Ja, GDPR är fortfarande ”en grej”!

Det finns såklart många olika orsaker till att många organisationer både inom privat och offentlig sektor inte följer GDPR. Uppenbarligen avskräcker inte de sanktionsavgifter på upp till 20 miljoner euro tillräckligt för att man ska vara GDPR-compliant på riktigt. För även om 2024 blev ett rekordår för GDPR inom EU så verkar det finnas en känsla av att det bara händer och gäller ”någon annan” (som t.ex Meta) och inte den egna verksamheten.

En annan orsak är förmodligen också att försummelser kring hanteringen av persondata inte drabbar verksamheten på samma sätt som om IT-systemen ligger nere. ”Så länge ingenting händer så märks det inte”, verkar vara ett synsätt som präglar vår hantering av våra kunders, klienters, brukares och medlemmars personuppgifter.

Ett annat fenomen är att dataläckorna efter hacker-attacker börjar bli så vanliga att vi verkar bli avtrubbade. Nu, hösten 2025, räcker det att säga ”Miljödata” så vet alla att vi pratar om ett stort dataintrång, medan dataläckorna till följd av intrången hos TietoEvry eller Svenska kyrkan redan börjar falla i glömska, trots att det bara var något år sedan.

Många utsatta drabbas
Den stora dataläckan i sambandet med intrånget hos Miljödata, som används av 80 procent av landets kommuner, ledde till att uppskattningsvis över en miljon personuppgifter nu finns på darknet. Frågan är dock hur stort problem det här egentligen är för de individer som nu finns på darknet?

Svaret är både enkelt och tudelat: Inte särskilt stort för de allra flesta och samtidigt en fullständig katastrof för de mest utsatta.

Enligt IT-entreprenören Jens Nylander förekommer till exempel adressuppgifter till personer med skyddade folkbokföringsuppgifter. 200 fall bara i Stockholm.

Nu utreder Stockholm stad den här frågan. Men det är ju så dags, om olyckan redan är skedd. Det som behövs är ju ett proaktivt kontinuerligt arbete med integritetsskyddet som utgångspunkt. Och det är många som behöver göra mer.

Vanligt problem

Den färska Cybersäkerhet Mognadsrapport 2025 från företaget OneMore Secure visar att bara 4 av 10 företag har en fungerande policy för klassificering av information och att mer än var fjärde verksamhet inte krypterar känslig information. Trots att det är ett krav enligt GDPR.

Kanske är det så att många verksamheter tänker att de är i ”gott sällskap” eftersom det är så många organisationer som helt enkelt inte följer GDPR? Även om den rimligare slutsatsen borde vara att vi i Sverige behöver ett rejält lyft när det gäller hur vi hanterar klassificeringen av information och inte minst persondata.

Först och främst för att inte äventyra att känsliga personuppgifter kommer i orätta händer, men också för att både kunder och medarbetare verkligen bryr sig. En indikator på detta är att Stöldskyddsföreningen dagarna efter läckan från Miljödata noterade hur tusentals människor kollade om deras uppgifter fanns med via Säkerhetskollen.

Det gjorde även jag. Och fick beskedet att jag också fanns med i läckan. Via mailuppgifter från en arbetsgivare som jag lämnade 2014. Ett exempel bland tusentals andra på hur dåliga vi är på vår registerhantering.

Vad vinner vi på att ta tag i det här?

I ärlighetens namn innebär såklart en god GDPR-efterlevnad en hel del arbete. Många gånger är det kanske enklare att strunta i rutinerna än att följa dem, men att göra rätt lönar sig.

I en tid när cybersäkerheten behöver finnas i hela leverantörskedjan blir allt fler företag och organisationer tvungna att inte bara ha koll på sin egen cyberhygien, utan även hur det står till hos deras leverantörer och partners.

Att ha koll på GDPR handlar inte bara om att följa lagar och regler. Att visa att man har koll på sin datahantering blir ett license to operate för den som vill leverera varor och tjänster till andra.

Eller enklare uttryckt: Följer du inte GDPR får du inte vara med. För GDPR är faktiskt fortfarande en grej!