Med blicken mot EU:s nya regler

Om ungefär en månad aktiveras det som beskrivs som en av de största lagstiftningsförändringarna inom datahantering någonsin. EU-förordningen berör allt från globala jättar till små lokala föreningar.

Namnet General Data Protection Regulation (GDPR) må vara en munfull, men det är också något som kommer att påverka i praktiken alla – också här i östra Nyland. Dataskyddsförordningen, som GDPR heter på svenska, är en EU-förordning som godkändes 2016 och som träder i kraft i slutet av maj i år.

Det handlar om en rad lagar som reglerar hur allt från föreningar till företag, kommuner, städer och statliga instanser hanterar människors personuppgifter. Det är, påpekar de flesta sakkunniga, också en mycket välkommen förändring.

Med en övergångstid på två år ska alla som berörs ha hunnit anpassa sig till de nya reglerna, men i praktiken har regelverket gått förhållandevis under radarn tills på sistone.

Du är produkten

I början av april utspelade sig en lite speciell utfrågning i senaten i USA. Mark Zuckerberg, Facebooks grundare och vd, satt på en stol med sin särskilt inplockade tio centimeter tjocka kudde (för att se lite längre ut) och svarade på frågor kring hur Facebook hanterar användarnas personuppgifter. Såväl kudden som Zuckerberg blev populära mem på internet, precis som senatorerna och deras förvånansvärt okunniga frågor.

Den komiska ramen till trots var själva utfrågningen ändå kopplad till en av de största skandalerna på internet på länge – frågan om hur Facebook säljer användarnas personuppgifter. I förlängningen handlade det också om principen att användaren är produkten om tjänsten är gratis – att personuppgifter betyder pengar – och att diskussionen äntligen började synas på högsta nivå.

Härvan nystades upp efter att en visselblåsare från analysföretaget Cambridge Analytica förde fram bevis på att miljoner Facebookanvändares uppgifter blivit överlämnade till analysföretaget, inklusive privata meddelanden. Cambridge Analytica hade jobbat för Donald Trumps presidentkampanj.

När EU godkände GDPR 2016 hade man ingen aning om att en så omfattande skandal skulle bubbla upp, men man hade man en bild av att allt inte stod rätt till med hur personuppgifterna används.

Ida Sulin, ledande jurist på Kommunförbundet, har den sista tiden rest runt i Finland för att tala om GDPR i kommunerna och vad det betyder i praktiken.

– Facebookskandalen är ett bra exempel på varför GDPR behövs och hur personuppgifter inte varit skyddade. Min mänskliga rättighet, att äga mina egna uppgifter, säkras inte. GDPR är ett försök att ta tillbaka och upprätthålla våra grundrättigheter också i en digital värld.

Täljer guld

GDPR framstår som något väldigt svårt, och det har lockat en rad företag och konsulter att tjäna en hacka på den kommande förändringen. Delvis pekar Ida Sulin finger mot medierna när hon påpekar att förordningen har framställts som en väldigt teknisk förändring. I princip är det ändå inga komplicerade saker det handlar om, menar hon.

– Det tutas ut att förordningen kräver kunskap och ny teknik. Och det har blivit en guldgruva för de stora it-företagen som kan sälja nästan vad som helst bara genom att nämna GDPR.

Sulin säger att Kommunförbundet fått en rad förfrågningar där kommuner fått erbjudanden om lösningar för att "logga in på olika system".

– Det är inte en sådan förändring. Det är inte en förändring som ska strula till det. I Europa har vi länge haft grundrättigheter kring rätten till privatliv. Det står i grundrättsfördraget. Var och en har rätt till sina egna personuppgifter. GDPR är en modernisering av det.

För tjugo år sedan var det förhållandevis lätt att hålla reda på vart ens uppgifter tog vägen och vem som fick tillgång till dem. Förde man till exempel diskussioner med läraren om sitt barns utveckling så hölls informationen inom skolan. I dag, med en allt mera omfattande digitalisering, skriver man in samma information i ett digitalt system.

– Numera är allt digitalt. Man ser inte var gränsen går längre, vart ens uppgifter hamnar. Privatlivet är borttappat på internet.

Detsamma gäller grundläggande funktioner som mejl, där jättar som Google har robotar som läser igenom texten för att kunna rikta reklam till avsändaren och mottagaren. Samma metoder har också Facebook använt.

GDPR kommer också att påverka användarvillkoren, de där långa texterna som ofta är tusentals sidor långa och som de flesta godkänner utan att läsa igenom. I framtiden måste de vara lättlästa.

