Kommuner kämpar med GDPR

Hälften av svenska företag och myndigheter jobbar systematiskt med dataskydd. Tuffast har kommuner, landsting och småföretag som brottas med att sätta fungerande rutiner. Enligt en rapport från Dataskyddsinspektionen försvåras dataskyddsarbetet av åldrade IT-system.

I sin nationella integritetsrapport konstaterar Dataskyddsinspektionen att kommuner och landsting är överrepresenterade bland dem som tycks ha större utmaningar och i mindre omfattning arbetar kontinuerligt och systematiskt med integritet och dataskydd.

7 av 10 dataskyddsombud inom kommun och landsting uppger att de aldrig, sällan eller bara ibland blir involverade i projekt eller andra sammanhang där beslut fattas som får följder för dataskyddet. Bara 3 av 10 uppger att ledningen är kunnig och insatt i dataskyddsfrågor.

Ett dataskyddsombuds uppgift är att informera, ge råd, och övervaka om organisationen lever upp till GDPR. Drygt 360 privata verksamheter och myndigheter som är skyldiga att anmäla ett dataskyddsombud granskades. Utredningen resulterade i att 57 fick reprimander. 

Sedan EU:s dataskyddsförordning GDPR trädde i kraft den 25 maj förra året har Dataskyddsinspektionen hittills inte delat ut några sanktionsavgifter. Myndigheten har gjort tillsyn i 72 ärenden och i 23 fall pågår en utredning.

När GDPR nu går in på sitt andra år väntas de första föreläggandena om vite, skriver Computer Sweden.

– Ett tungt skäl till att det inte blev några sanktionsåtgärder var att det var första gången och lagstiftningen var helt ny, säger Nazli Pirayehgar, jurist vid Datainspektionen, till tidningen.

Hennes högsta chef, generaldirektör Lena Lindgren Schelin, förklarar att Datainspektionen kommer att vässa sin tillsynsverksamhet.

– Där måste vi börja spänna bågen och döma ut sanktioner. Jag tror att de flesta kommer att hamna i processer i förvaltningsdomstolar och då kommer vår verksamhet att bli ännu mer genomlyst – och det tror jag ökar lärandet och kvaliteten, säger hon.

Just lärandet framhåller Datainspektionen som avgörande. Närmare hälften av de tillfrågade dataskyddsombuden ser tolkningen av GDPR:s regelverk som en utmaning.

Av integritetsrapporten framkommer vidare att:

* Bank- och finansbranschen samt IT- och telekombranschen i många avseenden kommit längre än andra i arbetet med dataskydd. 
* Tre av fyra privata och offentliga verksamheter tycker att implementeringen av GDPR gått bra.
* Den vanligaste orsaken till rapporterade personuppgiftsincidenter är den mänskliga faktorn.