Administration, Ekonomi

– Överdriven panik över GDPR

Den 25 maj börjar GDPR, den nya – och av många fruktade – data­skyddsförordningen att gälla. Sanktioner på upp till 10 miljoner kronor skrämmer. Men GDPR-experten Jonas Ledendal menar att lagen är missuppfattad. Så farligt är det inte. Men det gäller för alla medarbetare – lärare, forskare och administratörer – att se över sina rutiner.

Jonas ­Ledendal på Ekonomihögskolan är forskare inom dataskydd. Foto: Johan Bävman

– Det finns en allmän panik. Men det mesta som är tillåtet idag kommer att fortsätta vara tillåtet enligt GDPR. Det är inte en förbudslagstiftning, utan handlar om hur organisationer hanterar risker vid behandling av personuppgifter, säger Jonas Ledendal, forskare i juridik med GDPR och dataskydd i fokus.

Syftet med lagen är ett fritt men skyddat flöde av personuppgifter genom EU. De senaste skandalerna runt Facebook och Transportstyrelsen är exempel på hur det kan gå när man inte lyckas med ett gott dataskydd, något som Jonas Ledendal menar kommer att bli en framgångsfaktor för företag och organisationer i framtiden.

– Jag ser likheter med hur man jobbar med hållbarhet. Även integritet kommer bli en strategisk fråga på ledningsnivå. Att vara bra på hållbarhetsfrågor är idag bra för affärerna och det kommer ett gott dataskydd också bli, menar Jonas Ledendal.

Frågorna runt GDPR, eller dataskyddsförordningen, är fler än svaren. Det pågår ett intensivt arbete i Sverige med att ta fram kompletterande nationella regler till EU–lagen GDPR. Vid LU drivs ett projekt som arbetar med att sprida kunskap och rigga en organisation så att alla ute i verksamheten ska ha någon att vända sig till i dataskyddsfrågor. En inventering av de IT-system som hanterar personuppgifter på LU pågår och ett dataskyddsombud har rekryterats (se nästa sida). Eftersom även namn, mejladresser och foton räknas som personuppgifter så behöver i stort sett alla medarbetare se över sina rutiner. 

– Vi ska kunna sköta våra arbetsuppgifter även efter den nya lagen, men måste ha säkra sätt för hur vi hanterar personuppgifter – de får inte hanteras i onödan eller sparas för länge, säger Kristina Arnrup Thorsbro som leder LU-projektet.

Ett exempel på förberedelse inför GDPR är att vi bör sluta använda oss av gratistjänster som dropbox, google forms och doodle och istället välja system som universitetet har avtal med. Som medarbetare på LU har man god hjälp av GDPR-projektets blogg där svaren på de vanligaste frågorna om GDPR finns – antingen man är lärare, forskare, chef eller arbetar med kommunikation och samverkan. Adressen är https://personuppgifter.blogg.lu.se/faq/

Ett led i att tillmötesgå GDPR:s krav är att LU måste ha ett register över alla personuppgiftsbehandlingar. För utbildning och administration kommer detta att skötas av universitetsförvaltningen, men forskare måste själva rapportera in forskningsprojekt där personuppgifter behandlas. Detta är viktigt av flera skäl men bland annat för att universitetet ska kunna svara på frågor från de registrerade – de har rätt att veta vilka uppgifter som finns om dem och hur de skyddas.

All forskning berörs där personuppgifter behandlas. För de forskare som följer dagens regelverk till punkt och pricka behöver omställningen inte bli så stor. Men kraven på rätt dokumentation ökar.

– Den personuppgiftsansvarige måste kunna visa att lagen efterlevs. Som forskare bör man därför snarast se över vilka konsekvenser lagen får för den egna forskningen, säger Mats Johansson, lektor i medicinsk etik och rådgivare vid Lunds universitet

GDPR är inte heller det enda man som forskare bör hålla utkik efter. Kompletterande lagstiftning tas fram i Sverige. Idag finns även flera andra förslag på förändringar i det svenska regelverket. Det gäller såväl hur vetenskaplig oredlighet ska hanteras som etikprövningslagens utformning. En del skarpare regler är att vänta.

– På gott och ont så rör vi oss idag mot en alltmer reglerad forskning, säger Mats Johansson. 

Jenny Loftrup

Fotnot: GDPR: General Data Protection Regulation som gäller i hela EU. På svenska dataskyddsförordningen.

Forskningsprojektet ”Sjyst data” jobbar med god integritet vid digitala tjänster och vägledning om dataskydd. LU deltar tillsammans med en rad andra aktörer.

Läs även Han ska leda LU rätt i dataskyddsdjungeln