– Reglerna ska upprätthålla vår rätt till ett privatliv också i en digital värld. Det gäller hela samhället, och alla aktörer, offentliga som privata, föreningar och företag.

Men i praktiken då?

Vad det hela betyder i praktiken är att föreningar, kommuner, företag och statliga instanser har riktlinjer kring hur de får mata in uppgifter i sina system, som en förenings medlemsregister.

– Man måste bli herrar över uppgifterna, om man har uppgifter om andra människor. Medlemmarna ska veta vilka uppgifter som är sparade, säger Sulin.

Det betyder i praktiken till exempel föreningars medlemsuppgifter, patientdatasystem och molntjänster – och en rad detaljerade frågor om specifika exempel som är bundna till just den egna verksamheten. Det finns allmängiltiga tumregler.

– Man är ansvarig för hur, var och när uppgifterna behandlas, och av vem och att det inte läcker ut.

För kommunerna betyder det bland annat att man måste anställa en dataskyddsansvarig.

På ett större plan, om man till exempel skickar ett mejl, måste operatören kunna säga vilka servrar som används och hur länge mejlet sparas.

Båtar och regler

På Borgå navigationsklubb (BNK) väntar kommodor Guy Granqvist på att säsongen ska börja. Båten är ännu i hallen, så för tillfället har han tid att fundera på regelverket, och i nuläget är kontentan att man nog har en hel del att fundera på. Han har börjat bekanta sig med dokumenten och vad som egentligen krävs, men hittills har han inte kunnat peka ut exakt vad föreningen borde göra.

– Det är lite för stort, åtminstone innan man hittar röda tråden. Vad man får göra och vad man inte får göra, säger Granqvist.

Det är speciellt gränserna som inte riktigt öppna upp sig för Granqvist och föreningen.

– På sätt och vis är det klart och tydligt, men ändå inte.

För BNK betyder det sannolikt ändå inga jättelika åtgärder. Föreningen samlar inga större mängder information om medlemmarna.

– Det är främst listor på förtjänsttecken och hedersmedlemmar som kan betyda något för vår del. Och med det i åtanke jobbar vi med en historik nu när 60-årsjubileet närmar sig. Jag tror ändå vi kommer ganska lätt undan i jämförelse med föreningar som har mera uppgifter.

En förening som förberett sig väl för de kommande förändringarna är Marthorna. På Borgå svenska Marthadistrikt säger ordförande Gunilla Backman att förbundet redan skickat ut interna direktiv. De egentliga åtgärderna börjar ändå först på hösten.

– Vi har inte så mycket verksamhet på sommaren ändå, så vi tar itu med det i september med en infokväll. Det som förvånar mig med allt det här är hur det påverkar nästan alla, men det har ändå varit ganska tyst om saken. Lyckligtvis har vårt förbund varit aktivt.

Stort till smått

GDPR gäller inte bara föreningar, utan också jättar som Google och Facebook – i praktiken alla som erbjuder sina tjänster inom EU. Det finns också ett graderat sanktionssystem med en maximal straffavgift på 10 eller 20 miljoner euro, eller 4 procent av omsättningen.

– Det är inte summor som påförs föreningar, utan något som ska säkerställa att det är mera lönsamt för jättarna att följa reglerna än att inte göra det. För föreningar är det mera aktuellt med de första åtgärderna som inleds med råd och tips, för att sedan övergå till varningar, säger Ida Sulin.

De stora har i och för sig börjat anpassa sig. Till exempel har Microsoft, vars e-posttjänster bland annat Borgå stad använder, redan infört ett system.

– Problemet är mindre företag som kanske har underleverantörer i Bangladesh eller Indien. Man har ändå helhetsansvar.

Det låter som mycket att hålla reda på, men Sulin påpekar att det egentligen inte är någon större förändring från det nuvarande systemet. Man bryter också mot gällande lagstiftning om man inte följt ungefär samma principer.

– Det verkar vara något som ganska få noterat.

GDPR i korthet

Utse en ansvarsperson som får i uppgift att ta reda på detaljerna.

Granska vilka uppgifter som är nödvändiga.

Målet är att ha så lite uppgifter om medlemmar (och kunder) som möjligt.

Hur upprätthålls register som medlemsregister? Vilket system? Vilket företag?

Informera medlemmarna (kunderna) på ett vardagligt sätt om vilka uppgifter som sparas.

Det finns mycket lättbegriplig information på internet.

Använd inhemska källor på internet; olika länder har gjort lite olika tolkningar.

Träder i kraft den 25 maj.