Datainspektionen klar med sin första granskning

Datainspektionen klar med sin första granskning

Inga sanktioner! Det är det budskap som rubriksättare basunerar ut då Datainspektionen nu publicerar sin första granskning under GDPR.

Det är förvisso sant, men bakom rubrikerna döljer sig mycket uppseendeväckande siffror. Svenska organisationer är långt ifrån klara med sitt GDPR-arbete, och i vissa fall undrar man om de ens börjat.

För det första har Datainspektionen enbart granskat om Dataskyddsombud utsetts i tid. Ingenting annat. Man har inte tittat på om rutiner finns för rapportering av personuppgiftsincidenter, hur man hanterar individuella rättigheter eller granskat registerförteckningar.

Man har bara tittat på om ett namn rapporterats in i tid till Datainspektionen. Det allra mest basala.

Fjorton komma tre procent (!) av de fyrahundra granskade organisationerna har missat detta.

Tittar man närmare på siffrorna blir det ännu mer uppseendeväckande.

Totalt rör det sig om 57 ärenden
· 31 myndigheter, vars verksamhet helt styrs av lagar
· 3 banker, som borde vara vana med frågor om compliance
· 4 försäkringsbolag, vars kärnverksamhet är personuppgifter
· 1 kollektivtrafikbolag
· 4 teleoperatörer, både Tele2 och Telia (!)
· 12 fackförbund, som jobbar i förtroendebranschen
· 2 privata vårdgivare, som hanterar känsliga uppgiter

Att sanktioner uteblir beror enbart på att Datainspektionen vill vara snälla. Jag hoppas dock att huvudmän och aktieägare inte sitter lugna på grund av detta besked. Artikel 82 ger enskild en ovillkorlig rätt till skada vid brott mot GDPR, och i Datainspektionens rapport återfinns ärendenummer för varje påvisat brott.

Mycket arbete återstår för väldigt många….

https://www.datainspektionen.se/globalassets/dokument/ovrigt/2018-10-23-dso-granskning.pdf