Oro för kostnader vid implementering av GDPR

Tänkvärda frågeställningar.

Pierre Gustafsson

GDPR, Europas nya dataskyddslag i kraft den 25 maj 2018. Allmänna Dataskyddsförordningen (GDPR) som är utformad för att skydda uppgifterna för alla medborgare i den Europeiska Unionen. Alla företag som hanterar EU-medborgares uppgifter måste leva upp till den och att inte leva upp till den kan straffa sig både i höga böter och sitt rykte bland sina kunder.  

Det är uppenbart att företag fortfarande inte har full överblick i vad GDPR innebär för deras verksamhet, och ursäktar med påstående som att reglerna är vaga och förvirrande. Det är dags för företagen måste räkna med nya eller ökade kostnader gällande GDPR i sin driftsbudget och hur det kan påverka resultatet att inte göra det.

Uppstartskostnader för GDPR 

Hur mycket GDPR kommer att kosta för att implementera påverkas av hur mycket man tidigare har följt EU´s lagstiftning gällande personlig integritet. Medan Brittiska företag, som exempel, har spenderat närmare en miljard euro på förberedelserna inför GDPR så har Amerikanska företag spenderat en svindlande summa på ca sju miljarder euro. En av anledningarna till denna skillnad är att brittiska företag redan hade flera av processerna och systemen införda i och med att de infört dem för att följa den tidigare versionen av de europeiska dataskyddslagarna.

Kostnader relaterade till GDPR-efterlevnad

Personalfrågor

GDPR kräver att alla företag som har fler än 250 anställda, behandlar fler än 5000 personer inom en 12-månadersperiod eller känsliga personuppgifter behöver anställa eller ha ett externt personuppgiftsskyddsombud (DPO). Att anställa eller anlita en DPO kan innebära en betydande kostnad, och för de större företagen krävs ju även att dataskyddsombudet har den personalstyrka som krävs för att kunna leva upp till lagkravet. 

Teknik

Företagen måste se till att de har kontroll över vilka uppgifter som de samlar in och lagrar om EU:s konsumenter. De måste ha rutiner på plats i de fall de måste söka samtycke från konsumenterna. Tekniska lösningar måste ge möjligheter till uppgiftsförvaltning och förmåga att upptäcka hot. Systemen måste även ha möjlighet att radera alla uppgifter samtidigt som det säkerställer att lagrade uppgifter är portabla. Processer måste införas för att informera användarna om eventuella överträdelser inom 72 timmar och beroende på det aktuella läget i företagets infrastruktur, kan det innebära allt från mindre förändringar till stora underhållsarbeten och för företag som använder moln och programvara som en tjänst (SaaS)-applikationer kan där finnas ytterligare tekniska utmaningar. 

Juridiska kostnader

Förordningarna kräver ny juridisk tolkning och de europeiska domstolarna tar fortfarande beslut avseende ärenden som uppstod från den tidigare versionen av dataskyddsreglerna. Det kan därför behövas jurister för att tolka de olika paragraferna i Dataskyddsförordningen. En god ide kan vara att uppskatta kostnaderna för att anlita juridisk hjälp och för ett stort företag kan advokatkostnaderna uppgå till miljoner.

Odoo CMS- Sample image floating
Facebook’s co-founder, chairman and chief executive, Mark Zuckerberg.

Vad kostar det att inte efterleva GDPR?

Den stora skillnaden gentemot den tidigare lagstiftningen är att det nu finns "rejäla" verktyg som t ex höga böter, men man har också klargjort att företagen bara lånar persondata. Det finns nu både risker med ekonomi och anseende förknippade med att inte efterleva GDPR.

Böter

Straffet för att inte leva upp till GDPR kan vara upp till 20 miljoner euro eller fyra procent av bolagets årliga globala omsättning. Facebooks och Cambridge Analytica-skandalen kan tjäna som ett gott exempel, i detta fall fick Facebook böta £500,000 för datautvinning utan EU-medborgarnas samtycke och detta var innan GDPR trädde i kraft, om det hade fallit under nya GDPR kunde Facebook fått böter på upp till £1,5 miljarder. 

Skador på företages ansende

Även om de flesta företag är oroliga för de ekonomiska konsekvenserna, finns det också riskerna för deras anseende. Tidigare var de flesta företag ovilliga att berätta om dataintrång eftersom de var oroliga för att förlora konsumenternas förtroende. GDPR gör det obligatoriskt att informera användarna om eventuella överträdelser. Det betyder att GDPR-efterlevnad kan resultera i att anseendet skadas. Företagen måste alltså bedöma detta i sina kostnadsberäkningar. 

Ansträngningar hos småföretag för att hantera kostnaderna 

Den tunga ekonomisk bördan med GDPR-efterlevnad kan vara särskilt svår för småföretag. De har inte tid och kan tycka att kostnaderna med de nödvändiga juridiska rådgivarna och säkerhetsexperterna för att efterfölja alla regler är höga. Rapporter från Europa visar nu att många småföretag ändrar sina verksamhetsmodeller eller helt enkelt stänger vissa delar av sin verksamhet, det har också blivit nödvändigt att rensa ut gammal data för att slippa investera i ny mjukvara och infrastruktur.   

GDPR och dess possitiva effekter 

GDPR medför utan tvekan en kostsam förändring för företagen. Men den senaste tidens ökning av dataintrång som har påverkat t ex Equifax och Yahoo visar på behovet av bättre datasäkerhet. Så även om GDPR-kostnaderna är initialt höga så säkerställer efterföljande av lagen bättre affärsmetoder som kommer att leda till bättre lönsamhet.

När fler utvecklingsföretag börjar implementera "data protection by design" principer kan det faktiskt innebära att GDPR sparar pengar på lång sikt.

Pierre Gustavsson
GDPR Coach, Arbore AB

Odoo CMS- Sample image floating
Odoo CMS- Sample image floating

Din lokala GDPR partner i Nordvästa Skåne!

Kontakta Arbore AB för hjälp med att komma igång!