksamheten tittar på ett av alla krav i dataskyddet och försöker få det på plats, istället för att titta på helheten.

Vad kan företag göra för att skapa en stark dataskyddskultur bland sina medarbetare?

Det är ledningen som visar vägen för att skapa en stark säkerhetskultur. I det arbetet är styrdokumenten viktiga utgångspunkter. I väl genomarbetade styrdokument, sätter ledningen risknivån genom att slå fast hur verksamheten ska arbeta systematiskt med dataskydd inklusive resurs- och ansvarsfördelning samt ange förväntningarna på medarbetare i organisationen. Sedan handlar det om att utbilda personalen så att alla som hanterar skyddsvärd information har grundläggande kunskaper och börjar reflektera kring dataskydd och informationssäkerhet i sitt dagliga arbete. Särskilt viktigt är detta för centrala och samordnande roller som verksamhetsledare och projektledare eftersom de i många fall måste säkerställa att aspekterna beaktas och dokumenteras i förändringsarbeten och projekt.

Varför är det en god idé att anlita ett externt dataskyddsombud

Fördelen med ett externt dataskyddsombud är att vi arbetar på heltid med frågor om dataskydd och relevant anslutande lagstiftning. Vi är uppdaterade och har också med oss erfarenhet av arbete i många olika verksamheter vilket gör att vi kan vara ett reellt stöd i arbetet. Det kan vara svårt för mindre organisationer att upprätthålla den kompetens som krävs eftersom det sällan går att avsätta personella resurser i den utsträckning som området kräver. Det är ett område i ständig förändring och det kommer ny praxis och vägledningar hela tiden. Dataskyddsombudet ska dessutom arbeta självständigt (med integritet) i förhållande till verksamheten vilket kan vara lättare för en extern part som inte rapporterar till lönesättande chef.

Vilka kommande lagar/förändringar/regler tycker du att man ska hålla koll på?

Utöver dataskyddsförordningen och utvecklingen kling den, så kan AI-förordningen lyftas fram. Den har antagits och kommer att implementeras fullt ut sommaren 2026. Delar av förordningen kommer dock att börja tillämpas tidigare, till exempel förbud för AI-system med otillåten risk. Det är bra att redan nu sätta sig in i och förstå lagstiftningen för att kunna göra ställningstaganden i verksamheten gällande eventuella implementeringar av AI-system. Jag rekommenderar också alla verksamheter att ta fram en AI-policy med ställningstaganden kring vilken AI som är tillåten i arbetet och på vilka premisser. Detta för att verksamheten inte ska hamna i omfattande ”skugg-AI”, vilket skulle innebära att anställda på eget bevåg använder olika AI-tjänster i sitt arbete med risker som att känslig information från verksamheten sprids utanför organisationen.

Sedan har vi “NIS2” som syftar till att uppnå en hög cybersäkerhetsnivå och “CER-direktivet” som handlar om att stärka kritiska verksamhetsutövares motståndskraft och förmåga att tillhandahålla samhällsviktiga tjänster. NIS2 och CER-direktiven, handlar precis som dataskyddet, om att hantera olika risker i verksamheten.

Jag rekommenderar verksamheter att ta ett helhetsgrepp kring dessa frågor och arbeta strukturerat på ett sätt så att dataskydd, informationssäkerhet och motståndskraft hanteras gemensamt på ett systematiskt sätt.


"Tillsammans ger vi den bästa tänkbara service till kommuninvånarna i Staffanstorp."


Aktuellt

2024-12-20
Julöppettider på Kometen

Julstämningen är på topp här på Kometen och vi vill passa på att önska dig en underbar jul...

2024-12-17
Tack för ett fint samarbete – Staffanstorps kommun tar över driften av Reningsverket

Sedan 2013 har driften av Reningsverket vid Gullåkravägen skötts av Staffanstorps...

2024-10-07
Första spadtaget på Stanstorpsskolan – en viktig milstolpe i ett viktigt projekt

Så var det äntligen dags för det traditionsenliga “Första spadtaget” på Stanstorpsskolan i...

2024-09-11
Följ oss i våra sociala kanaler 👋

I våra sociala kanaler får du tips, nyheter, driftinformation, erbjudanden och mycket mer. Följ...

2024-09-04
[Staffanstorps Energi] Pågående och kommande grävarbeten – September 2024

Vi håller just nu på med en omfattande upprustning av kabelnätet i Staffanstorp. Ett arbete som...

Staffanstorps Centrum AB 2024